Jak mogą nam pomóc logi w środowiskach chmurowych

W trwającej walce z cyberatakami logi są ciągle nie dość doceniane. Dostarczają one kluczowe dane potrzebne do wykrywania, badania i łagodzenia ryzyka w czasie rzeczywistym.

Jakie logi chmurowe możemy wyróżnić?

Dzienniki zdarzeń w chmurze domyślnie rejestrują praktycznie każdy ruch, który ma miejsce w środowisku – od działań użytkowników po zdarzenia na poziomie systemu. Są one zapisywane w odrębnych warstwach, dostosowanych do określonych typów usług. Istnieją cztery główne kategorie, na które możemy podzielić dzienniki:

• Dzienniki zarządzania lub kontroli: mają najszerszy zakres i śledzą wiele działań administracyjnych w chmurze, takich jak tworzenie i modyfikowanie zasobów i kont. Przykładem jest tutaj Entra ID Audit Log lub AWS CloudTrail.
• Dzienniki danych: śledzą pobieranie danych, modyfikacje, eksportowanie itp.
• Dzienniki ruchu sieciowego: rejestrują łączność i routing między wystąpieniami w chmurze a źródłami zewnętrznymi. Są to na przykład dzienniki AWS VPC czy dzienniki Azure NSG flow.
• Dzienniki specyficzne dla usługi: monitorują dostęp do określonych usług w chmurze – na przykład dzienniki dostępu AWS S3 lub service logs w Azure.

Dlaczego dzienniki zdarzeń w chmurze są teraz tak istotne?

Wraz z przenoszeniem do chmury kolejnych krytycznych zasobów firmy stają przed nowymi wyzwaniami w zakresie bezpieczeństwa. Atakujący korzystają często ze starych, sprawdzonych technik, takich samych jak w środowiskach on-prem, np. kradzieży poświadczeń i pass-the-credential, eskalacji uprawnień czy ruchu bocznego.

W przeciwieństwie do tradycyjnych środowisk lokalnych zasoby infrastruktury w chmurze są dynamiczne i nietrwałe. Ponadto rozproszone są po różnych usługach i regionach. Atakujący mogą to wykorzystywać, by lepiej się maskować. Logi w chmurze rejestrują kompleksową historię aktywności i zdarzeń w całym ekosystemie, w tym aktywności i działania każdego użytkownika lub podmiotu. Nie muszą być dodatkowo konfigurowane czy uruchamiane. Nie są też dodatkowo płatne.

W połączeniu z danymi w czasie rzeczywistym logi chmurowe pomagają zespołom identyfikować miejsca, w których mogłyby wystąpić naruszenia, a także szacować, które zasoby są najbardziej narażone. Oczywiście wskazują też najlepszy sposób rozwiązania problemu. W przypadku ataku dzienniki w chmurze służą jako cyfrowy dowód potrzebny do zrozumienia, w jaki sposób atak się rozwinął, które systemy zostały naruszone i jakie działania podjął atakujący. Przeglądając zdarzenia z logów, zespoły SOC mogą określić punkt początkowego dostępu, śledzić ruchy boczne w środowiskach i domenach oraz oceniać zakres szkód. Informacje te są kluczowe dla informowania zarówno o natychmiastowych działaniach naprawczych, jak i długoterminowych poprawach postawy bezpieczeństwa organizacji.

Przepisy dotyczące dzienników w chmurze

Jako że logi audytowe są tak ważne dla bezpieczeństwa, istnieje wiele wymogów regulacyjnych, które organizacje muszą spełniać. Dotyczą one między innymi sposobu ich przechowywania oraz czasu, przez jaki należy to robić. Niektóre przepisy, takie jak HIPAA i SOX, są specyficzne dla branży. Inne, takie jak GDPR w Europie, są regionalne. Ponadto istnieje wiele struktur, takich jak NIST i CIS, które podają najlepsze praktyki dotyczące przechowywania dzienników zdarzeń.

Jak efektywnie monitorować logi chmurowe?

Nowoczesne środowiska chmurowe generują ogromne ilości danych z dzienników, co sprawia, że ich ​​analiza jest niepraktyczna, trudno znaleźć potrzebne informacje czy ustalić priorytety zdarzeń i wyznaczyć działania naprawcze. Poniżej kilka sposobów na maksymalizację skuteczności dzienników chmurowych:

• Automatyzacja alertów – aby wiedzieć od razu o wykrytym przez dzienniki potencjalnym naruszeniu bądź nieautoryzowanej eskalacji uprawnień.
• Wykorzystanie technologii AI – aby zwiększyć wydajność analizy logów. Organizacje przetwarzają codziennie ogromną ilość danych, a wzorce aktywności mogą się znacznie różnić w zależności od środowiska.
• Automatyczne reakcje, takie jak blokowanie złośliwych adresów IP, które będą wynikały bezpośrednio z analizy logów, umożliwiając szybsze powstrzymywanie ataków.