O planejamento e as políticas são essenciais para ter um bom nível de segurança; porém, também é importante estar preparado para as situações inesperadas que inevitavelmente surgem da mistura de seres humanos e computadores. Ter um registro das atividades do usuário o ajudará a enfrentar essas circunstâncias imprevistas.
Na série de publicações anteriores sobre o gerenciamento de contas, explicamos que primeiro é necessário verificar a identidade das pessoas através da autenticação e depois é preciso usar a autorização e o controle de acesso para cumprir com as políticas de acesso. Nesta publicação falaremos sobre o registro de auditorias e como ele pode nos ajudar a rastrear e identificar brechas de segurança, problemas de rendimento e falhas nos aplicativos.
O que é o registro de auditorias?
Se já faz tempo que você é administrador, você deve saber que os usuários podem ser extraordinariamente criativos na hora de fazer coisas que você nunca teria imaginado. Caso não esteja a par do que acontece na net, é possível que tenha que passar muitas noites sem dormir tentando resolver problemas. Mas algo é inevitável: o registro de auditorias lhe fornecerá esse ponto de vista sobre o que está acontecendo. Dessa forma, você poderá refazer os passos do usuário caso alguma coisa estranha aconteça.
Nele são registrados tanto ações completas como a tentativa de fazer uma ação, embora esta não tenha sido completada. Esses registros devem incluir o momento, o lugar e o usuário que faz a ação (o usuário é fornecido pela autenticação).
Registrar as ações dos usuários ajuda a melhorar a segurança de diversas maneiras. Por exemplo, ajuda a reconstruir eventos, detectar intrusões e analisar problemas, como um rendimento baixo ou um comportamento inesperado do sistema. Também ajuda a promover as boas práticas e um senso de responsabilidade entre os usuários, ao saber que alguém pode revisar suas ações.
Como trabalhar com esses registros?
Esses registros podem ser feitos no nível do sistema operacional ou no nível dos aplicativos ou serviços. Se você tiver registros em diferentes níveis, eles fornecerão uma granularidade que pode ser especialmente útil, caso tenha problemas em determinadas áreas, como o uso indevido do correio eletrônico ou do navegador da Internet.
Naturalmente, para que todo esse trabalho de criação de registros seja útil, é necessário que alguém os revise de forma periódica. Caso contrário, só serão acumulados indefinidamente sem que ninguém os analise e acabarão se tornando outra forma de apenas desperdiçar espaço no disco. Portanto, é conveniente configurar alarmes que sejam ativados durante ações determinadas ou quando certas condições forem cumpridas, para lembrar que você deve observar os registros. De qualquer modo, não é necessário fazer isso em forma manual, pode utilizar scripts de análises ou aplicativos de software especialmente projetados para simplificar essa tarefa.
O Instituto Nacional de Padrões e Tecnologia (NIST) publicou um ótimo paper que explica com detalhes como é utilizado o registro de auditorias e porque é conveniente implantá-lo. Inclui um resumo muito exato dos cenários em que poderia ser muito útil:
A análise de acompanhamento de auditorias com frequência pode diferenciar entre os erros causados pelo operador (quer dizer, quando o sistema realizou tal tarefa e como foi indicado) e os erros gerados pelo sistema (por exemplo, um problema derivado de um fragmento de código de substituição mal testado). Por exemplo, caso um sistema falhe ou a integridade de um arquivo seja posta em dúvida (seja de um programa ou de dados), será possível reconstruir os passos realizados pelo sistema, pelos usuários e pelo aplicativo através de uma análise do histórico dos registros de auditoria.
Conhecer as condições do ambiente no momento de uma falha do sistema, por exemplo, serve para evitar que o problema se repita no futuro. Além disso, se houver um problema técnico (por exemplo, se houver um arquivo de dados danificado), os registros da auditoria podem ajudar no processo de recuperação (por exemplo, usando o registro de mudanças feitas para reconstruir o arquivo).
Existe uma grande variedade de artigos e documentos disponíveis sobre como analisar registros com scritps e como utilizar aplicativos especiais. Esta lista de ferramentas, apesar de estar relacionada especificamente com a análise dos registros de segurança do Windows, também constitui uma ótima introdução à análise de arquivos de registro.
Quando implantado cuidadosamente, o registro de auditorias é uma forma muito efetiva de assegurar que suas políticas de acesso são documentos "vivos" de atualização constante, que refletem a maneira em como os usuários interagem no próprio ambiente. Através da combinação das quatro "A" do gerenciamento de contas, você poderá visualizar e entender o que está acontecendo em seu ambiente e mantê-lo protegido.
Autor: Lysa Myers, da ESET
