תוכן לוגים ונתיב בקרה

אחת התופעות הנפוצות שכל מנהל או יועץ אבטחת מידע נתקל בהן לאורך השנים היא שבמערכות רבות אין לוגים או שאינם מופעלים. לכאורה, לא מדובר בפרצה במערכת – תכונה שתוביל לפריצה וגניבת מידע. אנשים רבים נוטים לא לייחס חשיבות רבה לקיום לוגים וליכולת נתיב בקרה במערכות.

למעשה, לוגים מספקים יכולת חשובה בניתוח מקרי פריצה ומקרי הכחשה של לקוחות ומשתמשים. לוגים טובים מספקים מידע שיאפשר לנתח את האירוע ולהגיע למסקנות חותכות. אבל לא רק. הלוגים גם מספקים מידע מאוד חשוב על פעולות שאינן פריצות ואירועים. למשל, סריקה רשת או בדיקת אפליקציה כהכנה לפריצה.

לכן, חשוב מאוד להגדיר לוגים איכותיים בכל מערכת. חשוב להבין שיש להגדיר ולפתח לוגים גם ברמת האפליקציה וגם במערכות ההפעלה וציוד התקשורת. הפוסט הזה לא דן בחשיבות הלוגים, אלא בתוכנם והגנה עליהם.

תכולת לוגים

לוגים טובים יכילו לפחות את הנתונים הבאים בכל שורה בלוג:

• מזהה לוג – שדה ייחודי המאפשר להתייחס לשורה ספציפית בעת ניתוח וחקירת אירוע

• חותמת זמן – כולל תאריך, שעה (כולל שניות), ורצוי שעון מקומי (או ביחס ל – GMT)

• כתובת IP של הלקוח/משתמש  שביצע את הפעולה

• שם PC – במידה והשימוש במערכת נעשה מתוך הארגון

• שם לקוח/משתמש (רצוי מזהה לקוח ייחודי) שביצע את הפעולה

• שם שרת – חשוב במידה וישנם מספר שרתים במערכת

• הפעולה שבוצעה – קוד ותיאור קצר שיאפשר להבין מניתוח הלוג מה נעשה

• סטטוס פעולה – הצלחה או כשלון בכדי שניתן יהיה להבין האם המשתמש הצליח לבצע פעולה

אין לרשום בלוג את הפרטים הבאים: סיסמאות, מספרי כרטיסי אשראי, מידע אישי רגיש וכדומה! 

פעולות לרישום

בעקרון כדאי לרשום ללוג מידע על כל פעולה במערכת. לכל הפחות, כדאי לרשום לוגים על הפעולות הבאות. כל לוג יכיל לפחות את המידע הרשום למעלה. 

ניהול חשבונות משתמשים:

• יצירת ומחיקת חשבון משתמש מהמערכת

• נעילת ושחרור חשבון משתמש

• איפוס סיסמאות ניהול

• שינוי בהגדרות אבטחת מידע

גישה לחשבונות:

• כשלונות בהתחברות לחשבון המשתמש

• הצלחה בהתחברות ליוזרים

• סיבות לנעילת יוזרים

• כל הקשת סיסמא שגויה

• התחברות ממספר מקורות למערכת

• שינוי סיסמת משתמש

נגיעה במידע רגיש:

• שליפת כרטיסי אשראי

• שינוי וגישה למפתחות הצפנת כרטיסי אשראי

• שליפת נתונים לקוחות חשובים (VIP)

• הוראות תשלום

• פעולות הנוגעות בכספים

 הגנה על הלוגים

במידה ופורץ או משתמש משיגים גישה לא מורשית למערכת, הם ירצו לכסות אחר העקבות שלהם ולכן לפני ההתנתקות הם ינסו למחוק את הלוגים. כמו גנב שדואג להעלים את העקבות שלו. מספר כללים לאבטחת הלוגים:

• רצוי לשמור את הלוג על שרת נפרד משרת המערכת (רצוי שרת ייעודי ללוגים – אפשר שרת לוגים מרכזי או במערכת SIEM).

• יש להגביל את הגישה ללוג לאנשים מורשים בלבד ע"י התחברות ליוזרים ייעודיים.

• מומלץ להגדיר מנגנון השולח התראה למנהל המערכת במידה והלוג אינו תקין.

• אין למחוק לוגים ישנים גם בפעולה מורשית.

• יש לשמור לוגים ישנים בארכיב במידת הצורך.