Autorem odborného článku je Tomáš Přibyl, externí redaktor

Nejhorší bezpečnostní problém je takový, který zůstane neobjevený.

Nemůžeme jej odstranit, nemůžeme se na něj připravit a jsme tak odsouzeni do rolí pasivních statistů. Aby tato noční můra každého správce systému nenastala, můžeme použít bezpečnostní monitoring.

Data vs. informace

Pokud bychom se chtěli držet čistě technické stránky věci, pak monitoring představuje pravidelně či nárazově prováděné testy či kontroly jednotlivých síťových prvků či služeb. Nárazové provádění se provádí nejčastěji jako reakce na nějakou změnu nebo situaci. Monitoring je tedy mechanismus, s jehož pomocí získáváme data o aktuálním stavu systému. V rámci monitoringu jsou data zaznamenávána do protokolů (logů). V tuto chvíli možná trochu překvapivě celý monitoring končí. Jde totiž jen a jen o onen sběr dat, se kterými ovšem musíme pro dosažení kýženého výsledku (co nejvyšší bezpečnost systému) dále pracovat. Aneb data, ze kterých nejsme schopni vytěžit skutečné informace, jsou zcela zbytečná. Smysl získaných dat je ve dvou oblastech. Zejména nám umožňují zjistit, co se právě děje a na vzniklou situaci operativně reagovat. A zároveň umožňují zpětné ohlédnutí za tím, cože se dělo. Tím se můžeme za bezpečnostním incidentem a stavem či indiciemi k němu vedoucími ohlédnout, zjistit, co jsme udělali špatně nebo neudělali vůbec, a poučit se do budoucnosti. Monitorovat lze prakticky cokoliv: od elektronické pošty, chodu serverů, místa na discích, stavu zálohování, detekce škodlivých kódů, průniků do sítě, pokusů o neoprávněná přihlášení, až po provoz na síti, výpadky zařízení, využití služeb apod. Přitom je ovšem vždy zapotřebí si stanovit přesný a jasný cíl – a tomu podřídit charakter a podobu získávaných dat. Abychom ony kýžené informace v konečném důsledku získali.

Do království logů

Logy jsou tedy záznamy o činnosti informačních systémů, přičemž je sbíráme z operačních systémů, aplikací, IDS či síťových prvků. Každý by měl obsahovat časovou značku, aby bylo jasné, v jakém okamžiku vznikl, a ke které události jej přiřadit. Logují se především důležité události (zapnutí systému, přihlášení/odhlášení jednotlivých uživatelů apod.), vzniklé problémy (s dostupností, s přetížením apod.) nebo nepovolené aktivity (instalace software, neplatné pokusy o přihlášení aj.). Logy bezpodmínečně musí mít možnost vyhledávání a musí být srozumitelné. Ukládat by se měly dostatečně dlouhou dobu: obecně se doporučuje šest měsíců. Časem sice klesá hodnota jejich obsahu, ale samy o sobě mohou být z dlouhodobého hlediska cenným materiálem pro statistické zpracování (a tím i další zvýšení bezpečnosti). V případě logů potřebujeme zajistit jednak jejich dostupnost, tedy to, aby byly v případě potřeby ihned k dispozici. Jednak jejich důvěrnost: aby se k nim dostaly pouze oprávněné osoby. Vždyť logy upozorňují nejen na slabiny celého systému, ale zároveň mnohé vypovídají i o našich bezpečnostních opatřeních (co je sledováno apod.). Mohly by se tak stát nebezpečným návodem k tomu, jak se dostat do našeho systému. A jednak musíme zajistit jejich integritu. Tedy to, aby se zpětně neměnil jejich obsah – byť s dobrým úmyslem. I chyba v logu totiž o mnohém vypovídá...

Logy ukládáme na centrální server, neboť tím dosáhneme centralizace bezpečnosti, snadnější a přesnější vyhledávání a korelaci dat z různých systémů. Navíc takto lze analyzovat i vypnutý systém. Je možné ponechávat logy na lokálních zařízeních: kvůli kontrole integrity i kvůli zálohování. Pokud by se útočníkovi dostal log z lokálního zařízení, udělá si maximálně představu o jeho monitorování – ale nikoliv o podobě a stavu celého systému.

Vyhodnocování logů může probíhat on-line nebo off-line. V prvním případě probíhá v reálném čase, ve druhém případě probíhá dodatečně. První případ se používá k okamžité ochraně, druhý případ spíše k pozdější analýze nějakého stavu nebo incidentu. Samozřejmě, že v případě několik sekund trvajícího útoku je zapotřebí reagovat extrémně rychle a nějaká dodatečně provedená analýza nebrání problému, nýbrž už jen umožňuje zpětně se ohlédnout a vyhodnotit „kde nechal tesař díru“.

Monitoring nejen pro bezpečnost

Bezpečnost je jednou, nikoliv ale jedinou oblastí, kde můžeme monitoring použít. (Jeho širší záběr mimochodem často umožňuje jeho lepší prosazení u managementu organizace.) S pomocí monitoringu sítě tak třeba zjišťujeme dostupnost jednotlivých prvků sítě. Snaha předcházet výpadkům (analýzou dat, která výpadku předcházela) nebo přinejmenším výpadky zkracovat na nezbytně nutné minimum pomáhá právě monitoring. Dále je to kontrola dostupnosti aplikačních služeb. Tedy skutečnost, zdali jednotlivé prvky poskytují služby, které mají plnit. Dalším parametrem, který můžeme monitoringem sledovat, je kontrola provozních parametrů jednotlivých prvků sítě: tyto jsou dostupné a poskytují očekávané služby – ale poskytují je v požadované kvalitě?

Monitoring také zajišťuje kontrolu reakční doby aplikačních služeb. Což v podstatě přímo souvisí s kontrolou kvality, ale reakční doba má natolik výsadní postavení, že je nutné ji sledovat speciálně. Důvodem je nutnost zajistit kontinuitu provozu pro mnoho služeb, u kterých hraje přesné časování významnou roli. Měření přenosu dat na jednotlivých rozhraních je další oblastí využití monitoringu. Odpovídá na otázky „kudy data tečou sítí (a proč)“ či „kde jsou slabá místa sítě (a proč)“. Monitoring v tomto případě pomáhá odhalit „úzká hrdla“ systému. Monitoring dále pomáhá zjistit kontrolu chybovosti jednotlivých tras. V neposlední řadě monitoring sbírá podklady pro aktivní systémy IDS/IPS (Intrusion Detection/Prevention System), pro archivní logy (soulad s normami či legislativou aj.) či pro aktivaci obsluhy v případě mimořádných událostí. Do budoucna pak pomáhá předvídat potřeby růstu síťového provozu sledováním aktuálních trendů a dodává podklady pro koncepci dalšího rozvoje.

Rozhodně toho není málo, co monitoring umí – a k čemu všemu jej můžeme využít...