امن سازی لاگ یکی از الزامات مهم در حوزه فناوری اطلاعات و امنیت سایبری است. لاگ به فایل یا مجموعه‌ای از رکوردها گفته می‌شود که وقایع و فعالیت‌های مختلف سیستم، نرم‌افزار یا شبکه را ثبت می‌کند. این اطلاعات می‌تواند شامل مواردی مانند ورود و خروج کاربران، فعالیت‌های شبکه، وقایع امنیتی (فعالیت‌های مشکوک یا حملات سایبری)، خطاها و هشدارها (نرم‌افزاری و سخت‌افزاری) و تغییرات سیستمی باشد. لاگ‌ها به مدیران سیستم و متخصصان امنیت سایبری کمک می‌کنند تا وضعیت عملکرد سیستم را بررسی و مشکلات را شناسایی و رفع کنند و از امنیت سیستم محافظت نمایند. با توجه به تنوع زیاد لاگ‌های امنیتی در شبکه، نیاز به وجود روالی جهت مدیریت آن‌ها بسیار حائز اهمیت می‌باشد. در این مقاله که بر اساس سند امنیتی ارائه شده توسط “مرکز مدیریت راهبردی افتا” تهیه شده، تلاش شده تا چارچوب مشخصی از الزامات مدیریت لاگ برای سازمان‌ها ارائه شود.

اهداف

نگهداری و آرشیو لاگ به فرآیند جمع‌آوری، ذخیره‌سازی و مدیریت لاگ‌ها اشاره دارد که لازم است مطابق با سه اصل محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن لاگ‌ها پیاده‌سازی شود. این روال برای اطمینان از اینکه لاگ‌های امنیتی با جزئیات کافی برای مدت زمان مناسب ذخیره می‌شوند ضروری است. مدیریت صحیح لاگ‌ها از جنبه‌های مختلف امنیتی، قانونی، عملیاتی و مدیریتی اهمیت زیادی داشته و به سازمان‌ها در تشخیص و جلوگیری از حوادث امنیتی و ردیابی فعالیت کاربران، پاسخ به حوادث امنیتی، تطابق با مقررات و استاندارد‌های جهانی و عیب‌یابی و بهینه‌سازی سیستم کمک می‌کند.

دسته بندی لاگ

به طور کلی لاگ‌ها در هفت دسته اصلی تقسیم‌بندی می‌شوند که هر یک اطلاعات و رویداد های مختلفی را ثبت می‌کنند لذا سازمان‌های حیاتی می‌بایست نسبت به ثبت و نگهداری تمامی موارد ذیل اقدام نمایند.

لاگ سیستم عامل

لاگ‌های سیستم: شامل اطلاعات مربوط به عملکرد سیسیتم‌عامل، خطاها و تغییرات مهم در سیستم

لاگ‌های امنیتی: شامل اطلاعات مربوط به تلاش‌های ورود و خروج کاربران، دسترسی‌های موفق و ناموفق و تغییرات امنیتی در سیستم

لاگ‌های رخداد: ثبت رویداد‌های مختلف در سیستم‌عامل مانند نصب نرم‌افزارها، بروزرسانی‌ها و خطاهای سیستم

لاگ نرم‌افزار کاربردی

لاگ برنامه‌های وب: شامل اطلاعات مربوط به درخواست‌های ورودی و خروجی، خطاهای برنامه و دسترسی به منابع وب

لاگ‌های پایگاه داده: شامل اطلاعات مربوط به اجرای دستورات SQL، تغییر در داده‌ها و دسترسی کاربران به پایگاه داده

لاگ‌های سرور ایمیل: شامل اطلاعات مربوط به ارسال و دریافت ایمیل‌ها، خطاهای تحویل و دسترسی به صندوق‌های پست الکترونیک

لاگ شبکه

لاگ فایروال: شامل اطلاعات مربوط به ترافیک مجاز و غیرمجاز، قوانین فیلترینگ و حملات شناسایی شده

لاگ روتر و سوئیچ: شامل اطلاعات مربوط به ترافیک شبکه، تغییرات پیکربندی و خطاهای شبکه

لاگ سیستم‌های تشخیص و جلوگیری از نفوذ: شامل اطلاعات مربوط به فعالیت‌های مشکوک، حملات شناسایی شده و پاسخ به تهدیدات

لاگ احراز هویت و دسترسی

لاگ سرویس‌های احراز هویت: شامل اطلاعات مربوط به تلاش‌های ورود و خروج، تغییرات رمز عبور و دسترسی به منابع

لاگ Active Directory و LDAP: شامل اطلاعات مربوط به تغییرات در حساب‌های کاربری، گروه‌ها و دسترسی به دایرکتوری‌ها

لاگ سرویس‌های ابری

لاگ پلتفرم‌های ابری: شامل اطلاعات مربوط به دسترسی به منابع ابری، تغییرات پیکربندی و فعالیت کاربران در محیط‌های ابری

لاگ‌های امنیت فیزیکی

لاگ دسترسی فیزیکی: شامل اطلاعات مربوط به دسترسی به اتاق‌های سرور و استفاده از کارت‌های دسترسی

لاگ سیستم‌های نظارتی: شامل اطلاعات مربوط به رویدادهای ثبت شده توسط دوربین‌های نظارتی و سیستم‌های امنیت فیزیکی

لاگ سیستم‌های مدیریت و مانیتورینگ

لاگ سامانه مدیریت رخداد: شامل اطلاعات جمع‌آوری شده از منابع مختلف برای تحلیل و مدیریت امنیت

لاگ نرم افزار‌های مدیریت شبکه و سیستم: شامل اطلاعات مربوط به نظارت عملکرد و سلامت سیستم‌ها و شبکه‌ها

الزامات امن سازی لاگ

در وهله اول سازمان باید خط مشی و رویه‌هایی را برای مدیریت لاگ ایجاد کند. برای ایجاد و حفظ فعالیت‌های مدیریت لاگ، یک سازمان می‌بایست فرایندهای استاندارد را برای انجام مدیریت لاگ توسعه دهد. به عنوان بخشی از این فرآیندها، سازمان باید الزامات و اهداف ثبت لاگ را تعریف کند و بر اساس آن‌ها سیاست‌هایی را توسعه دهد که الظامات اجباری و توصیه‌های پیشنهاد در زمینه مدیریت لاگ، شامل چرخه تولید، انتقال، ذخیره‌سازی، تجزیه و تحلیل و حذف لاگ را به وضوح تعریف کند. پیش از بیان الزامات، لازم است به توضیح مفهوم Audit Log بپردازیم:

لاگ ممیزی یا Audit Log که به عنوان Audit Trail نیز شاخته می‌شود، سابقه‌ی کلی از تمامی فعالیت‌ها، تغییرات و رویداد‌های مهم در یک سیستم، نرم‌افزار یا شبکه را در خود جای می‌دهد. این لاگ به منظور مستند‌سازی و پیگیری فعالیت‌های کاربران، تغییرات سیستم و دسترسی‌ها استفاده می‌شود. هدف اصلی این است که ردیابی دقیقی از تمامی اقدامات و فعالیت‌ها فراهم کند تا بتوان در صورت نیاز جهت تحلیل و پاسخ به حوادث امنیتی نظارت و کنترل دسترسی به آن‌ها مراجعه کرد. یک Audit Log باید شامل اطلاعات کاربر (شناسه، نقش و سطح دسترسی کاربر)، زمان و تاریخ رویداد، نوع رویداد (نوع فعالیت انجام شده مانند ورود-خروج-دسترسی به فایل)، نتیجه رویداد‌ (موفقیت آمیز بودن یا نبودن) و مبدا و مقصد ارتباط (مثلا آدرسی IP) باشد.

سطوح پیاده سازی

سطوح پیاده سازی در کنترل های امنیتی CIS، برای کمک به سازمان‌ها در اولویت‌بندی و پیاده‌سازی کنترل‌های امنیتی بر اساس سطح پیچیدگی و منابع مورد نیاز طراحی شده‌اند. هر سطح نشان‌دهنده بلوغ و پیشرفت در پیاده‌سازی کنترل‌ها است. هدف اصلی این است که سازمان با ارزیابی روند پیاده‌سازی کنترل‌های امنیتی خود به شکلی سازمان‌یافته‌تر و هدفمند‌تر، سطح امنیت سایبری خود را بهبود بخشیده و در برابر تهدیدات محافظت شود.

سطح ۱ (IG1)

به سازمان‌های کوچک تا متوسط با تخصیص محدود فناوری در حوزه امنیت سایبری برای حفاظت از دارایی‌ها و پرسنل فناوری اطلاعات اختصاص دارد. دغدغه اصلی این سازمان‌ها نگه داشت عملیاتی کسب و کار خود، به دلیل تحمل محدود خرابی است. حساسیت داده هایی که این نوع از سازمان‌ها سعی در محافظت آن‌ها دارند کم و اصولا تنها محدود به اطلاعات مالی و هویتی کارمندان است.

سطح ۲ (IG2)

برای سازمان‌هایی است که از بخش‌های متعدد با ریسک‌های متفاوت بر اساس عملکرد و ماموریت شغلی خاصی تشکیل شده‌اند. این سازمان‌ها اغلب اطلاعات حساس مشتری یا سازمانی را ذخیره و پردازش می‌کنند و می‌توانند وقفه‌های کوتاه خدمات را تحمل کنند. نگرانی اصلی این سازمان‌ها از دست دادن اعتماد عمومی در صورت وقوع اختلال و نشت داده است. این دسته از سازمان‌ها علاوه بر رعایت ملاحظات سطح ۱، ملاحظات این سطح را نیز پیاده‌سازی کرده‌اند.

سطح ۳(IG3)

برای سازمان‌هایی است که بخشی از پرسنل آن ها کارشناسان امنیتی هستند که در جنبه‌های مختلف امنیت سایبری مانند مدیریت ریسک، تست نفوذ و امنیت سامانه تخصص دارند. دارایی‌ها و داده‌های این سازمان شامل اطلاعات یا عملکرد های حساس و تحت نظارت است. سازمان‌هایی که در این سطح قرار دارند، باید در دسترس بودن خدمات، محرمانه بودن و یکپارچگی داده‌های حساس را بررسی کنند چرا که حملات موفقیت‌آمیز به این سازمان‌ها می‌تواند آسیب‌های قابل توجهی به رفاه اجتماعی وارد کند. این دسته از سازمان‌ها علاوه بر رعایت ملاحظات سطح ۱ و ۲، ملاحظات این سطح را نیز پیاده‌سازی کرده‌اند.

عملکرد امنیتی

عملکردهای امنیتی در چارچوب امنیت سایبری NIST Cybersecurity Framework v2.0 (CSF)، مجموعه‌ای از فعالیت‌ها و فرایند‌هایی است که به سازمان‌ها کمک می‌کنند تا ریسک‌های امنیت سایبری خود را به طور جامع مدیریت کنند. این عملکرد‌ها به عنوان بخش اصلی چارچوب امنیت سایبری، هر یک نقش مهمی در مدیریت و کاهش ریسک‌های امنیتی سایبری دارند.

Govern (حاکمیت): ایجاد ساختار های مدیریتی و نظارتی برای اطمینان از هماهنگی و همخوانی تمامی فعالیت‌های امنیتی با اهداف و سیاست‌های سازمان و تضمین اینکه این فعالیت‌ها به طور موثر و مستمر انجام می‌شوند.

Identify (شناسایی): شناسایی دارایی‌ها، داده‌ها و نقاط ضعف امنیتی به منظور درک بهتر از وضعیت موجود و شناسایی تهدیدات بالقوه

Protect (حفاظت): پیاده‌سازی اقدامات و کنترل‌های امنیتی برای حفاظت از دارایی‌ها و اطلاعات سازمان در برابر تهدیدات

Detect (تشخیص): نظارت و شناسایی فعالیت‌های مشکوک و رخداد‌های امنیتی به منظور تشحیص زود هنگام حملات و تهدیدات

Respond (پاسخ‌دهی): پاسخ‌دهی به دخداد‌های امنیتی به منظور کاهش تاثیرات منفی و بازیابی سریع سیستم‌ها و اطلاعات

Recover (بازیابی): بازیابی سیستم‌ها و اطلاعات پس از وقوع رخدادهای امنیتی و اطمینان از بازگشت به وضعیت عادی عملیات

منبع: مرکز مدیریت راهبردی افتا