Comments | infowatch: Это какие-то неправильные логи

infowatch

Это какие-то неправильные логи

Nov 01, 2013 21:27

Логи, которые пишет подавляющее большинство программ, предназначены сисадминам, а не безопасникам. Они ориентированы на настройку взаимодействия, на поиск ошибок и неверной конфигурации, на оптимизацию ресурсов, на учёт потребления. А нам нужно - для расследования инцидентов, для выявления злоупотреблений, для поиска злоинсайдеров. Это ж совсем ( Read more... )

политика безопасности, криминалистика

Comments 10

wml3 November 1 2013, 16:33:30 UTC

>Криминалистические логи пока не отпочковались от обычных.

Хочу примеры программ сознательно ведущих криминалистические логи.

infowatch November 1 2013, 16:48:59 UTC

DLP-система нашего производства.

wml3 November 1 2013, 16:51:22 UTC

Это некрасиво.

wml3 November 1 2013, 16:53:29 UTC

И да, решение суда англосаксонской юрисдикции, где логи вашей DPL фигурировали бы в качестве криминалистических доказательств покажите.

Thread 5

swilf November 1 2013, 18:30:06 UTC

Логи самой распространенной в России учетной системы, например, не отличают изменение данных от записи неизменного набора данных, не фиксируют сохранение данных во внешние файлы и не позволяют понять, какие именно поля из записываемого набора были модифицированы пользователем. Скажем, в ситуации, когда за анализируемый период один и тот же набор данных был изменен двумя или более пользователями, установить виновного с помощью лога оказывается невозможно, и расследование инцидента останавливается.

wml3 November 2 2013, 02:09:16 UTC

Вы не поверите, расследовать инциденты можно вообще без анализа и использования логов в качестве доказательств. Трудозатраты - да, будут выше. Но, это реально.

swilf November 2 2013, 08:26:48 UTC

А я и не говорю, что расследование нереально. Говорю, что оно останавливается.

evil_harconen November 2 2013, 05:19:22 UTC

Про логи.

Нет никаких принципиальных проблем писать логи, пригодные для расследования.
Надо только разработчику сказать что именно надо в них записывать, но находясь в пределах здравого смысла.

А пока что на вопрос "что" обычно дается ответ "всё и побольше, побольше!!!". Неудивительно, что такое протоколирование отключают сразу после запуска системы.

В реальности же разбор лога админом, разработчиком и следователем - три совершенно разные процедуры. И надо писать не "всё", ибо в этом "всём" можно найти доказательство, что земля держится на трёх китах, плывущих в океане слонов. Надо ориентироваться как на возможный уровень владения системой (у следователей - минимальный), так и на время, потраченное на разбор ситуации (у следователя - на два порядка больше, чем у прочих потребителей логов).

Так вот, в моей практике никто пока адекватных требований из безопасников не сформулировал.

pesec November 9 2013, 09:39:01 UTC

Вроде как есть специальный термин: "audit log", в отличие от обычного лога.