Logs de auditoria

A maioria dos projetos modernos de desenvolvimento de software envolve vários desenvolvedores, engenheiros de operações, testadores de controle de qualidade e gerentes, e todos eles precisam de acesso à infraestrutura do projeto. No entanto, a habilitação de acesso para modificação de infraestrutura aumenta o risco de ataques de segurança e disputas legais. Por isso, as organizações contam com logs de auditoria para lidar com possíveis problemas de segurança, registrando ações precisas e mudanças na infraestrutura.

Neste artigo, conheceremos a definição de logs de auditoria e veremos seus casos de uso na infraestrutura. Vamos focar especificamente a atividade na nuvem e de banco de dados. Também abordaremos conformidade legal e os desafios comuns relacionados a volumes de dados, períodos de retenção de logs e correlações entre diferentes sistemas que requerem uma cuidadosa avaliação.

O que são logs de auditoria?

Logs de auditoria são uma coleção de registros de atividades internas relacionadas a um sistema de informação. Para serem úteis, esses registros devem conter as seguintes informações:

• Qual componente foi afetado pela ação?
• Quem executou essa ação?
• Quando essa ação foi executada?
• Que tipo de ação foi executada?

Logs de auditoria são diferentes de logs de aplicação e logs de sistema. Os logs de aplicação registram atividades realizadas por usuários externos, e os logs de sistema registram atividades realizadas por softwares, como sistemas operacionais. No entanto, os logs de auditoria referem-se exclusivamente a atividades executadas por usuários internos e serviços na infraestrutura do sistema.

A imutabilidade é um aspecto importante dos logs de auditoria. Ninguém deve ter permissão para modificar os registros do log de auditoria, pois isso diminuiria a integridade dos logs, tornando-os inúteis.

Casos de uso

Além de serem práticos e úteis, os logs de auditoria têm uma importante finalidade na segurança e na conformidade regulatória, especialmente quando se trata de infraestrutura na nuvem e bancos de dados.

Controle de alterações na infraestrutura na nuvem

Projetos nativos em nuvem geralmente abrangem vários serviços na nuvem. A atratividade da nuvem pública está na elasticidade de sua infraestrutura, o que significa que a escala e as configurações desses serviços na nuvem são muito dinâmicas. Por isso, organizações que usam provedores na nuvem para implementar e gerenciar seus softwares precisam ser capazes de rastrear cada mudança feita em sua infraestrutura, independentemente do quão insignificante a mudança possa parecer. Além disso, atividades maliciosas na infraestrutura da nuvem devem ser detectáveis para que a organização conheça o ator exato, o horário e a natureza das ações maliciosas.

Muitos provedores na nuvem fornecem serviços integrados de registro de auditoria em log. Por exemplo:

• CloudTrail for AWS
• Cloud Audit Logs for GCP
• Azure Monitor for Microsoft Azure

Rastreamento de atividades de administração de banco de dados e do sistema

A infraestrutura de backend depende de bancos de dados. Embora os desenvolvedores possam considerar os bancos de dados implementados na nuvem como parte da infraestrutura da nuvem, os logs de auditoria de banco de dados se concentram mais profundamente nas ações executadas no sistema de banco de dados. Por exemplo, os logs de auditoria de banco de dados informam quando os clientes se conectam, se desconectam e os motivos dessas ações. Essas informações são importantes para identificar uso indevido e distorção de dados.

Os logs de auditoria são essenciais para controlar quem faz alterações em um esquema de banco de dados, além de modificações em componentes do esquema que afetam o formato e a estrutura de dados, e atualizações de registro. Alguns bancos de dados não têm esquema, por isso, os logs de auditoria podem ser menos significativos nesses casos. No entanto, para bancos de dados relacionais, os logs de auditoria são cruciais.

Os sistemas de bancos de dados mais usados fornecem plug-ins e extensões para registro de auditoria em log. Por exemplo:

• PgAudit para PostgreSQL
• Audit Logging para MySQL
• Auditing para MongoDB

Conformidade e defesa legal

Determinados setores regulamentam rigorosamente os níveis de registro de auditoria em log. Por exemplo, uma empresa na área de tecnologia financeira ou tecnologia médica deve se preparar para implementar o registro de auditorias em log em um nível abrangente, o que muitas vezes exige a análise regular de logs para garantir a ausência de atividade maliciosa em um determinado período. Além das regulamentações do setor, certificações específicas impõem determinações de alto nível para o registro de auditorias em log. Por exemplo:

• Certificação de conformidade com a lei HIPAA para organizações da área de saúde.
• Certificação ISO 27001 para organizações do setor de TI.

Algumas empresas devem apresentar certificações de conformidade de segurança da informação a parceiros e clientes. Como resultado, os logs de auditoria comprovam o cumprimento de regulamentações e os requisitos da certificação.

Os logs de auditoria também são úteis na resolução de disputas judiciais. Disputas judiciais ocorrem com mais frequência do que se espera, especialmente em setores sensíveis como o setor financeiro e o setor médico. Por isso, os logs de auditoria servem como evidências cruciais para as empresas.

Os desafios do registro de auditoria em log

Embora os logs de auditoria tenham um papel crítico na segurança e na conformidade, implementá-los pode ser difícil. Vamos abordar alguns possíveis problemas relacionados ao armazenamento de logs de auditoria.

Volume de dados

Geralmente, os projetos de software são sistemas sofisticados que consistem em componentes dinâmicos. O volume de dados nos logs de auditoria pode ser enorme, e o armazenamento desses dados pode ser muito caro. Por esse motivo, as organizações devem avaliar cuidadosamente quais logs mais importantes devem ser armazenados, de acordo com os requisitos de segurança, a postura de segurança e a funcionalidade geral do sistema.

Período de retenção de logs

Embora algumas regulamentações e certificações exijam especificamente o registro de auditoria em log, as empresas devem reter esses logs por períodos prolongados para atender às demandas de conformidade. Por exemplo, um requisito da certificação de conformidade com a HIPAA é que a empresa retenha seus logs de auditoria por seis anos. Para obter a certificação ISO 27001, as empresas devem armazenar seus logs de auditoria por pelo menos três anos.

A retenção de logs por longos períodos traz custos financeiros e também exige recursos de manutenção e gerenciamento.

A correlação de logs de evento entre diferentes sistemas

Pode ser extenuante correlacionar, comparar e analisar logs de auditoria entre provedores de nuvem e bancos de dados para diferentes protocolos e formatos de logs. O trabalho com grandes volumes de logs exige a homogeneização de diferenças, o que requer tempo e esforço significativos. Além disso, discrepâncias são comuns no nível dos detalhes e podem causar complicações de conformidade.

Descubra a plataforma nativa de IA líder global para SIEM e gerenciamento de log de última geração

Eleve sua cibersegurança com o CrowdStrike Falcon^®, a principal plataforma nativa de IA para SIEM e gerenciamento de log. Experimente registro de log de segurança em uma escala de petabytes, optando por nativo em nuvem ou implementação auto-hospedada. Registre seus dados com uma arquitetura avançada e livre de índices, sem gargalos e que permite investigação de ameaças com mais de 1 PB de ingestão de dados por dia. Assegure capacidades de pesquisa em tempo real para superar os adversários, atingindo latência de menos de um segundo para consultas complexas. Aproveite uma visibilidade completa, consolidando os dados para quebrar silos e possibilitar que as equipes de segurança, TI e DevOps investiguem ameaças, monitorem o desempenho e garantam a conformidade perfeitamente em 3 bilhões de eventos e em menos de um segundo.