Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
I bestræbelserne på at undgå at drukne i mængderne af log-indtog fra firewalls og sikkerhedsudstyr har Ingeniørernes A-Kasse indført såkaldt centraliseret logging, hvilket som en sidegevinst har givet mindre støj på netværket.
For mange virksomheder udgør overvågningen af sikkerhedsudstyret i sig selv en udfordring i og med, at der ofte genereres næsten uoverkommeligt mange log-filer, som kan gøre det vanskeligt at finde de få hændelser, der kan være tegn på, at nogen er brudt illegitimt igennem.
Netop denne problematik fik sidste forår Ingeniørernes A-Kasse (IAK) til at indføre såkaldt centraliseret logning.
- Log-informationer havde vi rigeligt af. Det, vi havde brug for, var et system til at hjælpe med at afgøre, hvilke alarmer, der er tegn på, at der reelt er noget galt, og hvad der skal reageres på, fordi der er tale om en alvorlig trussel for forretningen, siger Mickie Friebel. Han er system- og sikkerhedsansvarlig i Ingeniørernes A-kasse.
IAK beskæftiger knap 115 ansatte - dels med traditionelle A-kasseaktiviteter og dels med karriereudvikling for ledige, og den er som A-kasse underlagt udvidede sikkerhedskrav. It-afdelingen driver ni sub-net, der skal sikres, og man var nået en situation, hvor der kom 250.000 log-indtog om transaktioner på de forskellige firewalls om året.
- Tidligere brugte jeg rigtig meget tid på at scanne log-filer og på at lave statistikker og oversigter i regneark. Jeg ville gerne kunne kvalificere materialet bedre, siger Mickie Friebel.
Efter at have talt med en række leverandører på området, indsnævredes snakken til at omfatte Protego, og i foråret indførte A-kassen Protegos såkaldte C-Log-løsning til centraliseret logning.
Centraliseret logning tilføjer ifølge Mickie Friebel to nye niveauer af behandling af de mange sikkerhedsdata.
- Det første niveau var det, vi allerede havde, hvor firewalls og andet udstyr overvåges og transaktioner logges. Det nye niveau scanner og analyserer materialet - blandt andet ud fra en database. På grundlag af dette materiale er C-Log i stand til at vise visuelt, hvor trafikken er gået hen. Tidligere skulle jeg lede i loggen efter eventuelle resultater af mistænkelig aktivitet, som i praksis kunne forekomme mange indtog senere i loggen, når en hændelse på firewallen blev fulgt af en anden hændelse på for eksempel en webserver, fortæller Mickie Friebel.
- Desuden samler C-Log indtog af samme slags i en linje, så vi undgår risikoen for at blive uopmærksomme af at sidde og kikke loglinjer igennem, siger han.
Værktøjet fra Protego indeholder også et tredje niveau, som omfatter mulighederne for at samle dokumentation af sikkerhedsberedskabet. For eksempel kan man udfærdige rapporter over afviste angreb, som it-afdelingen kan benytte til at vise ledelsen og organisationen, hvad sikkerhedsarbejdet betyder.
- Uden denne form for dokumentation af fordelene er der en generel tendens til, at sikkerhedsforanstaltningen bliver opfattet som en begrænsning, siger Mickie Friebel.
Det første resultat af anvendelsen af C-Log var, at Mickie Friebel fik et langt klarere billede end tidligere af, hvad der støjede på netværket.
Denne type støj kan komme fra servere, der står og udsender meddelelser, som der var behov for i NT-miljøet, men som der ikke længere er brug for, fordi virksomheden er gået over til Windows 2000. Eller det er en gammel backup-klient, der ikke er blevet fjernet fra alle maskiner, og hvis forsøg på at opdatere bliver afvist i firewallsne.
I Ingeniørernes A-kasse fandt man uhensigtsmæssigheder af denne type, og det har reduceret antallet af log-indtog.
- Vi har mere end rigeligt at se til med at holde flere end 50 systemer kørende, så vi tager med glæde imod ekstern ekspertise i at analysere alarmer fra firewalls, siger Mickie Friebel.
Det næste resultat er, at der er etableret procedurer for, hvilke typer log-informationer, der skal reageres på, så andre it-medarbejdere har noget at støtte sig til, når den faste mand ikke er der.
- For os har værktøjet betydet, at vi bruger mindre tid på at kigge logs igennem, og at vi har fået begrænset støjen på netværket og optimeret det. Desuden giver det os et bedre grundlag for vores sikkerhedspolitik, siger Mickie Friebel.
Billedtekst:
tidrøver - Tidligere brugte jeg rigtig meget tid på at scanne log-filer og på at lave statistikker og oversigter i regneark. Jeg ville gerne kunne kvalificere materialet bedre, siger Mickie Friebel, system- og sikkerhedsansvarlig i Ingeniørernes A-kasse. Foto: Torben Klint
Boks:
Centraliseret logning
C-Log-løsningen bygger på en hardwareboks, der er udviklet af et amerikansk selskab, som ved et sammentræf hed Protego Networks - uden at have forbindelse til det danske sikkerhedsselskab. I dette forår opkøbte Cisco det amerikanske selskab, men danske Protego har stadig agenturet på C-Log, fordi det er et produkt, der kræver særlig sikkerhedsekspertise, da det skal integreres med alle de systemer hos brugervirksomheden, der sender data til logsystemet.
Boks:
It-afdelingerne vil have styr på sikkerhedsløsningerne
For it-afdelingerne i virksomhederne ligger udfordringerne på sikkerhedsområdet ikke så meget i at etablere sikkerhed - det er der løsninger til. I stedet ligger opgaven i at administrere løsningerne. For eksempel at sørge for, at sikkerhedpatches bliver installeret hos alle brugere. Eller at analysere de mange log-filer fra firewalls og andet sikkerhedsudstyr og finde frem til dem, der skal reageres på.
I dette tema om ser vi på flere løsninger, der skal gøre det lettere at få styr på disse opgaver. Vi ser også på den ofte oversete risiko, som USB-enheder, der bliver båret ind i virksomhederne i lommen på medarbejdere og gæster, udgør. Og endelig gennemgår vi en række nye teknologier som applikationsfirewalls og nye bud på adgangskontrol fra Cisco og Juniper.
