מגזין
לך תחקור אירוע סייבר כשאין לך לוגים!
לך תחקור אירוע סייבר כשאין לך לוגים!
עם התחום הזה לא משחקים!
- שומרים לוג "חם" לתחקור מהיר
- שומרים לוג "קר" לתחקור עתידי
לא מזמן התקשר אלי חבר, קולגה, בעלים של בית תוכנה ובכל מעט רועד אמר:
"התקשרו אלי ממרכז הסייבר הממשלתי, אמרו שזיהו תנועה חשודה במערכות המחשוב של החברה ואם לא אנקוט בפעולות מנע תוך שעות בודדות יש סיכוי טוב שאנזק ממתקפת כופרה"!
מתקפת כופרה למי שלא מכיר זה מצב בו תוקף משתלט על המידע של הארגון ולא מאפשר גישה אליו. התוקף מציע לשחרר חזרה את המידע תמורה תשלום (כופרה), התשלום לרוב יהיה ב Bitcoin ולצערי מניסיון לרוב זה לא נגמר שם.
נחזור לסיפור, אני מקשיב ועונה לחבר, בוא נעבור על שכבות אבטחת המידע שלך:
- Firewall יש (זה הבסיס)
- WAF (שירות Web Application Firewall) - יש
- אנטי וירוס מסורתי - יש.
- פתרון הגנה על נקודות קצה (EDR) - יש.
- גיבוי - יש! (אני נושם לרווחה, יש גלגל הצלה)
יש לך לוגים של המערכות מחוץ למשרד אני שואל? לא! הוא עונה.
לך תחקור אירוע סייבר כשאין לך לוגים!
קשה מאד עד בלתי אפשרי, במקרה הזה ולאור העובדה שיש לא מעט שכבות אבטחה
הפריצה הגיעה ככל הנראה מתוך טעות אנוש, מייל זדוני שמישהו פתח, תוכנה זדונית אשר הותקנה, וללא לוגים של המערכות קשה עד בלתי אפשרי לאתר את מקור הפריצה.
מה הם מקורות וסוגי הלוגים שכדאי לשמור ואיפה שומרים אותם?
דוגמאות למקורות וסוגי הלוגים:
- ציודי תקשורת ואבטחה - ציודים כגון Switch, Routers, Firewall, Load Balance
סוגי לוג: תיעוד כניסות, הגדרות שגויות, ותיעוד של שגיאות מערכת. - שרתים – שרתים כגון Active Directory, DNS, Web Server, DB Servers
סוגי לוג: ניסיונות כניסה (Login) אשר כשלו, עדכוני אבטח, גישה אל אזורים לא מורשים, התנגשויות רשת, ביצועים. - תשתיות ענן – חשבונות של עננים ציבוריים כגון Oracle Cloud, AWS, Google cloud, Azure
סוגי לוג: גישות אל חשבון הענן, ניסיונות גישה כושלים ועד לניתוח צריכת משאבי הענן לטובת תהליכי FinOps - קונטיינר (Container) – מוצרים כגון Kubernetes, Rancher, OpenShift
סוגי לוג: לוגים הכוללים גישות למערכת ונתוני טלמטריה כגון יומנים, מדדים, דוחות אבטחה, שגיאות מערכת - אפליקציות (Application-level logs) כגון שפות תכנות (PHP, Asp.net) , בסיסי נתונים (MySQL, MS SQL)
סוגי לוג: לוג של שפות התכנות ובסיסי הנתונים על בסיסם בנו את האפליקציות, יומנים המתעדים שגיאות, באגים, חסימות, גישות אל ממשקים חיצוניים, גישות אל API Gateways, גישות אל ספקי תשלום.
מנעד האפשרויות רחב מאד ונגעתי רק בחלק מצומצם מהם.
לוג חם - ייצוא, שמירה ותחקור:
"לוג חם" הוא למעשה הלוג שאנו כמנהלי תשתיות המחשוב או מנהלי אבטחת מידע רוצים שיהיה לנו זמין באופן מיידי כך שנוכל לתחקר אותם ולהגיב מהר ויעיל לתקלת תשתית, תקלת אפליקציה או אירוע סייבר.
היכן שומרים: את הלוג החם אנו מייציאם ושומרים אצל ספקים יעודיים כגון Datadog ו/או Logz.io אשר מלבד השמירה מספקים גם ממשק ניהול מתקדם דרכו ניתן לתשאל ולתחקר את נתוני הלוג.
לכמה זמן שומרים: את הלוג החם שומרים לפי אופי המידע ודרישות הארגון, טווחי הזמן הרגילים הם 30 עד 60 ימים (חודש-חודשיים) שהם לרוב מספקים לתחקור אירוע ופתרון בעיות תשתית.
לוג קר - ארכיון:
"לוג קר" הוא למעשה ארכיון של הלוג החם.
במבחן המציאות אנו נדרשים לעיתים לתחקר תקלה, בעית אפליקציה או אירוע סייבר לאחר תקופה ארוכה מהמועד בו הם התרחשו, לדוגמא:
מנהל בסיסי הנתונים (DBA) מעוניין לתחקר רשומה אשר נמחקה לפני 8 חודשים מתוך מאגר הנתונים.
מנהל אבטחת מידע (CISO) מעוניין לתחקר אירוע סייבר אשר התרחש לפני כ 10 חודשים במסגרתו שתלו קבצים זדוניים בשרתי ה WEB אשר מציגים את אתרי האינטרנט של החברה.
היכן שומרים: את ארכיון הלוגים שומרים על גבי רכיב אחסון (Storage) מחוץ לארגון, עדיף על גבי תשתית ענן. הלוג נשמר מחוץ לארגון על מנת לקבל הגנה נוספת על המידע, שירותי הענן כגון AWS S3 או Oracle Storage מספקים רכיבי אחסון זולים ואמינים עליהם נוכל לשמור את המידע ככל שנדרש.
לכמה זמן שומרים: על פי אופי הפעילות, דרישות הארגון ודרישות הרגולציה השונות.
חברות ומאגרי מידע בעלי אופי רגיש נדרשים לשמור את הלוג לתקופות של שנתיים ואף יותר.
איך זה עובד בפועל?
רוכשים שירות שמירה וניתוח לוגים של אחת מהחברות איתם אנו עובדים Logz.io או Datadog. השלב הראשון כולל הגדרה של השירות בצד של הספק, הגדרות גישה, בניית מדינות של שמירת הנתונים, החלטה איזה מידע רוצים לשמור ומאיזה מערכות (שרתי WEB, ציודי תקשורת, אפליקציה ועוד אשר הוזכרו קודם). לאחר מכן מתקינים סוכן (AGENT) על גבי כל אחד מהשרתים/שירותים עבורם צריכים לשמור ולנתח לוגים.
הסוכן שולח את המידע אל המערכות כאשר את התחקור עצמו מבצעים דרך ממשק הניהול (Dashboard) של המוצר.
בנושא שמירת הלוגים בארכיון (לוג קר), אנו נגדיר עבורכם שירות אחסון (Storage) בענן ונגדיר את המערכת לשלוח את המידע אל רכיב האחסון (Storage) אשר הגדרנו, כמו כן נגדיר לכמה זמן המידע ישמר.
על הקשר בין עדכון חוק הגנת הפרטיות והרחקת לוגים ממערכות המחשוב:
ביום 29 בספטמבר 2024 פרסמה הרשות להגנת הפרטיות מדריך פעולה ליישום תקנה 10(ד) לתקנות הגנת הפרטיות אשר מחייבות מאגרים ברמת אבטחה בינונית וגבוהה, לשמור נתוני תיעוד ,לוגים של מנגנוני ניטור, שליטה ובקרה, כגון נתוני פעילות במסדי נתונים, מאגרי מידע ועוד. במסגרת המדריך מבקשת הרשות להבהיר את תכלית תקנה 10(ד) לתקנות, והאופן בו יש ליישם את החובה לשמירת נתוני התיעוד בצורה מעשית.
על פי המדריך, החובה הקבועה בהוראות תקנה 10(ד) לשמירת נתוני התיעוד (log) של כל מערכות המאגר, משמעה, אחסון כל קובץ שמתעד את הפעולה ונתוני הפעולה של כל אחת ממערכות האבטחה של מאגר המידע, והמערכות המשמשות את המאגר תוך הקפדה על זמינותם ונגישותם של נתוני התיעוד (log) לפרק זמן של 12 עד 24 חודשים לפחות.
מידע נוסף על רגולציות (כמו GDPR, SOC2, PCI-DSS) ניתן לקרוא במאמר ייעודי לנושא, לחץ כאן לקריאה
איך אנחנו ב SPD יכולים לעזור?
אם אתם רוצים להבטיח שהמערכת שלכם תמיד מוכנה לתקלה או מתקפת סייבר,
אנחנו כאן כדי לעזור לכם לבחור ולהטמיע את הפתרון המתאים ביותר!
חברת SPD פועלת כמפיץ ושותף מורשה של החברות Datadog ו Logz.io בישראל
הצוותים שלנו עומדים לרשותכם ויוכלו לסייע באפיון הצרכים והתאמת סל המוצרים
אשר יספקו לתשתיות הארגון שלכם מענה מהיר ויעיל.
עושים את הצעד הבא!
שולחים אלינו מייל או מתקשרים ואנו נדאג להסבר נוסף.
פניה אל מחלקת השירות ותמיכה במייל helpdesk@spd.co.il
מחלקת המכירות בכתובת sales@spd.co.il
כמו כן מענה אנושי בטלפון 03-6221258
נכתב על ידי:
קובי שלום, סמנכ"ל פיתוח עסקי, שיווק ומכירות
מוזמנים לדבר איתי 052-3546396
