Softline IT

Мінімальний logging contract для NGFW: як розслідувати атаки та оптимізувати витрати

Чому стандартні налаштування логування NGFW недостатні для розслідування атак

Типові конфігурації логування Next-Generation Firewall (NGFW) за замовчуванням часто не надають достатньої деталізації або термінів зберігання, необхідних для повноцінного розслідування інцидентів кібербезпеки. Це створює значні прогалини у видимості, ускладнюючи реконструкцію подій під час атаки та ідентифікацію її джерела та впливу.

Наприклад, деякі вендори можуть за замовчуванням логувати лише початок сесії, що може бути недостатньо, оскільки програми можуть змінюватися протягом життєвого циклу сесії. Також, надмірно деталізоване логування всього трафіку може призвести до величезних обсягів даних, що ускладнює виявлення справді важливих подій та збільшує витрати на зберігання.

Галузеві стандарти, такі як NIST Special Publication 800-92, підкреслюють важливість ефективного логування та аналізу журналів як критичного компонента комплексної програми безпеки. Вони вказують на необхідність не лише збору, а й належного управління логами, включаючи їх зберігання та захист цілісності. Без цих елементів організація ризикує пропустити ознаки несанкціонованої активності.

Ключові типи журналів NGFW, необхідні для розслідування

Для ефективного розслідування кібератак на NGFW критично важливо збирати та аналізувати певний мінімальний набір типів журналів. Ці журнали надають інформацію, необхідну для розуміння того, що сталося, хто був залучений і як можна запобігти подібним інцидентам у майбутньому.

Основні типи журналів, які слід враховувати:

  • Журнали підключень (Connection Logs / Traffic Logs): Записують інформацію про дозволений та заблокований трафік, включаючи IP-адреси джерела та призначення, порти, протоколи та статус з'єднання. Це основа для розуміння мережевої активності.
  • Журнали загроз (Threat Logs): Фіксують виявлені та заблоковані загрози, такі як вторгнення, шкідливе програмне забезпечення, спроби експлуатації вразливостей.
  • Журнали фільтрації URL (URL Filtering Logs): Деталізують доступ до веб-ресурсів, дозволені та заблоковані URL-адреси, що допомагає виявити спроби фішингу або доступ до шкідливих сайтів.
  • Системні журнали (System Logs): Містять інформацію про стан самого NGFW, зміни конфігурації, перезапуски, помилки та стан апаратного забезпечення.
  • Журнали активності користувачів (User Activity Logs / Authentication Logs): Записують спроби входу (успішні та невдалі), дії адміністраторів та зміни облікових записів. Це важливо для відстеження компрометації облікових записів.

NIST SP 800-92 рекомендує встановлювати політики та процедури для управління журналами, включаючи їх пріоритезацію та створення інфраструктури для управління логами. Документація вендорів, таких як Fortinet та Palo Alto Networks, також наголошує на важливості комплексного логування та централізованого управління журналами для аналізу та звітності.

Визначення оптимального терміну зберігання журналів: баланс між ризиком та вартістю

Визначення оптимального терміну зберігання журналів є критичним рішенням для CISO, що вимагає балансу між вимогами безпеки, регуляторними зобов'язаннями та економічною доцільністю. Надмірне зберігання збільшує вартість, недостатнє — підвищує ризик неможливості розслідування.

Регуляторні вимоги:

  • HIPAA: Вимагає зберігання журналів аудиту та іншої документації, пов’язаної з PHI (Protected Health Information), протягом щонайменше шести років з дати створення або останнього використання.
  • GDPR: Не встановлює фіксованих термінів, але вимагає зберігати персональні дані лише стільки, скільки це необхідно для мети, для якої вони були зібрані. Організації повинні обґрунтувати та задокументувати свої політики зберігання. Для безпекових журналів часто вважається розумним термін 6-12 місяців.
  • PCI DSS 4.0: Вимагає зберігання 12 місяців історії журналів, при цьому 3 місяці мають бути легкодоступними для середовищ обробки даних платіжних карток.
  • CERT-In (Індія): Мандатує зберігання системних журналів протягом мінімум 180 днів.

Вартість зберігання та операційна складність:

Зберігання великих обсягів журналів може бути дорогим, особливо у хмарних середовищах, де тарифікація часто базується на обсязі даних та термінах зберігання. Для оптимізації витрат рекомендується використовувати багаторівневі стратегії зберігання (hot, warm, cold storage), переміщуючи старіші, рідше використовувані журнали до менш дорогих сховищ. Стиснення та дедуплікація даних також можуть значно зменшити витрати.

Типовий життєвий цикл інцидентів:

Більшість операційних розслідувань та налагодження покладаються на нещодавні дані журналів, часто в межах 14 днів. Однак для виявлення складних, тривалих атак, які можуть залишатися непоміченими місяцями, потрібні довші терміни зберігання. Компроміс полягає в тому, щоб забезпечити достатню глибину історії для криміналістичного аналізу, не перевантажуючи бюджет. Загальне правило — зберігати щонайменше 12 місяців даних для відповідності більшості регуляторних вимог та підтримки розслідувань.

Softline IT допомагає планувати й впроваджувати рішення у сфері кібербезпеки: від аудиту поточного стану до узгодженого плану змін.

Практичний чекліст для аудиту та налаштування логування NGFW

Для CISO, який прагне оптимізувати логування NGFW, цей чекліст допоможе оцінити поточний стан та визначити необхідні кроки для покращення видимості та спроможності реагування на інциденти.

Чекліст аудиту та налаштування логування NGFW

  1. Типи журналів, що генеруються NGFW:
    • Перевірте, чи генеруються та збираються наступні типи журналів: підключень (connection/traffic), загроз (threat), фільтрації URL (URL filtering), системні (system), активності користувачів (user activity/authentication).
  2. Рівень деталізації логів:
    • Переконайтеся, що журнали містять достатньо деталей: інформацію про джерело/призначення (IP-адреси, порти), протоколи, дії (дозволено/заблоковано), ідентифікатори користувачів, повні URL-адреси, виявлені загрози.
    • Для Palo Alto Networks: переконайтеся, що логування відбувається наприкінці сесії для точнішого визначення програм.
  3. Термін зберігання журналів:
    • Визначте та задокументуйте політику зберігання для кожного типу журналів, враховуючи регуляторні вимоги (HIPAA, GDPR, PCI DSS) та внутрішні потреби розслідування.
    • Розгляньте багаторівневе зберігання (hot, warm, cold storage) для балансу між доступністю та вартістю.
  4. Механізми централізованого збору та агрегації логів:
    • Переконайтеся, що всі журнали NGFW централізовано збираються в SIEM-системі або на спеціалізованому лог-сервері (наприклад, FortiAnalyzer для Fortinet, Panorama для Palo Alto Networks).
    • Використовуйте захищені канали для передачі журналів (наприклад, шифрування, VPN).
  5. Механізми захисту цілісності та конфіденційності логів:
    • Забезпечте захист журналів від несанкціонованого доступу, зміни або видалення. Це може включати контроль доступу, хешування, цифрові підписи.
    • Розгляньте шифрування журналів, особливо якщо вони містять конфіденційну інформацію.
  6. Процедури регулярного аудиту та перегляду налаштувань логування:
    • Встановіть регулярний графік перегляду політик логування та налаштувань NGFW для забезпечення їх актуальності та відповідності змінам у середовищі загроз та регуляторних вимогах.
    • Перевіряйте, чи всі політики файрволу мають увімкнене логування.

Використані джерела

  1. 01reddit.comreddit.com
  2. 02tufin.comtufin.com
  3. 03knowledgebase.paloaltonetworks.compaloaltonetworks.com
  4. 04pan.devpan.dev
  5. 05sc1.checkpoint.comcheckpoint.com
  6. 06en.wikipedia.orgwikipedia.org
  7. 07publish.obsidian.mdobsidian.md
  8. 08srql.comsrql.com
  9. 09valuementor.comvaluementor.com
  10. 10netwisetech.aenetwisetech.ae
  11. 11exabeam.comexabeam.com
  12. 12youtube.comyoutube.com
  13. 13security.berkeley.eduberkeley.edu
  14. 14blumira.comblumira.com
  15. 15coralogix.comcoralogix.com
  16. 16docs.fortinet.comfortinet.com
  17. 17logicmonitor.comlogicmonitor.com
  18. 18snaresolutions.comsnaresolutions.com
  19. 19hipaajournal.comhipaajournal.com
  20. 20kiteworks.comkiteworks.com
  21. 21hipaavault.comhipaavault.com
  22. 22schellman.comschellman.com
  23. 23censinet.comcensinet.com
  24. 24last9.iolast9.io
  25. 25exabeam.comexabeam.com
  26. 26mezmo.commezmo.com
  27. 27cookiebot.comcookiebot.com
  28. 28gdprregulation.eugdprregulation.eu
  29. 29optro.aioptro.ai
  30. 30blog.anexgate.comanexgate.com
  31. 31answers.databricks.comdatabricks.com
  32. 32logzilla.ailogzilla.ai
  33. 33security.stackexchange.comstackexchange.com
  34. 34docs.paloaltonetworks.compaloaltonetworks.com
  35. 35plasmaticsun.complasmaticsun.com
  36. 36sc1.checkpoint.comcheckpoint.com
  37. 37discovercybersolutions.comdiscovercybersolutions.com

Теги