Audit logs bestaan uit systeem informatie gebruikt om systeem- en gebruikersactiviteiten op te sporen en te koppelen aan gebeurtenissen (events). Gebruik makend van de juiste tools en procedures kunnen audit logs bijdragen tot de detectie van inbreuken op informatie- en ICT-veiligheid, het opsporen van technische problemen en non-conformiteit t.o.v. beleidslijnen. Monitoring gaat nog een stap verder door (near) real-time opvolging van gebeurtenissen. Logging bestaat uit het verzamelen en bijhouden van informatie; deze informatie wordt op haar beurt gebruikt voor relevante opvolging en dient als controle input voor de beveiliging en risicobeheersing.
In oplopende volgorde van complexiteit bestaat het loggen uit:
Manuele logboeken,
Geautomatiseerde audit logs,
Audit trails.
Er worden verschillende geautomatiseerde audit logs erkend:
Technische logs of systeem logs: hierin worden gebeurtenissen (events) opgenomen zoals het gebruik technische en functionele beheersfuncties, activiteiten onder beveiligingsbeheer, verstoringen en (veiligheids-)incidenten. Voorbeelden van veiligheidsincidenten zijn: detectie van malware, foutieve inlogpogingen (hiervoor wordt een drempelwaarde bepaald), overschrijding van autorisatiebevoegdheden, geweigerde pogingen om toegang te krijgen, het gebruik van niet
operationele systeemservices en het starten en stoppen van security services. Voorbeelden van verstoringen in het productieproces zijn: vollopen van queues, systeemfouten, afbreken tijdens executie van programmatuur en het niet beschikbaar zijn van aangeroepen programmaonderdelen of –systemen.Applicatie logs: verzamelt gebeurtenissen van een toepassing zoals berichten, uitzonderingen en fouten. Het formaat en de inhoud van deze logs wordt bepaald tijdens de design fase van een toepassing. Applicatie logs worden ook wel functionele logs genoemd, een bijzondere vorm hiervan is transactionele logging, waarbij informatie uit transacties worden bijgehouden.
Het verwerken van de log informatie, ook weer in oplopende volgorde van complexiteit, bestaat uit:
Analyse van de audit logs, bij voorkeur a.d.h.v. filtering tools,
Correlatie van diverse audit logs, al dan niet met externe bronnen,
(Real-time) veiligheidsmonitoring,
Security incident & event monitoring (SIEM).
Merk op dat de complexiteit gepaard gaande met automatisatie omgekeerd evenredig is met de operationele middelen (mankracht – tijd) nodig om de taak uit te voeren.\
Manuele logging is het handmatig bijhouden van activiteiten en registratie ervan in een logboek. Het spreekt voor zich dat deze methode het meest gevoelig is voor fouten, onregelmatigheden en het ontbreken van activiteiten, daar deze gebaseerd is op de discipline en de capaciteit van de uitvoerders om deze taak systematisch en precies te herhalen. Bovendien zijn er vaak meerdere uitvoerders bij
betrokken, wat eenzelfde methodiek en discipline noodzaakt. Een voorbeeld waar manuele logging wel vaak gebruikt wordt, is het bezoekerslogboek.
De eerste stap bij het opzetten van een succesvol audit programma, is het identificeren en documenteren van de te loggen activiteiten, en hun onderlinge relaties, die relevantie hebben met het beoogde doel. Hierbij worden volgende types onderscheiden:
...
Gebruikersactiviteiten: dit is elke menselijke tussenkomst in een proces (creatie, consultatie, wijziging, verwijdering). Deze tussenkomst omvat ook het gebruik van geprivilegieerde accounts;
Systeemactiviteiten: bvb systeemfouten, shutdown/restart, enz.
Een volgende stap is het opzetten van een goede audit infrastructuur, deze ziet er globaal genomen zo uit:
...
Log informatie genereren d.m.v. parametrisatie van lokale systemen, Parametrisatie van lokale systemen zodat zij audit records (events) verzamelen, Deze informatie wordt vanuit de lokale systemen in een logbeheer platform verzameld. Dit kan een bestand of een database zijn die lokaal of centraal opgeslagen wordt. Het log beheer platform bewaakt de integriteit en beheert de lifecycle van de verzamelde log informatie (events),
...
Een log analyse tool maakt gebruik van deze centrale database aan audit records,
...
Er is tevens back-up van logbestanden voorzien,
...
| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
Het proces van veiligheidslogging en monitoring is ontworpen om continu toezicht te houden op activiteiten en gebeurtenissen binnen systemen en netwerken, met als doel afwijkingen te identificeren en beveiligingsincidenten proactief te beheren. Door deze aanpak wordt de integriteit, vertrouwelijkheid en beschikbaarheid van informatie bewaakt en beschermd. Het proces zoals hier beschreven is gedefinieerd op een basisniveau, waarbij een set aan minimale maatregelen wordt geïmplementeerd die organisatie breed dient gerespecteerd te worden. Naarmate er hogere data classificatie niveaus betrokken zijn, kunnen aanvullende maatregelen worden toegevoegd om aan de striktere vereisten te voldoen.
Veiligheidslogging en monitoring in het kader van informatieclassificatie
Logging en monitoring is essentieel voor het bewaken van informatie, geclassificeerd op basis van vertrouwelijkheid, integriteit en beschikbaarheid. De informatieclassificatie bepaalt de prioriteit en aanpak binnen het logging- en monitoringproces. Voor informatie met een hogere classificatie worden strengere controle- en analysevereisten toegepast.
Vertrouwelijkheid: Informatie die een hoge vertrouwelijkheid heeft, wordt specifiek gemonitord op ongeautoriseerde toegangspogingen en afwijkende toegangspatronen.
Integriteit: Monitoring voor systemen met een hoge integriteit richt zich op wijzigingen die de juistheid en betrouwbaarheid van de informatie kunnen aantasten.
Beschikbaarheid: Voor kritieke systemen waarvan de beschikbaarheid essentieel is, worden logevents die wijzen op mogelijke verstoringen, zoals DoS-aanvallen, snel opgevolgd.
Veiligheidslogging en monitoring omvat een aantal basisactiviteiten die afhankelijk van de klasse waartoe de betrokken informatie behoort al dan niet verplicht uitgevoerd worden. Deze activiteiten zijn:
Identificatie van te loggen events;
Registratie van de events (logging);
Beoordeling van de events (Analyse en monitoring);
Beheersing van de events (Eventdetectie en waarschuwingsbeheer);
Validatie van de genomen beheersingsmaatregelen (Incidentbeheer);
Rapportage;
Uitvoeren van lessons learned.
Veiligheidslogging en monitoring is een kernproces in het ICR.
De minimale beschikbaarheid van het proces ‘veiligheidslogging en monitoring’ zelf is afhankelijk van het type en klasse van de betreffende informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).
Identificatie van te loggen events
In deze eerste stap wordt bepaald welke events essentieel zijn voor veiligheidsmonitoring. Denk hierbij aan activiteiten zoals inlogpogingen, systeemwijzigingen en toegang tot gevoelige data. Door relevante events te identificeren, wordt een eenvormige basis gelegd voor effectieve log- en incidentmonitoring.
Registratie van de events (loggingà
Na de identificatie worden de geselecteerde events nauwkeurig vastgelegd en bijgehouden in logs. Deze logging is ontworpen om een gedetailleerd overzicht van belangrijke acties en systeeminteracties te bewaren, met als doel manipulatie te voorkomen en een solide basis te bieden voor verdere analyse.
Beoordeling van de events (analyse en monitoring)
In deze fase worden de vastgelegde events regelmatig geanalyseerd, met een focus op het opsporen van afwijkingen of verdachte patronen. Analyse en monitoring gebeuren op basis van vooraf ingestelde regels, waarbij afwijkingen snel worden gesignaleerd. Als startpunt wordt hierbij gekozen voor regels die vooral herkenbare basisveiligheidsrisico’s gaan opsporen.
Beheersing van de events (Eventdetectie en waarschuwingsbeheer)
Zodra een potentieel veiligheidsincident wordt opgemerkt, genereert het systeem een waarschuwing. Deze meldingen worden beheerd en opgevolgd door het beveiligingsteam, waardoor directe acties kunnen worden ondernomen om potentiële dreigingen in te perken. Gezien het hier nog steeds gaat over een standaardproces, kunnen deze meldingen manueel afgehandeld worden, meestal bij wijze van creatie van een incident ticket dat verder het incidentbeheersproces op gang zet. Verdere afhandeling van het betrokken incident gebeurt dan daar.
Validatie van de genomen beheersmaatregelen (Incidentbeheer)
Bij detectie van een afwijking wort via incidentbeheer het incident verder afgehandeld. Dit kan gepaard gaan met de inzet van additionele beheersmaatregelen. Validatie omvat een terugkerende controle op het probleem en bevestigt dat de genomen maatregelen de gewenste resultaten opleveren (het niet meer voorvallen van het potentiële veiligheidsincident) zonder nieuwe risico’s te introduceren.
Rapportage
De bevindingen van het logging- en monitoringproces worden gedocumenteerd en gerapporteerd aan relevante stakeholders. Deze rapportage bevat een overzicht van de gedetecteerde events, bijkomende beheersmaatregelen waar van toepassing, en eventueel resterende risico’s.
Uitvoeren van lessons learned
Na afsluiting van het incident vindt een evaluatie plaats om het proces te verbeteren. Lessons learned bieden inzicht in de effectiviteit van de detectie en de respons, en identificeren mogelijke verbeteringen voor toekomstige incidenten.
Ingeval er aanpassingen dienen te gebeuren aan het proces, dient de uitvoering ervan opgenomen te worden via het wijzigingsbeheer proces.
