Logging er kurant på de fleste nettverkene der det oppbevares følsom informasjon: Teoretisk sett skal man da kunne finne fram til hvem som har snoket gjennom sykejournaler, bankkonti og liknende uten gyldig grunn.
Det er to hovedgrunner til at dette blir i teorien. Logger er svært vanskelig å lese, og enda vanskeligere å samkjøre. De innholder store mengder med informasjon som stort sett aldri kommer til nytte: Derfor er fristelsen stor til å slette dem etter noen få måneder.
Det gjør at mange ikke-tillatte oppslag ikke lar seg spore: Det er derfor opplysninger fra bankkonti, politidata, helseregistre og så videre kan havne hos kjendispresse eller andre uvedkommende. Snokerne vet at loggene er en formalitet, og at risikoen for å bli oppdaget er svært liten, særlig hvis de venter en stund med å gjøre noe med det de har funnet.
Autentisering er ikke løsningen: Erfaringen tyder på at det er utro tjenere internt som snoker.
Løsningen heter loggkonsolidering. Analyseselskapet Gartner har funnet på et flott navn for dette, med tilhørende forkortelse: «Security Information Event Management», «SIEM».
– For at SIEM skal være til noen nytte, må loggene oppbevares mye lenger enn i dag, sier André Holvik i RSA Norge til digi.no. – Standardkravet for helsesektoren i Norge er at loggene om hvem som for eksempel har vært inne i hvilke sykejournaler, skal oppbevares i minst tre måneder. Den amerikanske standarden HIPAA opererer med et krav om seks år. Norske helseforetak sier de følger HIPAA som ledetråd, men det er ikke tilfellet når det gjelder logging.
Holvik definerer loggkonsolidering som samkjøring av data fra alle systemers logger, med evnen til å rekonstruere handlingsforløp og dokumentere hva som er skjedd. Det skal omfatte logger fra snokvarslere, brannmurer, rutere og så videre, i tillegg til logger fra oppslag i databaser, journalsystemer med mer.
– Det som kreves for å få oversikt, er ett felles system som kan trekke ut relevant informasjon. Man vil gjerne ha et system som pusjer ut informasjon i sanntid, og som oppbevarer den, slik at lokal sletting av logger, eller av enkeltoppføringer, ikke får noen virkning.
RSAs loggkonsolidering heter EnVision, og kommer ferdig installert i en dedikert enhet.
Gartner definerer en optimal SIEM-løsning som en som støtter innsamling og analyse av loggdata i sanntid fra alle slags vertssystemer, sikkerhetsenheter og nettverksnoder, som oppbevarer informasjon over lang tid, som støtter ulike typer rapportering, som ikke krever noen utstrakt grad av skreddersom er spesiell tilpasning, og som er enkel å drifte.
I sin rapport Magic Quadrant for Security Information and Event Management, som ble publisert i mai i år, gjengis denne oppsummering av ulike aktørers tilbud innen loggkonsolidering:
RSA – som ble kjøpt av EMC i september i fjor – troner i området reservert for lederne, det vil si aktørene som kombinerer evnen til å levere med en komplett visjon. En annen klar leder er Symantec, mens Cisco, IBM, CA og Novell får merkelappen «utfordrere».
Gartner skriver i rapporten at SIEM-markedet er i rask omdanning på grunn av tre faktorer:
- Kundene oppfatter at overvåking av brukere og aksess er det viktigste problemet.
- Løsninger kreves av et stadig bredere utvalg av kunder.
- Store aktører tilbyr produkter og tjenester som bidrar til løsninger.
I snevrere forstand er loggkonsolidering påkrevet fordi man vil bevare så mye som mulig, i mangel av konkrete regler eller retningslinjer fra myndighetene, fordi man vil bevare over lengre tidsperioder enn tidligere, og fordi man i stadig større utstrekning er klar over betydningen av detaljerte og historiske analyser av loggdata for etterforskere, skriver Gartner.
Om RSAs løsning skriver Gartner at EnVision bør vurderes der det er et behov for å samle all data og gjøres tilgjengelig for analyse, særlig dersom man har begrenset tilgang til database- og serverressurser. Dersom det egentlige behovet er en fullfunksjons konsoll for en operativ sikkerhetssentral, mangler EnVision fleksibilitet, og andre løsninger bør vurderes.
Symantecs løsning er i følge Gartner skalerbar og enkel å legge opp. Miljøer med stort innslag av infrastruktur fra Cisco, IBM og CA bør også vurdere SIEM-løsninger fra disse.
Rapporten fra Gartner gjennomgår også de øvrige leverandørers løsninger, og påviser de forholdene som gjør at de kan være mer hensiktsmessige enn løsningene fra de større leverandørene og fra de to kjente lederne.