Spårbarhet - en av grundpelarna för en väl fungerande och säker IT-miljö?

Var börjar man när man insett att ett intrång skett? Hur felsöker man vid ett systemavbrott? När skedde förändringarna som resulterade i fördubblat bandbreddsutnyttjande?

Att ha en naturlig startpunkt för utredningsarbetet som måste göras då någon av ovanstående situationer uppstår kan vara mycket värdefullt. Inte bara i form av tids- och kostnadsbesparingar utan ofta kan en infrastruktur för central logginsamling och långtidslagring vara det enda sättet att få en sammanhängande bild av vad som egentligen har skett.

Jag anser att spårbarhet är en av grundpelarna för en väl fungerande och säker IT-miljö och flera skulle nog hålla med mig. I Verizons årliga Data Breach Investigations Report , där det dras lärdomar och statistik från en stor mängd olika intrång hos privata verksamheter så väl som myndigheter, rekommenderas aktiv insamling och analys av loggar starkt då det i 84 % av fallen som Verizon undersökt funnits bevis för intrången i loggarna (DBIR 2012). Jag misstänker att andelen skulle ha varit ännu högre om fler hade haft en ordentlig infrastruktur för spårbarhet och faktiskt sparat loggarna så att de var tillgängliga när Verizon gjorde sin undersökning.

Vad menas då med spårbarhet?

I de allra flesta fall förknippas spårbarhet med loggar för händelser i system och applikationer, men det ryms mer inom begreppet. Bland annat kan spårbarheten på viktiga system och för känslig information utökas genom filintegritetsövervakning vilket gör det möjligt att följa ändringar i filer
över tiden som exempelvis modifieringstillfälle eller vilken process som läst av ett visst objekt. Ett annat exempel, nätverksflöden (s.k. netflow) ger istället en bild av vilka system som kommunicerar med varandra och hur mycket data de förflyttar mellan sig. Slutligen fyller historik från incident- och change management-system sin roll för att skapa en helhetsbild över vad som kan ha orsakat ett haveri.

Spårbarhet är alltså i förlängningen en helhet av att ha bra kontroller, ordning på sin miljö och ett utarbetat system för att hantera ändringar.

Är det kostsamt att få en tillförlitlig spårbarhet i sin miljö?

Det är givetvis svårt att svara på, det beror helt på vem du är och vad du behöver uppnå.  Åtgärder
för spårbarhet är väldigt flexibla med avseende på hur de kan utnyttjas, så om syftet är att få bättre kontroll över nätverksinfrastrukturen i ett datacenter går det att implementera central logginsamling till minimala kostnader för dator- och lagringskapacitet samt en resurs som regelbundet verifierar att allt
fungerar. Då har du åtminstone möjlighet att gå tillbaka och få klarhet i händelseförloppet när en nätverksrelaterad incident inträffat.

Behöver du däremot specifik spårbarhet från applikationer, kanske egenutvecklade sådana eller udda system som exempelvis Point-of-Sale-enheter (vanligt vid uppfyllnad av PCI-DSS kraven) kan det krävas betydligt mer planering och arbetsinvesteringar för att nå en tillfredsställande nivå.

När det kommer till att utnyttja de möjligheter en infrastruktur för spårbarhet erbjuder är det en avvägning både mellan kostnad, nytta och vad organisationen realistiskt kan hantera.  Den ambitiösa ytterligheten är att bygga upp ett fulländat Security Operations Center med flertalet heltidsresurser som dagligen analyserar händelser, verifierar ändringar och snabbt kan agera vid tecken på en incident. En åtgärd som ställer krav på mognad i rutiner och arbetssätt men samtidigt kan vara den drivande faktorn till att uppnå en sådan nivå.

Det är alltså lätt att komma igång i liten skala men min erfarenhet säger att det är bra att tänka stort redan från start för har man väl börjat arbeta med spårbarhet i någon form så tar det inte lång tid innan man ser värdet i att aktivt övervaka händelser och larma på avvikelser. Allt eftersom vill man samla in mer information för att skapa larm på ytterligare händelser och slutligen börjar man använda den insamlade och i många fall korrelerade informationen för att skapa relevanta mätvärden på IT-driften och därmed sluta cirkeln till en proaktiv och mindre volatil IT-miljö.

// Chrisitian Clementsson
Informationssäkerhetskonsult SAFESIDE SOLUTIONS AB