2012年11月6日 星期二

做好Log管理,勢在必行:你有做Log檔管理嗎?


做好Log管理,勢在必行:你有做Log檔管理嗎?

新版個人資料保護法已經上路,在施行細則中提到,需採取「使用紀錄、軌跡資料及證據保存」的措施,為了達到這樣的要求,企業必須要設法留存數位證據,並證明自身無故意或過失,因此過去不受重視的系統事件記錄管理機制,如何做好已成為當務之急

每一套IT系統或設備上線後,要做好維運作業的關鍵,通常需要仰賴足夠的資訊來判斷,例如事件記錄(Event log),是否系統運作期間出現了異常的事件,若真的發現了這樣的狀況,負責的IT人員需要被通知,並立即設法處理。

然而,現實環境往往不見得這麼理想,一個IT人可能必須同時負責管理好幾套系統或設備,未必能定期查閱所有相關事件記錄,於是,這樣的狀況讓IT管理產生很大的空窗期。

多數公司普遍輕忽資安,做Log管理的公司少之又少
當然,有些很注重資安的企業,會導入一些作法來提升,例如資訊安全管理系統(ISMS),並改進本身的作業流程與管理措施,以便能夠符合業界標準。在這過程中,如何做好事件記錄管理也是會被要求的重點項目之一。然而,對於多數企業或組織來說,安全並不是他們業務發展上需要特別注重的首要目標,而是如何推動更多能使自身獲利的業務、提升產品與服務的競爭力、降低成本等。

這使得IT管理上所要關注的重點工作項目,很少會優先考量到資訊安全,因此企業對於相關的防護要求並不高,個人電腦可以正常使用、IT應用系統能穩定運作、網路能順暢地傳輸資料,至於再進一步要實施一些能提升IT管理的方法和措施,通常企業不會那麼積極投入。除非有心想要推動的人可以證明做了之後,將為企業帶來很高的獲利,或避免重大損失,否則多數人的想法是能免則免。

也因為這樣的想法普遍存在,因此在Log管理上,除了高階主管特別要求要看資安狀態的統計報表或稽核記錄,多數IT人員並不會主動去做這件事。

個資法實施之後,企業需盡責保護IT系統,連帶使Log管理的重要性大增
隨著新版個資法在10月正式上路,適用範圍擴大至各行各業——所有自然人、法人、團體、產業,在施行細則要求的11項安全措施中,有一項規定了「必要之使用紀錄、軌跡資料及證據之保存」,經由各項程序所產生的任何形式記錄,企業皆需妥善保存,以利日後舉證之用,而且依個資法的規範,發生個資損害事件後的5年內都可求償,因此,企業相關個資記錄至少要保存5年。此外,企業也必須設法證明自己無故意或過失,基於上述的理由,Log能否做好保存與管理,已勢在必行,對企業的重要性也因此大大提升,而不像過去是選擇性的作法。

管理Log不只是需要考量如何保存,關鍵在於如何有效運用
現實環境已經改變,很多企業會逐漸意識到做Log管理的必要性,但實際上Log管理目前面臨的最大問題並非能否管好Log,而是根本沒有做!

很多公司的IT人員除了在採購IT系統或設備時,會要求個別產品提供好用的報表統計功能,然而對這些系統所產生的記錄檔管理與保存,並沒有很妥善地加以考量和規畫。事實上,系統對於每一種事件記錄的儲存量,都有一個預設的上限值,假如系統產生的記錄累積起來,當資料量超過這個值,就無法保留在系統當中。

這時候,有的系統會發布警示,提醒你記錄檔的儲存空間已經滿了,要有因應動作,但很多IT人員遇到這種狀況,若沒有規畫好的管理措施或搭配適當的系統去輔助,可能會採取的作法,往往只是將記錄內容匯出、存檔備查,等到需要時,再翻出來一一尋找。甚至不知道該怎麼處理而直接選擇清除記錄,以便消除警示狀態的,也大有人在。

有的系統本身沒有搭配大容量的儲存裝置,例如硬碟,因此無法長期保存事件記錄。有些IT系統雖然本身支援Log檔的自動壓縮機制,佔用的空間可以變少,但即使能設法完全保留下來,對於日後要使用相關記錄內容,若不知如何調閱、分析,對於IT管理,將沒有太大的幫助。

因為這麼多各式各樣的原始資料,彼此之間的格式差異很大,若沒有經過分析、統計、正規化等處理程序萃取出精華,單靠這些記錄是無法讓人理解所代表的意義,幾乎等於沒有作用。此外,你沒有方向和目標,不知道要從哪裡開始著手,如同在大海撈針,如此一來,也就等於無法有效提升自身IT管理、資訊安全。

其他形式的使用紀錄、軌跡資料及證據,仍需要專屬產品協助管理
企業在面臨個資法要求時,除了需做好系統與應用程式本身的事件記錄管理,也要保留其他的資料,例如與客戶往來的電子郵件通聯記錄、系統操作歷程與畫面,以求自保。在實體安全的防護上,可持續監視、側錄使用環境現場畫面的網路視訊監控側錄系統,也是保存證據不可或缺的機制

要做到這些功能,往往需要能夠側錄的產品,而在企業環境最普遍應用的解決方案,就是郵件稽核∕備份——根據iThome 2012年個資法大調查的結果來看,有57%的公司或單位採用。
相較之下,其他類型的使用歷程記錄產品,像是主機畫面監控與側錄、數位鑑識(Computer Forensics)等,一般來說,導入比例並不高,目前僅少數有高度安全考量的公司或單位會採用。然而,隨著個資法的實施,這些能協助企業做好各種記錄管理的措施,勢必都要開始推動。

除了個資法的遵循要求之外,資安威脅形式的改變也是我們之所以要做好Log管理的原因之一。就入侵的行為來說,當有心人士想要潛入企業的網路環境與IT系統時,基本上,會以不在資安設備或系統中留下記錄為主要目標,而這些防護措施只有在阻擋成功或失敗時,才會產生相關的事件記錄,精誠資訊數據加值應用發展部技術經理陶靖霖說,真正成功的攻擊行為是不會在資安設備上留下記錄的,因此若要發現可疑事件,單從傳統資安設備的Log來判斷是不足的,必須仰賴其他現存系統的Log,他認為這也是各家資安事件管理產品逐漸觸角往外延伸出去的原因,透過這些設備或解決方案來收集,使它們變成自己的耳目。

若撇除法規的要求,企業之所以要做Log管理,其實也和他們想要提高系統運作狀態能見度的需求有關,而Log分析的結果,其實可視為一種警訊、狀態的提醒,讓你了解系統目前的狀況,就像我們若能即時掌握自己的脈搏、血壓資訊,由內到外、由上到下,就能更全面地了解自己的身體健康狀態,一次看清楚。

僅兩成企業將Log管理視為重點投資

在年初的iThome 2012 CIO大調查中,企業在資安的投資重點項目上,有21.3%的企業表示會著重在Log管理,但其實幾乎所有的資安技術的實際使用,都與Log管理密不可分,尤其是個資法實施之後,企業要落實法規遵循和資安鑑識,也必須具有良善的Log管理機制。

企業最常收集的各種事件記錄來源

在資訊安全組織SANS的記錄與事件管理2012年度調查中,絕大多數人所收集事件記錄的來源,主要是Windows Server(85%)、資安設備與網路設備,以及資安與網路系統。比例最低的倒數三名,則有實體環境的存取控管(17%)、實體環境∕作業流程的控制系統(8%)和雲端或委外的服務∕應用程式(8%)。

轉載自《iThome》