Historie projektu
Wüstenrot - stavební spořitelna a.s. (dále jen Wüstenrot) začala počátkem roku 2009 řešit nutnost nasazení řešení pro management auditních logů, bez kterého je jakákoliv komplexní analýza auditních logů nereálná. Potřeba nasazení takového řešení byla dána především požadavkem ČNB, který předepisuje způsob vyhodnocování bezpečnostních auditních záznamů.
Cíle projektu
Cílem projektu bylo zvýšit efektivitu zpracování auditních logů - odbourat manuální práci při vlastní analýze a naopak automatizovat kroky spojené s analýzou a generováním reportů, jak pro interní potřeby pracovníků Wüstenrot, tak pro účely auditu.
Řešení
Výběr řešení
Při výběru finálního řešení systému pro monitoring auditních logů se vybíralo z několika produktů:
- IBM Tivoli Compliance Insight Manager
- RSA enVision
- OpenSource produkty
- ARCsight
- GFI Monitoring
- ManageEngine
Vzhledem k požadavkům zákazníka se jako nejvhodnější jevil produkt IBM TCIM. K významným konkurenčním výhodám IBM TCIM řešení patří zejména způsob licencování (nevyužívá se princip licencování podle počtu událostí za vteřinu, který může být např. v případě překročení licenčního limitu a následném zahazování událostí nevhodný) a princip komunikace mezi serverem a agentem, který probíhá zabezpečeně. Vzhledem k výhodám IBM TCIM řešení a nasazení jednotlivých produktů společností Trask k již nainstalovaným IBM aplikacím na straně zákazníka (např. Tivoli Storage Manager) si společnost Wüstenrot jako finální řešení vybrala produkt IBM TCIM.
Společnost Trask solutions se stala dodavatelem a partnerem v oblasti implementace řešení TCIM a to díky své odbornosti a mnohaletým zkušenostem v oblasti návrhu a implementace bezpečnostních monitorovacích systémů.
Co je TCIM
Řešení IBM TCIM poskytuje účinné a automatizované off-line monitorování aktivit uživatelů na základě sesbíraných logů z mnoha různých typů zařízení, umožňuje přehledné zobrazení bezpečnostních incidentů v grafickém rozhraní a v neposlední řadě je schopno vytvářet reporty pro regulační orgány na základě mezinárodně definovaných bezpečnostních standardů (např. Basel II, HIPAA, PCI-DSS).
Implementace
Implementace vlastního řešení bylo rozdělena na dvě logické fáze. V první fázi šlo o dodávku hardware, software, licencí a služeb souvisejících s instalací a konfigurací TCIM. V druhé fázi bylo řešení rozšířeno o modul Basel II, který umožňuje vytvářet reporty odpovídající tomuto mezinárodnímu standardu.
V rámci implementace byly do IBM TCIM začleněny události z operačních systémů (Windows, Linux), aplikací/databází (např. Oracle, SQL, Apache, IIS, Exchange, SAP, IBM Tivoli Storage Manager) a dalších bezpečnostních zařízení (např. Checkpoint Firewall).
Implementaci prováděl tým, který měl rozsáhlé zkušenosti s problematikou bezpečnostních logů z předchozích implementací podobných řešení, včetně řešení postavených na technologii IBM TCIM. Díky vhodně vybrané technologii a zkušenostem implementačního týmu proběhla implementace bez jakýchkoliv vážných technických problémů v plánovaném čase a byla úspěšně zakončena finálními testy a akceptací celého řešení.
Začlenění auditních logů z jednotlivých systémů se neobešlo bez komplikací, které bylo nutné v průběhu implementace ad-hoc řešit. Jednou z komplikací byla momentální neexistence nativního agenta pro operační systém Windows 2008. Logy z těchto systémů se tedy nevyzvedávají přímo, ale sběr probíhal přes „prostředníka", kterým je v tomto případě jiný podporovaný operační systém windows. Zabezpečený přenos logů je realizován pomocí nástrojů výrobců třetích stran a vlastní komunikace mezi agentem a TCIM serverem pak již probíhá přes nativního agenta, tedy opět zabezpečeně.
Na druhou komplikaci se narazilo při sběru logů z Checkpoint firewallu, kde operační systém neodpovídal verzím, které byly podporovány výrobcem. V tomto případě se konfigurace sběru dat vyladila přímo s podporou společnosti IBM, která velice rychle reagovala na potřebu zákazníka.Během několika dní doplnila do agenta podporu i pro toto zařízení, resp. pro operační systém běžící pod vlastním Checkpoint firewallem.
Hlavní přínosy
Vyhodnocení
Veškerá analýza logů byla v minulosti prováděna manuálně, takže velmi významným přínosem implementovaného řešení monitoringu auditních logů je automatizace analytických činností při analýze logů. Tato automatizace přináší velkou úsporu času jak při samotné analýze, tak při následném generování reportů a to především u opakujících se činností.
Snad jediným negativem na implementovaném řešení, které ale souvisí pouze s funkčností vlastní TCIM aplikace, je podle slov zákazníka, složitější úprava stávajících respektive vytváření nových reportů. Jedná se ale o logickou daň za obsáhlost, kterou IBM TCIM řešení poskytuje. Toto negativum je na druhé straně vyváženo podporou, kterou Trask poskytuje společnosti Wüstenrot nejen při tvorbě a úpravě reportů.
Jako velice pozitivní je ze strany Wüstenrot hodnocena spolupráce se společností Trask solutions. V průběhu celého projektu nebyly zaznamenány žádné významnější komplikace při návrhu a implementaci navrženého řešení. Trask po celou dobu působil jako velice solidní partner a veškeré problémy technického charakteru, které nastaly, dokázal včas a účelně vyřešit. Znalost problematiky bezpečnosti, kterou získal na jiných projektech, pak dokázal dobře uplatnit a pro zákazníka se stal expertem, který dokázal splnit veškeré jeho požadavky.
Dokladem ideální spolupráce mezi Traskem a společností Wüstenrot je především další spolupráce v této oblasti -pokračující podpora monitoringu auditních logů pomocí aplikace TCIM.