Analiza logów: potencjał do wykorzystania

Zbieranie i analiza logów komputera oraz urządzeń może bardzo pomóc w rozwiązywaniu problemów dotyczących bezpieczeństwa informacji, zarządzania operacjami, monitorowania aplikacji i lokalizacji problemów systemu, a także w audytach zgodności. Dlaczego tak niewiele organizacji korzysta z tych możliwości?

Mając na uwadze bezpieczeństwo IT, analiza logów jest nie do przecenienia - w logach systemowych mogą być zapisywane dowody naruszenia bezpieczeństwa systemu komputerowego. Analizowanie logów umożliwia wczesne wykrywanie zagrożeń, a to oznacza: mniejsze straty, niższe koszty odtwarzania oraz ograniczenie ryzyka narażenia reputacji firmy. Ale nie tylko pod kątem zapewnienia bezpieczeństwa warto analizować logi systemów. Dobry system zarządzania logami może również bardzo pomóc w lokalizowaniu błędów aplikacji, zapewnianiu zgodności z obowiązującymi przepisami oraz zarządzaniu systemami.

Polecamy Jak ogarnąć logi?

Nasuwa się więc pytanie: dlaczego tylko niewiele firm w pełni korzysta z informacji zawartych w logach? Przyczyny są różnorakie. Po pierwsze, logi mogą zawierać gigantyczne ilości nieistotnych, trudnych do rozszyfrowania zdarzeń, przysłaniających bardziej użyteczne informacje (standardowy komputer Windows może łatwo wygenerować tysiące zdarzeń każdego dnia nawet wtedy, gdy nie ma realnego problemu, a setki komputerów to gigabajtowe pliki logów codziennie). Bez odpowiednich narzędzi i filtrów powstaje tylko "szum informacyjny". Surowe pliki logów są trudne do rozszyfrowania i dlatego są ignorowane.

Analiza logów: potencjał do wykorzystania

Dostępne są produkty wykorzystujące silnik wyszukiwań, indeksujące logi i pliki konfiguracyjne pochodzące z różnorodnych źródeł, w celu sporządzania szybkich raportów i analiz graficznych. Wśród nich wyróżnia się Splunk, zasługujący na miano „Google’a w świecie logów”.

Inny czynnik jest natury ludzkiej. Na dobrą sprawę mało kto chce być analitykiem logów, nawet jeżeli jest to specjalizacja poszukiwana na rynku pracy. Przeglądanie plików logów rzadko jest priorytetem zarządu - dopóki nie zdarzy się incydent naruszenia danych, wystąpi inna sytuacja kryzysowa albo też otrzymamy kiepski wynik audytu.

Polecamy Firewall - nieuświadomione zagrożenia

Jednak w miarę jak przedsiębiorstwa coraz częściej korzystają z technik przetwarzania w chmurze, a pracownicy używają prywatnych smartfonów czy tabletów do wykonywania swoich obowiązków służbowych, analiza logów staje się koniecznością. Działy IT mają coraz mniejszą kontrolę nad tymi urządzeniami, a logi mogą być doskonałym sposobem kojarzenia włączających się do sieci urządzeń z nazwą logującego się użytkownika.

Dobre zarządzanie logami ma duże znaczenie, zwłaszcza dla wczesnego wykrywania złośliwych działań hakerskich, a już szczególnie ważną rolę odgrywa w działaniach śledczych po atakach.

Korzyści z zarządzania logami

Rejestrowanie i analiza zdarzeń pozwala na ocenę ogólnej kondycji środowiska IT - pod kątem bezpieczeństwa, na potrzeby audytu i zgodności (compliance), zarządzania systemem oraz przy strojeniu aplikacji i lokalizowaniu problemów.

Polecamy Spokój i luz administratora

Rejestrowanie i monitorowanie zdarzeń umożliwia podejmowanie proaktywnych działań zapobiegających złośliwym atakom lub reagowanie już po wystąpieniu incydentu, tak szybko, jak to możliwe - w celu zminimalizowania szkód. Rejestrowanie zdarzeń związanych z bezpieczeństwem jest często głównym powodem zainteresowania administratorów systemami do zarządzania logami.

Niemniej ważne staje się stosowanie programów do zarządzania logami na potrzeby audytu i zgodności. Większość zaleceń regulacyjnych dotyczących bezpieczeństwa definiuje specyficzne zdarzenia, które muszą być monitorowane. Prawidłowa polityka audytu, wdrożona na wszystkich komputerach i z odpowiednim systemem zarządzania logami, pozwala firmom poddawać systemy IT weryfikacji, w celu potwierdzenia zgodności z obowiązującymi wymogami bezpieczeństwa. Brak takiej polityki może stwarzać podejrzenia braku odpowiedniej kontroli w organizacji, co może mieć implikacje zarówno prawne, jak i biznesowe.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200