Odborný článek AG COM v SecurityWorld
15. 03. 2011
V březnovém čísle čtvrtletníku o informační bezpečnosti SecurityWorld, který vydává společnost IDG Czech Republic, a.s., byl publikován článek Jana Matějky (Senior Consultant) ze společnosti AG COM, a.s. na téma dohledového systému Audit Collection Services od společnosti Microsoft.
Přinášíme Vám přepis tohoto článku:
ACS: sbírat či nesbírat, to je oč tu běží.
Název tohoto článku zcela vystihuje jeho téma. Tím je dlouhodobé uchování bezpečnostních událostí a jejich následná analýza. Zdá se vám, že se vás tato disciplína netýká? Rozhodněte se až po přečtení tohoto příspěvku.
Proč?
Důvodů proč se věnovat této problematice je mnoho. Může to být například povinnost plnit vybrané zákonné předpisy, mohou to být požadavky plynoucí od mateřské společnosti, která podléhá různým regulacím (SOX, HIPAA, IEEE..), nebo může jít o požadavek daný interní politikou společnosti. Velmi častým důvodem je také to, že administrátorům není lhostejné, co se v jejich infrastruktuře děje. Nejčastějším důvodem je dnes poměrně atraktivní norma ISO 27000 – Management bezpečnosti informací. Pokud se touto normou „prokoušete“, narazíte na kapitolu, která se zabývá řízením komunikací a provozu. Hle, důvod poohlédnout se po nějakém nástroji, který nám pomůže tuto problematiku vyřešit, je na světě.
Předpokládejme, že se zabýváme společností, která oblast systémového managementu svěřila do rukou jedné platformě. Rozhodnutí to je jistě správné, protože jedině tak lze dosáhnout toho, aby všechny oblasti byly spravovány nástroji, které mají společnou nebo podobnou architekturu, mají společné intuitivní ovládání, ale hlavně spolu dokáží spolupracovat na vysoké úrovni a vzájemně tak využívat svých schopností a vlastností. Jedním z takovýchto řešení je „rodina“ System Center společnosti Microsoft. V našem případě se budeme zabývat produktem System Center Operations Manager, tedy moderním proaktivním dohledovým systémem, schopným monitorovat heterogenní prostředí.
Realita
Vžijme se do situace administrátora a zkusme si sami zodpovědět následující otázky. Mám přehled o tom, jak se uživatelé autentizují? Jsem schopen zjistit, kdo, kdy a jak nakládal s účty uživatelů? Mám přehled o tom, kdo zasahuje do členství v citlivých skupinách a mění konfiguraci klíčových oblastí Active Directory? Jsme schopni doložit neoprávněné přístupy do vybraných adresářů? Takovýchto otázek bychom dokázali jistě položit mnoho. Pokud u nich převládá negativní odpověď, čtěte dál.
Security Log. Tento magický log, který všichni známe, ale málokdo ho má rád. Není divu. Obecně je vnímán jako log, do kterého se neustále „něco“ sype a toho „něčeho“ je opravdu hodně. Všichni se hrozí situace, kdy budou muset v tomto logu dohledat nějakou klíčovou informaci. Pokud jsme ve čtení tohoto logu zdatní a dokážeme si vše podstatné vyfiltrovat, narazíme velmi pravděpodobně na skutečnost, že potřebná data už v logu nejsou. Ve větších prostředích a výchozím nastavení tohoto logu je běžné, že je automaticky přepsán během několika (málo) hodin. Nezbývá tedy než tato data uchovat a hlavně uživatelsky zpřístupnit. Můžeme k tomu samozřejmě využít různé komerční nástroje, které ovšem mohou významně zasáhnout do našeho rozpočtu. V našem případě využijeme funkcionality provozovaného dohledového systému s názvem Audit Collection Services. Zcela zásadním poznatkem je, že tato funkcionalita je již obsažena v licencích Operations Manageru.
Terminus Technikus
Pojďme se podívat, jak tato technologie funguje v nejmenším možném rozsahu implementace, tedy jednom dohledovém serveru (Management server) s několika dohledovanými servery (Agenty). Po instalaci komponenty ACS začne management server plnit roli „sběrače“ (ACS Collector). Tento kolektor má svoji vlastní SQL databázi, do které ukládá všechna data. Databáze může být umístěna na libovolném SQL serveru, nejlépe však zcela mimo doménu (a správu) AD. Na každém dohledovaném serveru „spí“ služba ACS Forwarder. Pokud je v systému ACS aktivována, začnou se všechny Security logy (kopie) posílat na kolektor, ten záznamy zpracuje a uloží do SQL databáze. Na řadu pak přichází SQL reporting services, díky kterému jsme schopni zpřístupnit všechna data formou přehledných reportů, kterých je možné vytvářet libovolné množství. Úroveň zabezpečení celého řešení ACS a rozsah auditu je vždy dán specifickými požadavky prostředí. Vše, co je zaznamenáno do security logu, můžeme analyzovat formou reportů. Samozřejmostí je maximálně zabezpečit jakýkoliv konfigurační zásah do infrastruktury ACS. Zde je možné řídit se pravidlem, že co nejsem schopen dostatečně zabezpečit, musím alespoň auditem zachytit a uchovat. Pokud je tedy security log vědomě smazán, nejenže máme všechna data v SQL, ale zároveň i informaci, kdo a kdy tento log smazal.
Operations Manager můžeme využít také k monitorování všech bezpečnostních událostí v reálném čase a například o přidání uživatele do skupiny Domain Administrators můžete být okamžitě informováni SMS zprávou. Tímto tématem se ale článek nezabývá.
Obr: Architektura ACS
Kostky jsou vrženy
ANO. Takto můžeme nyní odpovědět na všechny otázky, které jsme si na začátku položili. Funkcionalita Audit Collection Services dokáže splnit nejen požadavky administrátorů, ale uspokojí také auditory bezpečnosti. Nezapomínejme ovšem na podstatné. Každé prostředí je natolik bezpečné, nakolik důvěryhodný je jeho správce!
