Нэвтрэлт бүрийг лог хийж хадгалж байгаа юу?
Нэвтрэлт бүр (authentication болон authorization) гэдэг нь хэрэглэгч системд нэвтрэх оролдлого, амжилттай нэвтэрсэн, алдаатай оролдсон, гарах, эсвэл нууц үг солих зэрэг бүх үйлдлийг хэлнэ. Эдгээр үйлдлийг тодорхой бүртгэл (log) хэлбэрээр хадгалах нь сэжигтэй үйлдэл илрүүлэх, хариу арга хэмжээ авах, мөрдлөг хийх, аудит хийхэд чухал.
Яагаад чухал вэ?
- Сэжигтэй оролдлогыг илрүүлэх боломжтой (жишээ нь: олон удаагийн буруу нууц үг)
- Мэдээлэл алдагдсан үед мөрдөн шалгах баримт болно
- ISO/IEC 27001, NIST 800-53 зэрэг олон улсын стандартууд лог бүртгэлийг заавал хийх ёстой гэж заадаг
- Логгүй систем гэдэг нь харалган систем гэсэн үг — юу болсон, хэн хийснийг мэдэх боломжгүй болдог
Шалгах зүйлс
Системд амжилттай болон амжилтгүй нэвтрэлтийг лог хийж байна уу?
- Нэвтрэх (login success), буруу оролдлого (login failed)
Нэвтрэлт бүрийн дараах мэдээлэл хадгалагдаж байна уу?
- Хэрэглэгчийн ID эсвэл нэр
- IP хаяг
- Цаг хугацаа (timestamp)
- Browser болон төхөөрөмж
Нэвтрэх лог хаана хадгалагдаж байна вэ?
- Тусгай auth_logs хүснэгт үү? эсвэл файл (log/auth.log)?
Log бүртгэлд хандах эрх хязгаарлагдсан уу?
- Зөвхөн админ ханддаг уу?
Лог бүртгэлийг ямар хугацаанд хадгалж байна вэ?
- 3 сар / 6 сар / 1 жил хадгалж байгаа эсэх
Нэвтрэх лог дээр тулгуурлан сэрэмжлүүлэг, автоматаар хаах систем ажиллаж байна уу?
- 5 удаа буруу оруулбал IP-г түгжих гэх мэт
Логийн бүрэн бүтэн байдал шалгагдаж байна уу?
- Лог өөрчлөгдөөгүйг баталгаажуулах checksum эсвэл SIEM систем ашиглаж байгаа эсэх
Жишээ
SIEM (Security Information and Event Management) систем ашиглан лог бүртгэлээ төвлөрүүлж, анализ хийж болно.
Автомат сэрэмжлүүлэг (email, SMS) системийг нэвтрүүлэх
Логийг өөрчлөх, устгах боломжгүй readonly эрхээр хамгаалах