Logbeheer is als een verzekeringscontract

Logbeheer (log management) is een sterk onderschat onderwerp dat bij systeembeheerders de nodige aandacht verdient. Voor sommigen is het echter een tweede natuur. Beveiliginsspecialist Wim Remes zag al in het begin van zijn carrière het belang van logs in: "Ik ben van 1997 bezig in IT en als ik problemen tegenkwam, was het eerste dat ik nakeek de logs, omdat daar vaak een schat aan informatie te vinden is. En de eerste software die ik geschreven heb, was voor het automatisch dagelijks analyseren van de logs en voor het rapporteren van de meest voorkomende gebeurtenissen."

De drijfveer om met logbeheer te beginnen in een bedrijf is volgens Remes vaak compliance. "Als een bedrijf moet bewijzen dat het aan bepaalde beveiligingsvoorwaarden of financiële regelgeving voldoet, is logbeheersoftware een ideaal hulpmiddel, omdat het het opsporen van anomalieën in je logs automatiseert. Helaas wordt logbeheer vaak gereduceerd tot compliance, omdat men het volgens de regelgeving nodig heeft. Logbeheer gebruiken voor beveiliging zonder de impuls van compliance zie ik minder gebeuren omdat er minder mensen effectief de tijd nemen om naar hun logs te kijken, maar ook voor dit doel is het essentieel." Volgens Xavier Mertens, Principal Security Consultant bij C-CURE, zal logbeheer in de komende jaren aan belang blijven winnen, ook in het domein van beveiliging, omdat meer en meer regelgevende organisaties het aan het pushen zijn.

Uitdagingen

De grootste uitdaging is volgens Mertens de introductie zelf van logbeheer: "Ik moet vaak zelfs nog uitleggen wat logbeheer is, wat SIM (security information management), SEM (security event management) en SIEM (Security Information and Event Management) zijn, want het is voor veel organisaties allemaal nog onbekend. En vaak heb ik alle moeite om een organisatie ervan te overtuigen dat een logbeheeroplossing nodig is. Logbeheer voegt vanuit het standpunt van het management immers niets toe aan het bedrijf en wordt enkel als een kostenpost gezien. Ik vergelijk een logbeheeroplossing dan ook vaak met een verzekeringscontract: je hebt het nodig en je betaalt ervoor, maar je gebruikt het niet... tot er een incident gebeurt."

De uitdagingen bij logbeheer zitten dan ook niet zozeer op technisch vlak, benadrukt Remes: "Ik begeleid momenteel klanten in processen rond logbeheer, en ik merk daar dat de meeste mensen de technische oplossingen wel begrijpen, maar de processen vergeten. Zeker in grotere bedrijven met verschillende departementen wordt er vaak te weinig gecommuniceerd. En dan zie je dat werknemers uit verschillende departementen allemaal logbeheeroplossingen geïmplementeerd hebben die eigenlijk hetzelfde doen. Op het moment dat je die oplossingen dan wil laten samenwerken en de gegevens uit verschillende departementen wil correleren, sta je voor een grote uitdaging. Want wie gaat er dan reageren op gebeurtenissen die gerapporteerd worden en wat wordt er allemaal mee gedaan?" Bovendien schermen departementen soms wel eens met het argument dat hun logs persoonlijke informatie bevatten en de virtuele departementsmuren niet mogen verlaten, dus er is soms wat overreding nodig om hen van het nut van een globale logbeheeroplossing te overtuigen.

Eén grote uitdaging op technisch gebied blijft er nog wel: er bestaan geen algemeen aanvaarde standaarden voor het transport en de opslag van logbestanden. "Je hebt wel de IEEE-standaard voor Syslog (RFC 5424), maar iedereen implementeert die op een andere manier, wat het doel van de standaard voorbijschiet", zegt Remes. "En dan zijn er nog een aantal grote producenten van logbeheersoftware die een eigen logformaat gedefinieerd hebben, maar ik geloof niet in één producent die zijn eigen logformaat oplegt." Remes wijst wel op het bestaan van Common Event Expression (CEE), een opkomende standaard voor logbeheer, gedefinieerd door de not-for-profit organisatie The Mitre Corporation. De standaard is echter nog vrij nieuw, dus het wordt nog afwachten welke software ze zal implementeren.

Best practices

Op technisch vlak bestaan er wel een aantal best practices, bijvoorbeeld over welke protocols je gebruikt, op welke manier je je logs verstuurt en ontvangt, enzovoort, maar wat betreft de processen bestaan er volgens Remes niet echt best practices. Hijzelf heeft dit al doende geleerd en gebruikt een formele aanpak. "Er wordt vaak gedacht dat de processen rond logbeheer eenvoudig zijn: we sturen gewoon alle logs van onze servers naar de centrale logbeheeroplossing en laten die analyseren. Maar er zijn veel gegevensbronnen die irrelevant zijn. Daarom kijk ik altijd eerst samen met de klant welke gegevensbronnen er beschikbaar zijn en welke daarvan relevant zijn. Wat niet relevant is, wordt niet gecentraliseerd."

Van de relevante gegevensbronnen omschrijft Remes dan use cases, die formeel omschrijven welke gebeurtenissen er getriggerd moeten worden. Je krijgt dan niet plots een grote hoeveelheid gegevens waar je doorheen moet ploegen, maar je vertrekt vanuit je behoeften. Deze aanpak heeft volgens Remes verschillende voordelen: "Als ik de use cases eenmaal afgesproken heb, kan ik heel eenvoudig zien welke gegevens ik van de data owners en de use case owners nodig heb. Zo zorg je ook dat je enkel de relevante use cases implementeert, waardoor het aantal false positives afneemt."

Mertens breekt dan weer een lans voor het toevoegen van extra waarde aan je logs door deze aan te vullen met andere bronnen, zoals blacklists van IP-adressen of geografische coördinaten. Alternatieve visualisaties kunnen dan tot extra inzichten leiden. Als voorbeeld vermeldt hij een recent project dat hij zelf heeft uitgevoerd: een wereldkaart met de locatie van IP-adressen die in ssh-aanvallen actief zijn.

Logbeheersoftware

Mertens heeft goede ervaringen met meerdere commerciële en opensource logbeheeroplossingen. "Ik ben een ArcSight Certified Security Analyst en werk vooral met ArcSight, dat weliswaar complex en duur is, maar een excellente oplossing. Voor mijn persoonlijke projecten maak ik vooral gebruik van OSSEC, een opensource-tool die echt goed is. Daarnaast is er nog Splunk, dat leuke features heeft en eenvoudig om te deployen is, en OSSIM, een allesomvattende oplossing."

Remes besluit met een tip voor wie logbeheersoftware wil evalueren: "Kies geen product op basis van een datasheet, maar voer effectief tests uit met je eigen logs. Vraag dit ook aan de producenten, de meesten staan hier positief tegenover." Mertens waarschuwt verder nog dat een logbeheeroplossing meer is dan een tool. "Zoals Bruce Schneier altijd zegt: 'Security is not a product; it's a process.' Begin daarom niet bij de tools, maar kijk eerst wat je vereisten zijn. In sommige gevallen zal dan blijken dat eenvoudige gratis tools al voldoende zijn."

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.