Wiele zaleceń przewija się w kolejnych raportach. Nadal proste środki umożliwiają minimalizację ryzyka.

Wyniki badania potwierdzają, że aż 64% przypadków naruszeń bezpieczeństwa mogłoby nie dojść do skutku, gdyby zastosowano proste i niedrogie środki. "Zmiana konfiguracji i procedur może rozwiązać problem w wielu przypadkach, bywa że częściej niż przy dużych wdrożeniach i zakupach sprzętu oraz oprogramowania" - czytamy w tym raporcie.

Logi trzeba monitorować

Raport firmy Verizon udowodnił ponadto, że organizacje nie przeprowadzają żadnych analiz informacji zbieranych w logach systemowych. Aż 87% firm, w których wystąpiła utrata danych lub inne poważne naruszenie bezpieczeństwa, miało informacje na ten temat w swoich logach. Oznacza to, że system rejestracji informacji był wdrożony i działał, ale nikt nie analizował jego zapisów. Około 60% zdarzeń zostało wykrytych po analizie logów przeprowadzonej przez firmy trzecie. "Gromadzenie danych dostarcza fałszywego wrażenia bezpieczeństwa, gdyż pracownicy IT mają tendencję do mylenia logowania z monitorowaniem" - uważa Slade Griffin, inżynier do spraw bezpieczeństwa w firmie EnerNex Corp. "Logowanie to jedynie gromadzenie danych, rejestrowanie aktywności, a tego zdają się nie rozumieć pracownicy IT. Zazwyczaj mówią oni, że rejestrują wszystkie zdarzenia, co samo w sobie jest dobrym pomysłem, ale nikt potem tych zapisów nie analizuje" - dodaje.

W małych organizacjach logi można przejrzeć ręcznie. W firmie, która zatrudnia około 150 pracowników, zajmuje to jednemu pracownikowi zazwyczaj jeden dzień tygodniowo. Logi trzeba przeglądać, nawet jeśli nie ma żadnego specjalnego żądania, nawet gdy nic nie wskazuje na możliwość naruszenia bezpieczeństwa w firmie. Zazwyczaj szuka się wtedy nieregularności albo podejrzanych zapisów, przy czym można skorzystać z automatów, które raportują zdarzenia związane z pornografią, grami losowymi online lub szerzeniem nienawiści.

W większych firmach wolumin zebranych danych w logach sprawia, że ręczne przeglądanie jest niepraktyczne. Zanim to nastąpi, warto wypróbować narzędzia do monitoringu logów dostępne w modelu open source. Oprócz zestawów skryptów dostępne są bardzo dobre narzędzia do analizy pracy serwerów webowych, zapór sieciowych, baz danych oraz innych składników firmowej infrastruktury. Narzędzia te bardzo usprawnią pracę administratorów.

Organizacje mogą zatem albo zrezygnować z systematycznego przeglądania logów w przyszłości, albo zakupić specjalizowane narzędzia (sprzętowe lub programowe) przeznaczone do zbierania i analizy zapisów z dzienników systemowych we wszystkich maszynach w firmie. Mimo wszystko, w pierwszej kolejności należy rozpoznać potrzeby oraz już wdrożone lub łatwo osiągalne narzędzia.