Sunday, June 8

สิ่งที่เราต้องพิจารณาในการทำ Log Compliance ตอนที่ 2


Log เป็นการบันทึกข้อมูลของเหตุการณ์ที่เกิดขึ้นภายในของระบบและเครือข่าย Log จะประกอบด้วย log entry ซึ่งแต่ละ entry จะบรรจุข้อมูลที่มีความสัมพันธ์กับเหตุการณ์แบบเจาะจงที่เกิดขึ้นบนระบบหรือเครือข่าย โดย logs จะถูกบรรจุรวบรวม และบันทึกไว้ในความปลอดภัยทางคอมพิวเตอร์ การบันทึกข้อมูลการใช้งานเพื่อความปลอดภัยทางคอมพิวเตอร์มีที่มาจากหลายแหล่ง ประกอบด้วยความปลอดภัยทางด้านซอร์ฟแวร์ เช่น ซอร์ฟแวร์ป้องกันไวรัส firewall การตรวจสอบการบุกรุก และการป้องกันการบุกรุกของระบบ การปฏิบัติงานของระบบบนเครื่องแม่ข่าย เครื่องคอมพิวเตอร์ เครื่องมือทางเครือข่าย และโปรแกรมประยุกต์ต่างๆ
หมายเลข จำนวน และความเปลี่ยนแปลงของการบันทึกข้อมูลการใช้งานความปลอดภัยทางคอมพิวเตอร์จะมีจำนวนเพิ่มขึ้น ซึ่งสร้างตามความต้องการของการจัดการการบันทึกข้อมูลการใช้งานเพื่อความปลอดภัยทางคอมพิวเตอร์ กระบวนการสร้าง การสื่อสาร การเก็บข้อมูล การวิคราะห์ และกำหนดข้อมูลการบันทึกการใช้งานเพื่อความปลอดภัยทางคอมพิวเตอร์ การจัดการการเก็บข้อมูลเป็นปัจจัยที่แน่นอนของการบันทึกข้อมูลความปลอดภัยคอมพิวเตอร์และเก็บรายละเอียดที่เพียงพอเป็นช่วงเวลา การวิเคราะห์ข้อมูลที่มีแบบแผนเป็นผลดีสำหรับระบุเหตุการณ์ที่มีความปลอดภัย การกระทำความผิด การกระทำการฉ้อโกง และปฏิบัติงานได้ทุกปัญหา การบันทึกข้อมูลนั้นยังมีประโยชน์เมื่อต้องการตรวจสอบการกระทำ และใช้วิเคราะห์ในศาลยุติธรรม รับรองในเรื่องการสืบสวน เป็นหลักฐานที่แน่นอน และระบุทิศทางการใช้งานและปัญหาในระยะยาวได้ การรวบรวมอาจจะเก็บข้อมูลและวิเคราะห์ข้อมูลที่บันทึกตามที่รัฐบาลกำหนดและออกกฎหมายบังคับ รวมถึง Federal Information Security Management Act of 2002 (FISMA), Health Insurance Portability and Accountability Act of 1996 (HIPAA), Sarbanes-Oxley Act of 2002 (SOX), Gramm-Leach-Bliley Act (GLBA) และ Payment Card Industry Data Security Standard (PCI DSS) ด้วย
ซึ่งจากตอนที่แล้วได้กล่าวถึงมาตราฐาน GLBA จึงขออธิบายต่อเพื่อให้องค์กรแต่ละองค์กรมีการวางแผนนโยบายและระเบียบการเกี่ยวกับการจัดการบันทึกการใช้งาน

2. Compliance Audit Reports สำหรับ Health Insurance Portability and Accountability Act (HIPAA)

กฎหมาย Health Insurance Portability and Accountability Act (HIPAA) มีผลกระทบกับสถานพยาบาลที่แลกเปลี่ยนข้อมูลคนไข้แบบอิเล็กทรอนิกส์ กฎหมาย HIPAA มีขึ้นเพื่อปกป้องความสมบูรณ์และความมั่นคงของข้อมูลสุขภาพ รวมทั้งป้องกันไม่ให้มีการใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต HIPAA ระบุไว้ว่าจะต้องมีกระบวนการในการจัดการความปลอดภัยเพื่อป้องกันการเข้าถึง ใช้ เปิดเผย แก้ไข หรือรบกวนข้อมูลของคนไข้ หรือความพยายามดังกล่าวโดยไม่ได้รับอนุญาต พูดอีกอย่างหนึ่งคือ สามารถเฝ้าสังเกต รายงาน และเตือนถึงความพยายามหรือความสำเร็จในการเข้าถึงระบบและแอพพลิเคชั่นต่าง ๆ ที่มีข้อมูลข่าวสารที่เป็นความลับ
ชนิดของรายงานที่ EventLog Analyzer สนับสนุนเพื่อการทำ HIPAA Audit มีดังต่อไปนี้คือ
- รายงานการเข้าใช้ระบบของผู้ใช้
- รายงานการออกจากระบบของผู้ใช้
- รายงานการเข้าถึงระบบที่ล้มเหลว
- รายงานการเข้าถึง audit log
- รายงานการเข้าถึงอ็อบเจค
บอกได้ว่าเมื่อใดที่อ็อบเจคที่กำหนด (เช่น ไฟล์ ไดเร็กทอรี และอื่น ๆ) ถูกเข้าถึง ชนิดของการเข้าถึง (เช่น อ่าน เขียน ลบ) การเข้าถึงนั้นสำเร็จหรือไม่ และใครเป็นคนทำ
- รายงานเหตุการณ์ของระบบ บอกถึงขั้นตอนที่เกิดขึ้นในระบบ เช่น การเริ่มต้นและปิดการทำงานของระบบ และการเปลี่ยนแปลงเวลาในระบบหรือ audit log
- รายงานสถานะ host session
บอกให้รู้เมื่อมีคนเชื่อมต่อเข้ามายัง terminal server session ที่ตัดการเชื่อมต่อแล้ว (เกิดขึ้นเฉพาะในเครื่องที่มีบริการ terminal service อยู่เท่านั้น)
- รายงานการพิสูจน์ตัวผู้ใช้ที่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำได้สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์
- รายงานการพิสูจน์ตัวผู้ใช้ที่ไม่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำไม่สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์

3. Compliance Audit Reports สำหรับ Payment Card Industry Data Security Standard (PCI-DSS)

EventLog Analyzer สนับสนุนมาตรฐาน Payment Card Industry Data Security Standard (PCI-DSS) ข้อ 10 ซึ่งช่วยให้ผู้ให้บริการการจ่ายเงินและผู้จำหน่ายสามารถติดตามและรายงานการเข้าถึงทั้งหมดให้กับระบบในเครือข่าย และข้อมูลผู้ถือบัตรผ่านทางบันทึกกิจกรรมในระบบได้ ถ้ามีความผิดปกติเกิดขึ้น การมีบันทึก (log) ในสภาพแวดล้อมแบบเครือข่ายช่วยทำให้สามารถวิเคราะห์หลักฐานทางคอมพิวเตอร์ได้ ถ้าไม่มีบันทึกกิจกรรมในระบบจะทำให้การค้นหาต้นเหตุของการบุกรุกทำได้ยาก
ชนิดของรายงานที่ EventLog Analyzer สนับสนุนเพื่อการทำ PCI Audit มีดังต่อไปนี้คือ
- รายงานการเข้าใช้ระบบของผู้ใช้
- รายงานการออกจากระบบของผู้ใช้
- รายงานการเข้าถึงระบบที่ล้มเหลว
การเข้าถึงระบบที่มีการรักษาความปลอดภัย ได้แก่ การบันทึกความพยายามในการล็อกอินเข้าใช้งานที่ล้มเหลว ชื่อผู้ใช้ วันเดือนปี รวมถึงเวลาในรายงานนี้ด้วยทุกครั้ง
- รายงานการเข้าถึง audit log
มาตรฐาน PCI-DSS กำหนดให้มีขั้นตอนในตรวจสอบบันทึกข้อมูลกิจกรรมของระบบสารสนเทศ เช่น audit log อย่างสม่ำเสมอ
- รายงานการเข้าถึงอ็อบเจค
บอกได้ว่าเมื่อใดที่อ็อบเจคที่กำหนด (เช่น ไฟล์ ไดเร็กทอรี และอื่น ๆ) ถูกเข้าถึง ชนิดของการเข้าถึง (เช่น อ่าน เขียน ลบ) การเข้าถึงนั้นสำเร็จหรือไม่ และใครเป็นคนทำ
- รายงานการเปลี่ยนแปลงของนโยบายในการ audit
มาตรฐาน PCI-DSS กำหนดให้ติดตาม event log หาสิ่งที่เปลี่ยนแปลงในนโยบายการทำ security audit
- รายงานการทำงานของผู้ใช้แต่ละคน
มาตรฐาน PCI-DSS กำหนดให้ติดตามการทำงานของผู้ใช้แต่ละคน

4. Compliance Audit Reports สำหรับ Sarbanes-Oxley (SOX) Act

มาตรา 404 - Management Assessment of Internal Controls และมาตรา 302 - Corporate Responsibility for Financial Reports ของกฎหมาย SOX ซึ่งเป็นส่วนหนึ่งของ Risk Management การบริหารความเสี่ยง และมีผลกับสถาบันที่เกี่ยวข้องกับการทำธุรกรรมการเงิน ตลาดหลักทรัพย์ เป็นต้น
ชนิดของรายงานที่ EventLog Analyzer สนับสนุนเพื่อการทำ SOX Audit มีดังต่อไปนี้คือ
- รายงานการเข้าใช้ระบบของผู้ใช้
- รายงานการออกจากระบบของผู้ใช้
- รายงานการเข้าถึงระบบที่ล้มเหลว
- รายงานการเข้าถึง audit log
- รายงานการเข้าถึงอ็อบเจค
บอกได้ว่าเมื่อใดที่อ็อบเจคที่กำหนด (เช่น ไฟล์ ไดเร็กทอรี และอื่น ๆ) ถูกเข้าถึง ชนิดของการเข้าถึง (เช่น อ่าน เขียน ลบ) การเข้าถึงนั้นสำเร็จหรือไม่ และใครเป็นคนทำ
- รายงานเหตุการณ์ของระบบ
บอกถึงขั้นตอนที่เกิดขึ้นในระบบ เช่น การเริ่มต้นและปิดการทำงานของระบบ และการเปลี่ยนแปลงเวลาใน- --- ระบบหรือ audit log
- รายงานสถานะ host session
บอกให้รู้เมื่อมีคนเชื่อมต่อเข้ามายัง terminal server session ที่ตัดการเชื่อมต่อแล้ว (เกิดขึ้นเฉพาะในเครื่องที่มีบริการ terminal service อยู่เท่านั้น)
- รายงานการเปลี่ยนแปลงเกี่ยวกับการจัดการแอคเคาท์
- รายงานการเปลี่ยนแปลงการกำหนดค่าที่เกี่ยวกับความปลอดภัย เช่น การเพิ่มหรือลบผู้ใช้จากกลุ่มผู้ดูแลระบบ ใน event log
รายงานการเปลี่ยนแปลงเกี่ยวกับกลุ่มผู้ใช้
ติดตาม event log หาการเปลี่ยนแปลงการกำหนดค่าทางด้านความปลอดภัย เช่นการเพิ่มหรือลบกลุ่ม global หรือ local การเพิ่มหรือลบสมาชิกออกจากกลุ่ม global หรือ local เป็นต้น
รายงานการเปลี่ยนแปลงของนโยบายในการ audit ติดตาม event log หาการเปลี่ยนแปลงในนโยบายการทำ security audit
- รายงานการพิสูจน์ตัวผู้ใช้ที่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำได้สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์
- รายงานการพิสูจน์ตัวผู้ใช้ที่ไม่สำเร็จ บอกให้รู้ถึงเหตุการณ์การเข้าถึงระบบที่ทำไม่สำเร็จ เกิดขึ้นเมื่อมีการพิสูจน์ตัวผู้ใช้โดเมนในโดเมนคอนโทรลเลอร์
- รายงานการทำงานของผู้ใช้แต่ละคน สามารถติดตามการทำงานของผู้ใช้แต่ละคน
ติดตามการเข้าถึงของแอพพลิเคชั่น สามารถติดตามขั้นตอนการทำงานของแอพพลิเคชั่นได้

ปัญหาโดยทั่วไปของการจัดการกับการบันทึกข้อมูลการใช้นั้นเกิดขึ้นในการรวบรวมหลายข้อมูลเป็นการจำกัดจำนวนความสมดุลของผลประโยชน์ที่จะได้รับของข้อมูลการจัดการที่บันทึกการใช้งานกับข้อมูลการใช้งานที่มีอยู่ การสร้างการบันทึกข้อมูลการใช้งานและการเก็บบันทึกข้อมูลการใช้งานสามารถทำให้ซับซ้อนได้ด้วยปัจจัยหลายอย่าง รวมถึงจำนวนข้อมูลที่มีปริมาณสูงของบันทึกข้อมูลการใช้งาน ความไม่แน่นอนของจำนวนของบันทึกการใช้งาน การจัดรูปแบบ timestamp ระหว่างแหล่งที่มา และการเพิ่มปริมาณขนาดใหญ่ของบันทึกข้อมูลการใช้งาน การจัดการกับบันทึกการใช้งานนั้นเป็นการตรวจสอบที่ได้รับการวางไว้วางใจ มีความสมบูรณ์ และเหมาะสำหรับใช้การบันทึกการใช้งาน ปัญหาอื่นๆที่เกี่ยวกับการจัดการกับบันทึกการใช้งานคือ การรับประกันความปลอดภัย ระบบ และผู้จัดการเครือข่ายทั่วไปในการวิเคราะห์ข้อมูลบันทึกการใช้งาน ได้ประกาศให้มีจัดเตรียมการแนะนำสำหรับการประชุมและการสแดงความคิดเห็น
อุปกรณ์ เครื่องมือ ที่แนะนำควรจะมีส่วนที่ช่วยให้ง่าย มีประสิทธิภาพและมีประโยชน์ต่อการจัดการการบันทึกการใช้งานสำหรับรัฐบาลและบริษัท


ในเมืองไทยตอนนี้เรายังไม่มีมาตรฐานในการเก็บ Log ตาม GLBA , SOX , PCI/DSS แต่เริ่มประกาศพระราชบัญญัติการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550 ขึ้น และหลายส่วนมีการผสมผสานการเก็บ Log ตามมาตราฐานสากลอยู่บ้าง ที่จำเป็นต้องทำกันทุกหน่วยงานคือต้องเก็บบันทึกข้อมูลจราจร ตามมาตรา 26 อย่างน้อย 90 วัน โดยปกติ เป็น Log ดิบ ที่ยังไม่ได้มีการวิเคราะห์ใด จำเป็นต้องผ่านการวินิฉัยข้อมูล หรือเรียกว่า Forensic จากเจ้าหน้าที่พนักงาน หรือตำรวจ ที่กำกับและดูแลเรื่องนี้ เป็นผู้วิเคราะห์ และส่วนใหญ่ที่พบ Log ดิบดังกล่าว จะหาผู้กระทำความผิดได้ค่อนข้างยาก และหลักฐานที่พบ อาจจะมีการโต้แย้งในชั้นศาลได้ ดังนั้นหากเราเข้าใจว่า สาระสำคัญของกฏหมายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มีไว้เพื่อหาผู้กระทำความผิดแล้ว เราควรจะสรรหาระบบที่ระบุถึงภัยคุกคาม และความเสี่ยงที่อาจจะเกิดจากมาตราต่างๆ ที่กล่าวไว้ อีกทั้งมีระบบป้องกันภัยเพื่อไม่ให้เกิดเหตุการณ์ที่มีผลต่อความเสี่ยงที่ผิดกฏหมายได้ หรือหากมีการเก็บบันทึก Log นั้น ถ้าให้ดีควรเลือกเทคโนโลยีที่เปลี่ยนแปลง Log ดิบ ให้เป็น Log ที่สุก ได้จะเป็นการดี Log ที่สุก ในที่นี้คือ ผ่านการวิเคราะห์แล้วและมีความน่าเชื่อถือ


หน้าตา Log ที่พบบนอุปกรณ์ SRAN

นนทวรรธนะ สาระมาน
Nontawattana Saraman
05/06/2008

No comments: