" independen review dan pemeriksaan sistem catatan dan kegiatan untuk menentukan kecukupan kontrol sistem, memastikan kepatuhan dengan menetapkan kebijakan keamanan dan prosedur, mendeteksi pelanggaran keamanan, dan merekomendasikan perubahan yang diindikasikan untuk penanggulangan. Dasar audit tujuan adalah untuk membangun akuntabilitas untuk sistem entitas yang berinisiatif atau berpartisipasi dalam keamanan-relevan peristiwa dan tindakan. Dengan demikian, cara yang diperlukan untuk menghasilkan dan merekam jejak audit keamanan dan untuk meninjau dan menganalisis audit trail untuk menemukan dan menyelidiki serangan dan keamanan kompromi. "
Jejak Audit keamanan
" catatan kronologis kegiatan sistem mencukupi untuk mengaktifkan rekonstruksi dan pemeriksaan dari urutan kegiatan dan lingkungan sekitarnya atau mengarah ke operasi, prosedur, atau acara dalam transaksi keamanan-relevan dari awal untuk hasil akhir "
Arsitektur Audit keamanan
Didistribusikan Audit Trail Model
Fungsi audit keamanan
Definisi Event
• harus menentukan apakah adminstrasi peristiwa
• Menunjukkan kriteria umum:
- pengenalan objek
- penghapusan objek
- distribusi atau pencabutan hak akses atau kemampuan
- perubahan subjek atau objek atribut keamanan
- kebijakan pemeriksaan dilakukan oleh perangkat lunak keamanan
- penggunaan hak akses untuk mem-bypass cek kebijakan
- penggunaan fungsi identifikasi dan otentikasi;
- tindakan terkait keamanan yang diambil oleh operator/pengguna
- impor/ekspor data dari dan ke removable media
Persyaratan Audit lainnya
• acara deteksi kait dalam perangkat lunak dan perangkat lunak pemantauan untuk menangkap aktivitas
• acara fungsi dengan aman penyimpanan perekaman
• acara dan audit trail analisis perangkat lunak, peralatan, dan antarmuka
• keamanan fungsi audit
• sedikit efek pada fungsi
Persyaratan implementasinya
1.setuju pada persyaratan manajemen
2.lingkup cek setuju dan dikendalikan
3.cek terbatas akses hanya-baca untuk s/w & data
4.lain akses hanya untuk terisolasi salinan file sistem, kemudian dihapus atau diberikan sesuai perlindungan
5.sumber daya untuk melakukan pemeriksaan harus diidentifikasi secara eksplisit dan dibuat tersedia
6.mengidentifikasi / menyetujui persyaratan khusus
7.semua akses harus dipantau dan login
8.dokumen prosedur, persyaratan, tanggung jawab
9.orang yang melakukan audit independen kegiatan
Apa yang harus di kumpulkan
• masalah jumlah data yang dihasilkan
- tradeoff kuantitas vsefficiency
• data item ditangkap mungkin termasuk:
- audit perangkat lunak menggunakan
- menggunakan sistem mekanisme keamanan
- peristiwa-peristiwa dari id dan sistem firewall
- sistem manajemen / operasi acara
- akses sistem operasi (sistem panggilan)
- akses ke aplikasi yang dipilih
- remote akses
Jejak Audit tingkat sistem
• berguna untuk mengkategorikan jejak audit
• jejak audit tingkat sistem:
- umumnya digunakan untuk mengawasi dan mengoptimalkan kinerja sistem
- dapat juga melayani fungsi audit keamanan
- menangkap login, menggunakan perangkat, fungsi o/s, misalnya
Jan 27 17:18:38 host1 login: ROOT LOGIN konsol
Jan 27 17:19:37 host1 reboot: reboot oleh root
Jan 28 09:46:53 host1 su: berhasil 'suroot' untuk user1/dev/typ0 t
Jan 28 09:47:35 host1 shutdown: reboot dengan user1
Jejak Audit Level aplikasi
• untuk mendeteksi pelanggaran keamanan dalam aplikasi
• untuk mendeteksi kekurangan dalam aplikasi sistem interaksi
• untuk aplikasi kritis / sensitif, misalnya email, DB
• catatan keamanan yang tepat terkait rincian, misalnya
Apr 911:20:22 host1 AA06370: dari = < di user2@host2 >, ukuran = 3355, kelas = 0
Apr 911:20:23 host1 AA06370: untuk = < user1@host1 >, penundaan = 00: 00:02, stat = Sent
Apr 911:59:51 host1 AA06436: dari = < di user4@host3 >, ukuran = 1424, kelas = 0
Apr 911:59:52 host1 AA06436: untuk = < user1@host1 >, penundaan = 00: 00:02, stat = Sent
Jejak Audit user Level
• jejak aktivitas pengguna individu dari waktu ke waktu
- untuk menahan pengguna bertanggung jawab untuk tindakan yang diambil
- sebagai masukan untuk program analisis bahwa upaya untuk mendefinisikan normal versus perilaku anomali
• mungkin menangkap
- interaksi pengguna dengan sistem
• misalnya perintah yang dikeluarkan
- identifikasi dan otentikasi upaya
- file dan sumber daya yang diakses.
- juga dapat log penggunaan aplikasi
Jejak Audit fisik-tingkat
• dihasilkan oleh kontrol akses fisik
- misalnya kartu-kunci sistem, sistem alarm
• dikirim ke host pusat untuk analisis / penyimpanan
• dapat login
- tanggal/waktu/lokasi/user akses upaya
- sah dan tidak sah akses upaya
- upaya untuk mengubah hak akses
- mungkin mengirim pesan pelanggaran personil
Audit Trail Penitipan alternatif
• membaca/menulis file pada host
- penggunaan sumber daya yang mudah, setidaknya, akses cepat
- mudah diserang oleh penyusup
• menulis-sekali perangkat (misalnya CD/DVD-ROM)
- lebih aman tetapi kurang nyaman
- media kebutuhan pasokan dan telah menunda akses
• hanya menulis perangkat (misalnya printer)
- jejak kertas tapi tidak praktis untuk analisis
• harus melindungi integritas dan kerahasiaan
- menggunakan enkripsi, tanda tangan digital, kontrol akses
Melaksanakan pendataan
• dasar dari fasilitas audit keamanan adalah penangkapan awal audit data
• perangkat lunak harus mencakup kait (menangkap poin) yang memicu pengumpulan data dan penyimpanan seperti peristiwa yang telah terjadi
• sistem operasi / tergantung aplikasi
- tingkat sistem penebangan dapat menggunakan sarana
- meninjau Log peristiwa Windows & UNIX Syslog
Log peristiwa Windows
• setiap peristiwa entitas yang menggambarkan kejadian beberapa menarik dan
- setiap catatan acara berisi:
• id numerik, menetapkan atribut, data pengguna opsional
- disajikan sebagai XML atau data biner
• memiliki tiga jenis log peristiwa:
- sistem-sistem terkait apps & driver
- aplikasi - pengguna-tingkat apps
- keamanan-Windows LSA
Contoh Log peristiwa Windows
• Jenis peristiwa: sukses Audit
• Sumber peristiwa: Security Event
• Kategori: (1)
• Event ID: 517
• Tanggal: 3/6/2006
• Waktu: 2:56:40 PM
• Pengguna: NT AUTHORITY\SYSTEM
• Komputer: KENT
• Deskripsi: audit log dibersihkan
• Sistem: nama pengguna utama
• Domain utama: NT AUTHORITY
• ID:(0x0,0x3F7) utama Logon
• Klien pengguna nama: userk
• Klien Domain: KENT
• Klien masuk ID:(0x0,0x28BFD)
Windows Event Kategori
• rekening logon peristiwa
• pengelolaan rekening
• akses layanan direktori
• peristiwa logon
• objek akses
• perubahan kebijakan
• menggunakan hak istimewa
• proses pelacakan
• sistem kegiatan
UNIX Syslog
• Di UNIX untuk keperluan umum penebangan mekanisme
- ditemukan di semua UNIX / Linux varian
- tetapi dengan varian dalam fasilitas dan log format
• elemen:
- syslog() API
- utilitas logger perintah
- /etc/syslog.confconfiguration file
- syslogddaemon untuk menerima/rute log peristiwa
SyslogService
• menyediakan layanan dasar:
- sarana untuk menangkap peristiwa-peristiwa yang relevan
- fasilitas Penitipan Bagasi
- protokol transmisi syslogmessages dari host lain untuk syslogserver tengah
• fitur tambahan tambahan mungkin termasuk:
- penyaringan kuat, analisis log acara respon, format pesan alternatif, log file enkripsi, database penyimpanan, menilai membatasi
SyslogProtocol
• transportasi memungkinkan host untuk mengirim pesan pemberitahuan acara IP syslogservers
- menyediakan format pesan umum
- memungkinkan proses / apps menggunakan konvensi yang cocok untuk acara-acara log
• umum versi BSD (RFC3164):
- PRI-fasilitas / kode keparahan
- header - timestamp & hostname/IP alamat
- pesan - program nama dan konten
SyslogExamples
Mar 1 06:25:43 server1 sshd [23170]: diterima publickeyfor server2 dari 172.30.128.115 port 21011 ssh2
Mar 1 07:16:42 sshd server1 [9326]: diterima password untuk murugiahfrom 10.20.30.108 port 1070 ssh2
Mar 1 07:16:53 sshd server1 [22938]: reverse pemetaan memeriksa getaddrinfofor ip10.165.nist.gov. gagal - mungkin BREAKIN usaha!
Mar 1 07:26:28 sshd server1 [22572]: diterima publickeyfor server2 dari 172.30.128.115 port 30606 ssh2
Mar 1 07:28:33 server1 su: buruk SU root kkentto/dev/ttyp2
Mar 1 07:28:41 server1 su: root kkentto/dev/ttyp2
SyslogFacility dan keparahan
• fasilitas mengidentifikasi aplikasi / komponen sistem yang menghasilkan pesan:
- pengguna kern mail daemon auth lprnews uucpcronlocal0-7 mark
• keparahan (pesan tingkat) menunjukkan tingkat keparahan relatif pesan
- dapat digunakan untuk menyaring beberapa dasar
- emergalert criterr peringatan pemberitahuan info debug
Penebangan di Level aplikasi
• aplikasi istimewa memiliki masalah keamanan
- audit tingkat sistem/pengguna yang tidak dapat melihat data
- sebuah persentase besar dari kerentanan yang dilaporkan
- misalnya kegagalan untuk secara memadai memeriksa data input, kesalahan logika aplikasi
• oleh karena itu perlu untuk menangkap rinci perilaku
• aplikasi dapat ditulis untuk membuat audit data
• jika tidak dilakukan, mempertimbangkan dua pendekatan untuk audit:
- interposable Perpustakaan
- dinamis biner menulis ulang
Interposable Perpustakaan
Menulis ulang biner dinamis
Analisis audit Trail
• analisis program/prosedur bervariasi
- rujuk SP NIST 800-92
• harus memahami konteks entri log
- info yang relevan di log yang sama / lain-lain, konfigurasi
- kemungkinan f diandalkan entri
• audit campuran format file teks biasa / kode
- oleh karena itu harus menguraikan secara manual / otomatis
• idealnya secara rutin meninjau entri untuk memperoleh pemahaman dasar
Jenis analisis Audit Trail
• jejak audit dapat digunakan dalam berbagai cara
• hal ini tergantung pada bagian pada ketika selesai
• kemungkinan termasuk:
- audit trail review setelah acara
• dipicu oleh aktivitas untuk mendiagnosa penyebab & memulihkan
- review berkala tentang data jejak audit
• meninjau curah data untuk mengidentifikasi masalah & perilaku
- analisis real-time audit
• sebagai bagian dari fungsi Deteksi intrusi
Audit Review
• audit Tinjauan kemampuan menyediakan admin dengan informasi dari catatan dipilih audit
- tindakan satu atau lebih user
- tindakan pada objek tertentu atau sumber daya
- semua atau seperangkat tertentu pengecualian diaudit
- tindakan pada sistem tertentu / atribut keamanan
• dapat disaring oleh waktu / sumber / freq dll
• digunakan untuk menyediakan sistem aktivitas dasar
• & untuk mengukur tingkat keamanan terkait aktivitas
Pendekatan Analisis Data
• dasar menyiagakan
- menunjukkan jenis acara yang menarik telah terjadi
• baselining
- menentukan normal vsunusual event / pola
- Bandingkan dengan data baru untuk mendeteksi perubahan
• Windowing
- acara dalam satu set tertentu parameter
• korelasi
- mencari hubungan antara peristiwa
Pendekatan terpadu
• volume audit data berarti manual analisis dan baseliningis praktis
• perlu informasi keamanan dan acara manajemen (SIEM) sistem
- penebangan terpusat dan paket analisa
- agentlessor berbasis agen
- menormalkan berbagai format log
- menganalisis data gabungan
- berkorelasi peristiwa antara entri log
- mengidentifikasi dan memprioritaskan peristiwa penting
- dapat memulai tanggapan
Contoh: Cisco MARS
• contoh produk SIEM
• mendukung berbagai macam sistem
• agentlesswith server didedikasikan pusat
• berbagai macam paket analisis
• GUI yang efektif
• server mengumpulkan, mem-parsing, menormalkan, berkorelasi dan menilai peristiwa untuk kemudian memeriksa positif palsu, kerentanan, dan profil
Ringkasan
• memperkenalkan perlunya audit keamanan
• audit model, fungsi, persyaratan
• pemeriksaan audit keamanan
• melaksanakan pendataan
• audit trail analisis
• terintegrasi SIEM produk
Original
No comments:
Post a Comment