Соответствие стандарту PCI DSS: журналы регистрации событий

Опубликовано в журнале ПЛАС № 9 (185) 2012
Автор: Павел Федоров,
руководитель департамента аудита банков и платежных систем Digital Security

Обычно, когда речь идет о журналах регистрации событий – «логах» – имеются в виду технические логи, нужные администраторам для того, чтобы разобраться, что, где и почему сломалось и как это починить. Однако требования PCI DSS подразумевают журналы иного типа, позволяющие отследить (и, следовательно, предотвратить либо расследовать) инциденты безопасности. В чем же разница, и какие особенные требования предъявляет к журналам стандарт?

Во-первых, журналы регистрации событий должны содержать полную информацию о том, кто и когда работал с инфраструктурой и получал доступ к карточным данным. Во-вторых, они должны быть достаточно понятны, прозрачны и доступны для ручного или автоматического изучения – иначе даже наличие логов за несколько месяцев не означает, что ими можно воспользоваться для анализа произошедшего с инфраструктурой.

Все сотрудники, имеющие отношение к инфраструктуре, обрабатывающей карточные данные, делятся на три группы: пользователи, администраторы систем и офицеры безопасности. Последние нужны именно для того, чтобы контролировать действия первых двух групп, при этом необязательно, чтобы у них был непосредственный доступ к самой инфраструктуре. Однако доступом к журналам офицеры безопасности должны обладать непременно, в отличие от администраторов, имеющих доступ к карточным данным. Такое распределение полномочий необходимо для того, чтобы исключить возможность незаметного изменения журналов администратором-злоумышленником.В крупных организациях эта задача решается достаточно легко: в том случае, если администраторами процессинга являются не все системные администраторы организации, сервер, хранящий журналы, легко вывести из-под контроля процессинга. В небольших же фирмах рекомендуется ограничивать доступ системного администратора к серверу, содержащему все журналы, и тщательно отслеживать все производимые изменения. [A1]

Журналы должны собираться со всего оборудования, входящего в область применения стандарта: с операционных систем серверов, с управляемого сетевого оборудования, со всех мест хранения данных, а также со всего программного обеспечения, обеспечивающего доступ к карточным данным. [A2] Один из часто возникающих вопросов – что делать, если СУБД генерирует слишком много логов. Важно помнить, что требование о логировании доступа к карточным данным означает, что логировать нужно только доступ к конкретным столбцам конкретных таблиц – к тем, в которых хранятся номера карт, и вовсе не обязательно хранить журналы доступа ко всей базе. Опять же, грамотно настроенный журнал не будет содержать номеров карт, таким образом, его не надо будет дополнительно обрабатывать, чтобы убрать из него данные о платежных картах. [A3] Отдельно необходимо обратить внимание на то, что при наличии виртуализованных компонентов журналы необходимо собирать в том числе и с гипервизоров, чтобы исключить возможность подлога на уровне управления виртуализацией (равно как и не стоит забывать о том, что гипервизоры в любом случае входят в область оценки стандарта – к ним применяются все требования). [A4] Также журналы должны вестись дополнительными системами безопасности: антивирусом, системой обнаружения вторжений, системой контроля целостности. Кстати, последняя должна отслеживать не только конфигурационные файлы, но и сами журналы (в том числе свои собственные). [A5] Не случайно именно в десятый пункт стандарта, описывающий необходимость хранения журналов, попало и требование о синхронизации времени на всех устройствах – ведь именно отметки о времени позволяют быстро и однозначно идентифицировать доступ к тем или иным элементам инфраструктуры.[A6] Также рекомендуется синхронизировать с инфраструктурой систему контроля доступа, использующую персонализированные пропуски или системы видеонаблюдения. Это позволит эффективнее отслеживать получение консольного доступа или отключение систем для обслуживания аппаратной части. [A7]

Отдельный вопрос – анализ журналов. Эффективнее всего использовать настроенный лог-обработчик, однако его настройка в части отслеживания и реакции на события должна быть достаточно точной для того, чтобы, с одной стороны, фиксировать все возможные инциденты безопасности, а с другой, не иметь слишком большого количества ложных срабатываний, которые как ничто другое расслабляют сотрудников, ответственных за мониторинг. [A8] Разумеется, при вводе новых систем в инфраструктуру необходимо настроить анализ событий на них до ввода их в производственную эксплуатацию [A9] – в противном случае злоумышленник сможет воспользоваться новым недонастроенным оборудованием. Частое заблуждение заключается в том, что анализировать надо только некоторые типы событий, или даже в том, что журналы с некритичного оборудования анализировать вовсе не надо: хватит и анализа критичных систем. На самом деле анализу надо подвергать журналы со всех систем, и если необходимо отслеживать, например, изменения системного времени, то под это должно подпадать не только системное событие изменения, но и доступ на изменение конфигурационного файла, и сама команда, данная администратором. [A10] Также, автоматизированная система анализа и оповещения упрощает такие задачи, как мониторинг инфраструктуры в круглосуточном режиме, а также во время долгих выходных. Гораздо проще следить за безопасностью, зная, что в случае даже неуспешной попытки подбора пароля придет SMS-сообщение или хотя бы письмо по электронной почте. [A11] Должен предупредить, что во время аудита безопасности, даже при достаточно небольшой инфраструктуре, попытка убедить QSA-аудитора в том, что анализ журналов проводится «вручную», может оказаться неуспешной: очевидно, что просматривать ежедневно несколько мегабайт логов – задача не только непростая, но и утомительная. С другой стороны, полностью полагаться на автоматику также не стоит – периодически следует изучать журналы и «вручную», а также проверять срабатывание, создавая заведомо критические ситуации, чтобы убедиться, что все события успешно отлавливаются.[A12]

Что касается сроков хранения всех журналов – несмотря на требование оперативного доступа всего лишь к трем последним месяцам, при современных объемах жестких дисков журналы почти всегда хранятся сразу за весь год на одном сервере. Это не противоречит требованиям стандарта, однако рекомендуется делать оперативные резервные копии – на случай, если злоумышленник сможет получить доступ не только к самой инфраструктуре, но и к серверу журналов.

Напоследок хочется напомнить о том, что ни в коем случае не допустимо хранить в журналах на производственных системах карточные данные. [A13] А если в этом возникнет производственная необходимость – например, для срочной отладки – необходимо обеспечить безопасность места хранения этих журналов, например, направив их в криптоконтейнер или на RAM-диск.


[A1]Регулярная проблема на практике: у администратора есть возможность фальсифицировать данные

[A2]Проблема на практике: журналы собираются только с операционных систем

[A3]Регулярная проблема на практике: администраторы отключают аудит СУБД из-за огромного объема данных. Иногда журналы содержат номера карт.

[A4]Регулярная проблема на практике: Гипервизоры исключаются из области применения

[A5]Проблема на практике: система контроля целостности не проверяет журналы

[A6]Проблема на практике: многие администраторы не понимают целей настройки NTP на дополнительных устройствах и те остаются жить в своём собственном времени

[A7]Регулярная проблема на практике: датчики СКУД не синхронизированы с инфраструктурой, возникает сдвиг по времени

[A8]Проблема на практике: очень часто фиксируется слишком много «нарушений», по факту такими не являющихся

[A9]Проблема на практике «мы только настроили это оборудование, журналы с него будем собирать через пару недель, если оно нас устроит»

[A10]Регулярная проблема на практике.

[A11]Регулярная проблема на практике: отсутствует или надостаточно настроена система активного оповещения

[A12]Регулярная проблема на практике: система вроде как настроена, но отлавливает далеко не все события.

[A13]Проблема на практике: в журналах хранятся номера карт, потому что их оттуда не вычищают, или так сложилось исторически.

← Вернуться к списку
Оставить заявку