NIS2 követelményeknek történő SeConical megfelelés

Bevezetés

A NIS2 (Network and Information Systems Security Directive 2) az Európai Unió új irányelve, amely a hálózati és információs rendszerek biztonságát hivatott erősíteni. Ez az irányelv a 2016-os NIS irányelv (Network and Information Security Directive) frissítése és bővítése, amelyet azért dolgoztak ki, hogy megerősítsék az EU kritikus infrastruktúráinak és fontos szektorainak digitális biztonságát. A NIS2 célja, hogy az egyre növekvő kibertámadások és biztonsági kihívások fényében javítsa a nemzeti és transznacionális együttműködést, valamint a vállalatok és szervezetek kiberbiztonsági intézkedéseit.

A naplózás általános követelményei a NIS2-ben

A naplózással kapcsolatos követelmények a NIS2 irányelvben kiemelt fontosságúak, mivel az adatok és tevékenységek nyomon követése kulcsfontosságú a biztonsági incidensek megértéséhez és kezeléséhez. Itt van néhány általános elvárás és követelmény, amely a naplózási gyakorlatokra vonatkozik a NIS2 alapján:

1. Adatgyűjtés és -tárolás: A szervezeteknek képeseknek kell lenniük arra, hogy összegyűjtsenek és biztonságosan tároljanak minden releváns naplóadatot, amely szükséges lehet a biztonsági incidensek elemzéséhez és kezeléséhez.
2. Részletesség és pontosság: A naplózásnak elegendő részletességűnek és pontosnak kell lennie ahhoz, hogy támogassa a biztonsági elemzéseket és a forenzikai vizsgálatokat. Ez magában foglalja a felhasználói tevékenységek, rendszerműveletek és hálózati forgalom naplózását.
3. Hozzáférés-szabályozás: A naplóadatokhoz való hozzáférés szigorúan korlátozott kell, hogy legyen, és csak azoknak a személyeknek engedélyezett, akiknek szükségük van rá a munkájuk elvégzéséhez. Ezen felül a hozzáférés-ellenőrzési listák (ACL-ek) és a hozzáférési naplók segítenek biztosítani, hogy csak megfelelő személyek férhessenek hozzá a naplóadatokhoz.
4. Időbélyegzők: A naplóbejegyzéseket pontos időbélyegzőkkel kell ellátni, ami elengedhetetlen az események időrendi sorrendjének megértéséhez és a potenciális biztonsági incidensek pontos időpontjának meghatározásához.
5. Megőrzési időszakok: A naplóadatok megőrzésének idejét előre meghatározott szabályoknak kell szabályozniuk, amelyek megfelelnek a jogi és szabályozási követelményeknek, és elegendő időt biztosítanak a lehetséges incidensek kivizsgálásához.
6. Integritás védelem: A naplóadatok integritásának védelme érdekében alkalmazni kell az integritásvédelmi mechanizmusokat, mint például kriptografikus aláírásokat, hogy megakadályozzák a naplóadatok megváltoztatását vagy sérülését.

Egy automata logelemző rendszer általános NIS2 megfelelésének szabályai

Egy automatizált logelemző rendszernek, amely a NIS2 követelményeinek megfelel, számos specifikus elvárásnak kell megfelelnie. Néhány olyan követelmény, amelyeknek az ilyen rendszereknek meg kell felelniük:

Naplózás és adatgyűjtés: A rendszernek képesnek kell lennie a kritikus rendszerekről és hálózati eszközökről származó naplók automatikus gyűjtésére és rögzítésére. Ez magában foglalja a hálózati forgalom naplózását, a rendszerműveletek naplózását, valamint a biztonsági események és incidensek naplózását.

Részletesség és pontosság: A naplózási adatoknak kellően részletesnek és pontosnak kell lenniük ahhoz, hogy segítsék a biztonsági elemzéseket és a biztonsági incidensek megértését. Ez magában foglalja az események időbélyegzését, az érintett rendszerek és felhasználók azonosítását, valamint a tevékenységek részletes leírását.

Integráció más biztonsági rendszerekkel: A logelemző rendszernek képesnek kell lennie az integrációra más biztonsági eszközökkel és rendszerekkel, mint például tűzfalak, intrusion detection/prevention rendszerek (IDS/IPS), antivírus szoftverek stb. Ez lehetővé teszi az események összehasonlítását és összekapcsolását más biztonsági eseményekkel, ami javítja a kibertámadások felismerését és reakcióidejét.

Hozzáférés-ellenőrzés és adatvédelem: A rendszernek szigorú hozzáférés-ellenőrzési mechanizmusokkal kell rendelkeznie az adatokhoz való hozzáférés korlátozására, valamint az adatok védelmére a jogosulatlan hozzáférés és a manipuláció ellen. Ez magában foglalhatja az erős hitelesítési mechanizmusokat, az adatok titkosítását és az audit trail-ek vezetését az adatok manipulációjának nyomon követésére.

Időbélyegzők és megőrzési időszakok: A rendszernek pontos időbélyegzéseket kell használnia az események rögzítésére, valamint meg kell felelnie az előre meghatározott megőrzési időszakoknak az adatok hosszú távú megőrzéséhez, amelyek megfelelnek a jogi és szabályozási követelményeknek.

Riasztás és reakciók: A rendszernek képesnek kell lennie az automatikus riasztások és értesítések kiküldésére a biztonsági incidensek azonosítása esetén, valamint lehetővé kell tennie a gyors és hatékony reakciókat a kibertámadásokra vagy biztonsági eseményekre. Fontos megjegyezni, hogy az azonnali riasztások, nem egy logelemző rendszer feladatai, ez inkább egy monitorozó rendszer alapfunkciója.

Ezek csak néhány példa arra, hogy milyen követelményeknek kell megfelelnie egy automatizált logelemző rendszernek a NIS2 irányelv alapján. Az egyes országoknak saját, az irányelvhez igazodó jogszabályokat és rendelkezéseket kell kidolgozniuk, így a konkrét követelmények és előírások részletei eltérhetnek az egyes helyszíneken.

Törvényhozás

A NIS2 irányelv teljes körű végrehajtásához az EU tagállamainak törvényeket és rendeleteket kell alkotniuk, amelyek konkrétan meghatározzák a naplózási követelményeket az egyes országokban. Ez azt jelenti, hogy a vállalatoknak és szervezeteknek figyelemmel kell kísérniük a helyi törvényeket és szabályozásokat, hogy biztosítsák, hogy naplózási gyakorlatuk megfelel az aktuális követelményeknek.

A SeConical, mint NIS2 támogató eszköz

A SeConical egy automatikusan működő loggyűjtő, logelemző rendszer, mely heti és havi rendszeres jelentésekkel szolgálja ki a szervezet biztonsági szakembereit. Eddig is nagy segítséget nyújtott a törvényeknek, szabványoknak való megfelelés elősegítésében, de mostantól még több törvényi funkciót lesz képes kielégíteni.

Most, hogy hazánkban hamarosan megjelenik a mindenki által NIS2-nek nevezett információbiztonsági vagy inkább kibervédelmi törvény, az alábbi összefoglalóban információt nyújtunk, hogy milyen követelmények kielégítésében tud segítséget nyújtani a SeConical logelemző appliance.

4.1, 4.2 pontok Szabályozás, naplózható események kiválasztása. Kisebb fejlesztés szükséges.

4.3, 4.4 pontok A Naplóbejegyzések tartalmának feldolgozása. A SeConical appliance különböző informatikai rendszeresemények logjait képes elemezni. Az elemzés előtt azonban a logokat fel kell dolgozni, elő kell készíteni. Az előkészítő feladatok egy részét, azaz a szabályok megírását természetesen szakemberek végzik, akik ismerik az adott naplóállomány sorainak jelentését. Az előkészítés után a rendszer úgynevezett normalizációs előfeldolgozás feladatokat végez, mely során kiszórja a naplóállományok felesleges részeit és csak az elemzéshez fontos logsor összetevőket tartja meg. Természetesen ajánlásokat fogalmazunk meg, hogy egyes logforrásokat futtató hosztoknál milyen méretűre állítsák be a naplóállomány gyűjtésére szolgáló tárhelyet. Ezt biztonsági szempontok alapján számoljuk ki, oly módon, hogy lehetőleg ne történjen naplósor vesztés még abban az esetben sem, ha tönkremegy a hálózat. A beérkező logokból a SeConical naponta készít egy mentési fájlt. Tehát a rendszer naponta automatikusan összegyűjti és titkosítva, tömörítve tárolja a logfájlokat, majd bemásolja a Backup (M) meghajtóra, aminek a mérete alapesetben 200GB. Innen kerülnek a napi naplófájlok egy mentési mappába, melyet kívülről is el lehet érni és erről a helyről egy mentési rendszer lementheti a fájlokat. Ha megtelik ez a meghajtó, akkor mindig a legrégebbi mentést törli a rendszer, és írja felül a legfrissebb mentendő fájllal.

4.5, 4.6 pontok A tárolás képessége.  A Seconical működésének alapja, hogy a hoszt rendszereken lévő logokat összegyűjti, feldolgozza, bizonyos ideig tárolja, majd kiajánlja mentésre. Amennyiben a logtárolást nem lehet megoldani a SeConical egyik különállóan megvásárolható moduljával megoldható a logtárolás képessége. A Logtároló rendszerrel nagyon nagy mennyiségű naplóállomány tárolható és szükség esetén egy-egy naplóállomány sor gyorsan visszakereshető.

4.7, 4.8 pontok A naplózási hiba észlelése, kezelése. A SeConical appliance-nek van saját monitoring alrendszere, mely arra hivatott, hogy a saját működését felügyelje. Ebben a monitoring rendszerben látszódnak azok a hosztok, melyek be lettek csatornázva a SeConical logelemző rendszerbe. A monitoring felületen látszanak azok a szerverek, alkalmazások, melyek rendszeresen küldenek logot. De gyorsan felfedezhető, ha valamely logküldő rendszernél hiba miatt leállt a logtovábbítás. Ennek gyors felfedezését a monitoring alrendszer különböző színekkel is elősegíti.

4.11, 4.12 pontok Naplózási hibák esetén a szervezet alternatív, helyettesítő megoldásokat alkalmaz. Ennek megoldása a szervezet feladata. Szakembereink csak segíteni tudnak.

4.13, 4.14 4.15, 4.16, pontok Elemzés, jelentés. A SeConical appliance hetente egyszer feldolgozza a begyűjtött naplóállományokat és automatikusan jelentést készít belőlük. Ezt hívjuk heti jelentésnek. A jelentésben oly módon dolgozzuk fel a bejövő adatokat, hogy abból egyszerűen és gyorsan megállapítható legyen valamely rendellenes működésre utaló jel.

Amennyiben az adott intézménynek, cégnek több elkülönült informatikai rendszere van és mindegyik rendszerhez tartozik egy naplófájl elemző szolgáltatás a jelentéseket könnyen össze lehet hasonlítani manuális úton is.

4.17, 4.18 pontok Elemzés, jelentés, összevetés a fizikai hozzáférés felügyeletével. A SeConical rendszerrel megoldható a földrajzilag elkülönült helyen lévő logforrások által szolgáltatott logok begyűjtése és közös elemzése is. A sérülékenységvizsgálat jelentésének eredményével a heti jelentés eredményei könnyen összevethetők. Amennyiben valamilyen eltérés látszik a heti jelentésben egyszerűen meghatározható annak időpontja, forrása és így egyszerűen rávetíthető a sérülékenységvizsgálatnál talált eltérés is. Amennyiben a két eltérés korrelációt mutat egyszerűen és gyorsan befejezhető a nyomozás. Ugyanilyen módszerrel folytatható a nyomozás a beléptető rendszer területén, amennyiben feltehető, hogy a támadás külső behatoló felől érkezett. De a beléptető rendszerek logjai egyszerűen becsatornázhatóak magába a SeConical appliance-ba is. Így amennyiben a beléptető rendszer logjai alkalmasak a belépések rendellenességeinek feltárására, akkor ezek az események láthatók a heti, havi jelentésekben is.

4.19 pont Naplóelemzéssel kapcsolatos engedélyezett műveletek. Ezt a szervezetnek szabályzatban kell lefektetnie.

4.20 4.21 pontok A privilegizált parancsok elemzése elemző rendszerben, és ennek összevetése más biztonsági információkkal. A rendszer az általunk kiválasztott, privilegizált állományok elemzését hajtja végre. Így a SeConical nagyban megkönnyíti a nyomozási feladatok végső lépését, mely során könnyen összevethetők a jelentés eredményei más forrásból származó biztonsági információkkal, majd ezek alapján egyszerű naplóállományok legmélyére hatolni, hogy az elkövetőt azonosítani lehessen. Ehhez a feladathoz tartozik a humán oldali információgyűjtés és ennek összevetése a naplóállományok eltéréseivel.

4.22 pont A naplóállományok méretének csökkentése a SeConical rendszer tervezésének alapvető szempontja volt. A technológia erre az alapvetésre támaszkodva oldotta meg a gyors és automatikus jelentéskészítés feladatát.

4.23 pont Magát a naplóállományok elemzését számosság alapú technológiával valósítjuk meg így csökkentve az elemzési időt és így tesszük lehetővé, hogy automatikusan és gyorsan elkészüljön egy heti naplóállományról a jelentés.

4.24 pont Időbélyegek. Az adott szervezetnek meg kell oldania a hosztok szinkronizálását a központi időhöz, ezzel biztosítva, hogy a naplófájl-elemzés során megfelelő következtetésre lehessen jutni a naplóállományok összevetése során.

Maga a SeConical applince is képes időbélyeget tenni a naplóállományokre, de ez az időbélyeg csak a beküldés idejét erősíti meg és nem a keletkezés idejét.

4.25 pont A SeConical rendszer naplózza a rendszereknek, alkalmazásoknak azt a tulajdonságát, hogy naplóbejegyzést készítenek abban az esetben, ha leáll a naplózási szolgáltatás valamely hoszton vagy ha az adminisztrátorok valamelyike leállítja a naplófájlok küldését az elemző rendszerbe. Jobban mondva a rendszer vagy a naplózás ismételt elindításakor képesek ezek a rendszerek egy olyan bejegyzést tenni, hogy az előzőleg leállították a naplózási funkciókat. Mi ezt az újraindításkor keletkező logot tudjuk gyűjteni és elemezni, majd a jelentésekben bemutatni.

4.26 pont Az EIR a naplóbejegyzéseket egy hardveresen kikényszerített, egyszer írható adathordozóra rögzíti. A SeConical nem kényszeríti ki hardveresen a naplóállományok mentését egyszerírható hordozóra. Ezt a feltételt a szervezet mentési rendszerének kell teljesítenie. A naplóbejegyzéseket tömörített formában kiajánljuk a mentési rendszernek, amely szükség esetén mágnesszalagra is mentheti az állományokat.

4.27 pont A naplóinformációk védelme, a naplófájlok elkülönített tárolása. A SeConical mentésre kiajánlja az általa gyűjtött logokat. A mentőrendszer szalagra is másolhatja a fájlokat. és a szalagot fizikailag a mentőrendszertől, a naplóelemző rendszertől elkülönítetten lehet tárolni.

4.28 pont Kriptográfiai eszközök használata. A SeConical rendszer használ ilyet a Flume alrendszerében. Van a SeConicalban bizonyos területeken titkosítás. A kiajánlott logok is tömörítve és titkosítva vannak. Mentési jelszó is kell ezen logok újra olvasásához.

4.29 pont A SeConical rendelkezik megfelelő jogosultsági rendszerrel a logok elemzéséhez. A naplóállományokból készített jelentésekhez csak az információbiztonsági szakemberek csoportja férhet hozzá. A rendszer beállításait, más jogosultsággal csak a rendszergazdák csoportja kezelheti.

4.30 pont Kettős jóváhagyás kikényszerítése a naplóállományok törlése vagy módosítása terén. Ehhez a ponthoz szabályozás szükséges.

4.31 pont Csak olvasási jog a naplóállományokhoz. Ennek biztosítása. Ezt nem tudom.

4.31-4.37 pontok Letagadhatatlanság. Ez a szervezet szabályozási feladata.

4.38 4.39 pontok Megőrzés, hosszú távú visszakereshetőség. Ezt a szervezet mentőrendszere tudja, vagy a Logtároló modul a megvásárlása esetén a SeConical modulja.

4.40 pont Naplóbejegyzések létrehozásáért az EIR felelős.

4.41 pont Naplóbejegyzések létrehozása (egész rendszerre időbeli nyomvonal) A SeConical heti jelentéséből a rendszer naplófájljainak időbeli megegyezősége megállapítható. Első körben a napi egyezőség állapítható meg legegyszerűbben. Ebből a későbbi nyomozás során pontos időpont is kikereshető.

4.42 pont Az EIR-re kiterjedő egységes heti jelentés készül a SeConical appliance-ben.

4.43 pont Az EIR lehetőséget ad személyeknek, szerepköröknek, hogy megváltoztassák a naplózást. Ezt a SeConicalban követni szükséges. A SeConicalban követhető, hogy mely logforrások álltak le, és milyen új logforrások lettek a rendszerbe kötve.

4.44 pont A szervezet figyeli az információk kiszivárogtatásának lehetőségét. Ez a szervezet feladata, ebben segítséget nyújthat a SeConical. (Például jogosulatlan adminisztrátori jogok kiosztása, amiből információ szivárogtatásra lehet következtetni stb.)

4.47 pont Amennyiben erre létezik az adott rendszeren logbejegyzés, ez beilleszthető a heti jelentések közé.

4.52 pont A SeConical képes szervezeteken átívelő naplóinformációkat szolgáltatni.

5.16 pont A szervezeti trendelemzéshez a SeConical havi jelentéseit ajánljuk. A havi jelentések pontosan a trendeket próbálja a vezetőknek bemutatni.

5.19.pont A SeConical appliance pontosan az automatikus és rendszeres felügyeleti elemzések létrehozására lett kifejlesztve.