Er manglende logging og monitorering et sikkerhetsproblem?

At mangelen her går utover personvern og sporing er åpenbart, men er virkelig manglende logging og monitorering et sikkerhetsproblem? Det diskuterer sikkerhetsekspert Even Lysen i denne artikkelen.

Er manglende logging og monitorering et sikkerhetsproblem?

Selvfølgelig var det noen som så dette som en fin mulighet til å tjene penger. Send en SMS til rett nummer, bli belastet 45 kroner, og tjenesten søker opp personen for deg. Eller rettere sagt, en ansatt i et firma bruker sin personlige innlogging og sjekker personen for deg. Slike tjenester kunne rapportere om en oppgang i antall brukere etter at Skattelistene ikke lenger var anonyme.

På midten av 2000 tallet begynte det å komme frem en rekke saker hvor sykehusansatte hadde fri tilgang til pasientjournaler og at dette var aktivt brukt – spesielt når det gjaldt kjendiser. Det var et så viden kjent problem at ansatte ved sykehusene ikke ville ha elektronisk journal og i hvert fall ikke sjekke seg for ting på sykehuset hvor de jobbet. Ansatte spionerte på hverandre, og det var vanskelig å avdekke hvem som hadde kikket på hvem til hvilken tid ettersom det ikke alltid var personlige brukere til systemene. 

I OWASP sin liste over topp 10 sikkerhetssårbarheter fra 2017 listet de manglende logging og monitorering som punkt nummer 10. Det blir spennende å se hvor dette punktet kommer i 2020. At mangelen her går utover personvern og sporing er åpenbart, men er virkelig manglende logging og monitorering et sikkerhetsproblem? 

Hva er logging?

Logging handler om å lagre hendelser som skjer i et system. Hver gang noen logger inn på operativsystemet noteres klokkeslett, dato og hvilken bruker som logget inn, til en hendelseslogg. Logger kan skrives hver gang et program krasjer, hver gang en funksjon kjøres eller hver gang data blir flyttet. Man kan logge:

  • Alle hendelser
  • Bare advarsler
  • Bare feil
  • Bare kritiske funksjoner

Dette er helt opp til de som setter opp infrastrukturen eller utvikler applikasjonen å velge hvilke loggnivå man legger seg på. I de fleste moderne IT miljøer er det også satt opp sentraliserte logger. Her sendes alle loggmeldinger til et eksternt system som samler de sammen og gjør de søkbare. Har man varierende sensitivitetsgrad for logger så oppretter man flere tilgangstyrte sentraler for mottakelse av logger. 

Utfordringen med logger er å finne balansepunktet hvor man ikke logger for mye eller for lite. Når det skjer hendelser, som et datainnbrudd, er det loggene som er nøkkelen til å finne ut hva som har skjedd. Har du logget for lite vil det være vanskelig å nøyaktig si hva som har skjedd fordi du mangler kritisk informasjon. Logger du for mye vil det være tidkrevende og vanskelig å finne informasjonen du trenger. Logger du ikke med lave tidsstempler vil meldingene potensielt være ute av sync, og hvis loggmeldingene ikke har en integritetssjekk så kanskje meldinger er korrupte, og er det ikke tilstrekkelig tilgangsstyring kan meldinger eller hele logger være slettet.  

F.eks. et system som er kritisk for norsk infrastruktur 24/7 bør logge ganske mye, mens et lite system som utfører noe som bare ansees som nice-to-have trenger ikke nødvendigvis å logge like aggressivt.

Guide: Slik utfører du sikkerhetstesting gjennom utviklingsløpet

Vil du lære mer om sikkerhet og sikkerhetstesting? I denne guiden gjennomgår sikkerhetsekspert Even Lysen hvordan du kan utføre sikkerhetstesting gjennom hele utviklingsløpet.

Last ned guiden her

Hva er monitorering?

Monitorering er overvåkning av tingenes tilstand på et system. Er ytelsen som forventet, kom det plutselig store mengder trafikk, har noder gått ned, status på diskplass, CPU og minne? Over tid vil monitorering gi deg en statistikk over hva som er normaltilstand og forventet oppførsel. Du vil da enklere kunne predikere når du trenger mer lagringsplass, øke “compute-kraften” i tider med stor pågang eller spinne opp flere noder. Monitorering er også evnen til å oppdage når brukere gjør oppslag mot sensitive tjenester eller data. Operasjoner kan bli flagget, generere alarmer og gi deg mulighet til å agere så tidlig som mulig når et angrep skjer. 

Kvaliteten på dine monitoreringsevner er helt avhengig av kvaliteten på dine logger. Loggene er grunnlaget for monitoreringen og hvis den skal kunne generere alarmer ved gitte tilstander eller hendelser må du forsikre at de nødvendige parameterne kommer inn. 

Manglende Logging og Monitorering som trussel

Ifølge IBM tar det ca. 197 dager for en virksomhet å identifisere at de har hatt et sikkerhetsbrudd og 69 dager for å få kontroll på bruddet. Mandiant sin Security Effectiveness Report 2020 sier at 53% av alle suksessfulle cyberangrep ikke blir oppdaget, og at 91% av alle hendelser ikke genererte en alarm. 

Jeg har jobbet på steder hvor vi betalte millioner av kroner i året til et firma for nettverksbeskyttelse, men til og med det klarte ikke å avdekke en sårbar webserver som ble utnyttet med en seks måneder gammel Metasploit modul. Det var mange i dress på midtlinja som lurte på hva vi betalte for, men sannheten var at produktet vi hadde kjøpt fungerte fint – men det fikk ikke den nødvendige inputen for å kunne avdekke et slikt angrep.

Logging og monitorering er et sikkerhetsproblem når de sammen ikke klarer å detektere hendelser, når du har for lite eller for mye informasjon i loggene eller når logsystemet sin integritet er korrupt. Hvis ikke loggene er på rett nivå eller med nødvendig informasjon får du ikke avdekket når ting skjer eller hva som har skjedd. Logging og monitorering vil gi best effekt når resten av infrastrukturen og applikasjons- og tjenesteporteføljen holder seg til en etablert standard i virksomheten og følger satte regler og prinsipper for logging (men ikke bruk deafult logformat for teknologien du har valgt). For eksempel vil dine evner innen dette være særdeles svekket hvis du ikke har kontroll på tilgangsstyring og brukerkontoer.  

Behov for en sikkerhetsrådgiver?

Vi har rådgivere med mange års erfaring med ledelse og styring av store sikkerhetsprosjekter. Både for å øke kompetansen i virksomheter, skape en sikkerhetskultur og utvikle sikkerhetsstrategier. 

Kom i kontakt med oss

Mest populære