Security

Scheidler_Balazs_420
Forrás: ITB
Elosztott logok

Csak ami jár

A számítógépes rendszerek naplóállományai minden eddiginél több adatot rögzítenek a hardverek és szoftverek működéséről, valamint a felhasználók aktivitásáról. Ezzel együtt a hasznos információ kinyerése is jóval nehezebb lett. Az egyik lehetséges irány a logok elosztott kezelése.

Komoly fejlődésen ment keresztül a naplózás az elmúlt egy évtizedben. Már rég nem arról van szó, hogy a rendszergazdák naphosszat bogarásszák az adatokat a monitoron, hogy diagnosztikai vagy karbantartási adatokhoz jussanak a felügyelt rendszerekről. Manapság a naplózás egy szervezet életének meghatározó részévé vált, és nemcsak az informatikusok munkáját segíti, hanem a menedzsment hatékony eszköze is lett. A naplózó rendszerek által szolgáltatott jelentések, információk az üzleti döntések alapjául szolgálhatnak, és hozzájárulhatnak a stratégiai célok (biztonság, megfelelőség) eléréséhez.

 

Túl sok

Napjainkban a korszerű eszközöknek köszönhetően nagy mennyiségű adat begyűjtése és tárolása már nem feltétlen okoz problémát még az olyan környezetekben sem, amelyek számtalan különféle operációs rendszert, alkalmazást, informatikai és kommunikációs eszközt foglalnak magukban. A legnagyobb kihívást az adatok kiértékelése, a releváns információk kinyerése jelenti – emlékeztet Scheidler Balázs, a BalaBit technológiai igazgatója.

Scheidler Balázs, BalaBit
Scheidler Balázs, BalaBit
Ennek oka a begyűjtött adatok mennyiségében és változatosságában rejlik. A modern informatikai környezetek folyamatosan ontják a legkülönfélébb típusú adatokat a legkülönfélébb forrásokból. Egy kis webes alkalmazás naponta egymillió üzenetet is generálhat; egy vállalat központi hálózati routere egy óra alatt előállíthat ennyit. Ezekkel a többnyire strukturálatlan adatokkal kellene valamit kezdeni: bizonyos részével valós időben a biztonsághoz kapcsolódóan, más részével utóla­gosan.

Akkora feladat ez, hogy még a legnagyobbakat is próbára teszi. Amikor néhány évvel ezelőtt feltörték az Adobe rendszereit, az első hírek még 3 millió érintett ügyfélről szóltak, de egy hónapon belül 38 millióra emelkedett a számuk. Vagyis még a világ egyik vezető szoftvercégének is hetekbe tellett, mire teljes egészében felmérték a támadás következményeit!

Valamit tehát tenni kell, hogy az okok keresése ne a tű és a szénakazal párhuzamát idézze fel. Első pillantásra jó ötletnek tűnhet a különböző rendszerekből származó logok menedzsmentjének központosítása, hiszen így egyszerűbbé válhat a látszólag össze nem függő események közötti korreláció felfedezése. A gyakorlat viszont azt mutatja, hogy nem ugyanaz a logadat érdekli a különféle felhasználókat: másra van szüksége a fejlesztőnek, az üzemeltetőnek, a biztonsági csapatnak vagy éppen a marketingnek, figyelmeztet Scheidler Balázs.

 

Mindenki a sajátját

Ilyenkor segíthet a logok elosztott szűrése és feldolgozása, ami csökkenti azon adatok mennyiségét, komplexitását, amelyeket elemezni és tárolni kell. Ha már a forrásnál némi rendszert viszünk be a rendszerezetlen adatokba – osztályozzuk és szegmentáljuk azokat –, a későbbiekben drámaian csökkenthetjük a keresési időket. Szűrés után nem csak kevesebb adattal kell megbirkózni, hanem az osztályozásnak köszönhetően részhalmazokon is elég elvégezni a keresést, elemzést. A BalaBit syslog-ng megoldása képes valós időben osztályba sorolni az üzeneteket, például a megfigyelni kívánt események alapján (felhasználói bejelentkezés, alkalmazás összeomlás, állományátvitel, és így tovább). Ez a funkcionalitás sok olyan nagyvállalat – például telekommunikációs és pénzügyi vállalatok – számára hasznos melyek naponta akár több tízezer forrásból gyűjtenek logokat milliárdos nagyságrendben. Az egyik legnagyobb európai biztosítótársaság például azért választotta ezt a rendszert, mert szerette volna, ha fejlesztői és a biztonsági szakemberek megoszthatják a log-adatokat; előbbiek a saját alkalmazásaik által generált adatokban akartak kutakodni, utóbbiak pedig az eseménykezelő rendszert táplálták az információkkal. Egy közös napló-adatbázis azonban biztonsági aggályokat vetett volna fel. A megoldás a syslog-ng Store Box lett: ebben a munkaköröknek megfelelően szegmentálták az adatokat, így a fejlesztők csak a saját alkalmazásai logjaiban keresgélhetnek – a többi szoftver és rendszer naplóállományai rejtve maradnak előlük.