Spring naar inhoud

Audit trail en audit trail review

30 november 2018

Een audit trail kan waardevolle informatie verstrekken over activiteiten die hebben plaatsgevonden in een computersysteem. Audit trails houden een register bij van de gebruikersactiviteiten of geautomatiseerde systeem- en applicatieprocessen. Samen met de juiste tools en procedures kunnen audit trails helpen bij het detecteren van inbreuken op de gegevensintegriteit, ongeoorloofde wijzigingen, veiligheidsschendingen, prestatieproblemen en fouten in toepassingen. Een computersysteem kan verschillende audit trails hebben, elk gewijd aan een bepaald type activiteit.

Een audit trail is een technisch mechanisme dat helpt om individuele verantwoordelijkheid te bewerkstelligen. Audit trails kunnen in combinatie met toegangscontroles worden gebruikt voor het identificeren van ongepaste wijziging van gegevens (al dan niet bewust om fouten in een database te verbergen). Door gebruikers erop te wijzen dat ze persoonlijk verantwoordelijk zijn voor alle acties en dat deze worden geregistreerd door een audit trail of een systeemlog, zullen gebruikers minder snel proberen het beveiligingsbeleid te omzeilen. De audit trail kan implicaties hebben voor de privacy van gebruikers. Beheerders moeten op de hoogte zijn van toepasselijke privacywetten, voorschriften en beleidsregels.

Beheersing van gebruikerstoegang betekent meestal dat gebruikers alleen maar toegang hebben tot gegevens noodzakelijk voor het uitvoeren van de activiteiten waartoe ze zijn bevoegd. Geautoriseerde toegang kan natuurlijk worden misbruikt. Monitoring van de wijziging van gebruikerstoegang als ook andere systeemconfiguratiebestanden die het beleid ten aanzien van gegevensintegriteit afdwingen, is belangrijk. Daartoe moet er wel een audit trail worden aangelegd van deze wijzigingen. Hoewel gebruikers niet kunnen worden belet bronnen te gebruiken waartoe ze legitieme toegangsautorisatie hebben, verschaft de audit-trail-analyse de mogelijkheid om hun acties te onderzoeken.

Een audit trail moet voldoende informatie bevatten om vast te stellen welke gebeurtenissen hebben plaatsgevonden en wie (of wat) ze heeft veroorzaakt. Audit trails specificeren wanneer de gebeurtenis plaatsvond, de gebruikers-ID geassocieerd met de gebeurtenis, het programma of de opdracht die werd gebruikt om de gebeurtenis te initiëren, en het resultaat. Voor bepaalde gebruikersinterventies moet de gebruiker ook de reden van interventie opgeven.

Systeemcontrolerecords worden over het algemeen gebruikt om het systeem te controleren en systeemprestaties bij te sturen. Applicatie audit trails kunnen worden gebruikt om tekortkomingen in toepassingen of schendingen van beveiligingsbeleid te ontdekken. Audit trails kunnen ook worden gebruikt om gebeurtenissen na een probleem te reconstrueren. Audit trails van systeemactiviteit kunnen worden beoordeeld om vast te stellen hoe, wanneer en waarom normale bewerkingen zijn gestopt. Audit trail-analyse kan vaak onderscheid maken tussen door de gebruiker veroorzaakte fouten en door het systeem gecreëerde fouten. Kennis van de omstandigheden die hebben bijgedragen aan het probleem kan nuttig zijn om toekomstige problemen te vermijden. Bovendien kunnen audit trails door de reconstructie van de aangebrachte wijzigingen helpen bij het herstelproces.

Flexibiliteit is een essentieel kenmerk van audit trails. De beslissing van welke activiteiten worden gelogd en hoe vaak de audit trail moet worden gereviewed moet gerelateerd zijn aan het belang van de data voor de organisatie en de gevoeligheid van de gegevens voor ongewenste beïnvloeding. Deze risico’s moeten worden geanalyseerd door de gebruikers, de applicatie-eigenaar en/of de systeembeheerder.

Deze flexibiliteit bestaat ook in de mate waarin de audit trail gegevens worden beoordeeld. Audit trails kunnen bij het vrijgeven van bepaalde gegevens (batch records, onderzoeksrapporten) of periodiek worden beoordeeld. Bij de beoordeling van rapporten en batchgegevens wordt met name naar de registratie van gebruikersactiviteiten gekeken, terwijl bij een periodieke beoordeling meer naar de systeemactiviteiten wordt gekeken. Wordt de periodieke beoordeling veelal uitgevoerd door de systeem- of applicatiebeheerder, de routinematige beoordeling van de audit trail moet een vast onderdeel zijn van de vrijgaveprocedure van kritische gegevens. Welke gegevens als kritisch worden beschouwd is erg afhankelijk van de activiteiten van de organisatie en moet dus door betrokkenen middels een risicoanalyse worden vastgesteld.

Naast deze batch-gewijze of periodieke audit trail review, is het technisch mogelijk om een realtime audit trail review te programmeren. Deze wordt bijvoorbeeld toegepast voor inbraak- en hackdetectie.

Beoordelaars moeten weten waarnaar ze op zoek zijn om effectief ongebruikelijke activiteiten te spotten. Ze moeten begrijpen hoe normale activiteit eruitziet. Vooral bij grotere systemen kan de audit trail informatie zo omvangrijk zijn dat handmatig analyseren onmogelijk wordt. Audit trail review kan eenvoudiger zijn als de audit trail registratie selectief kan worden opgevraagd, bijvoorbeeld per gebruikers-ID, terminal-ID, applicatie naam, datum en tijd, of een andere set parameters of geselecteerde informatiekenmerken. Het gebruik van geautomatiseerde hulpmiddelen maakt waarschijnlijk het verschil tussen ongebruikte audit trail-gegevens en een robuust reviewprogramma. Het gebruik van dergelijke tools moet zijn gebaseerd op een risicobeoordeling. Er zijn veel soorten hulpmiddelen ontwikkeld voor selectieve audit trail analyse:

  • Auditreductietools: preprocessors audit trail beperkt tot alleen de relevante informatie en informatie met weinig data integriteitimpact achterwege laten.
  • Trends / variantie-detectietools zoeken naar afwijkingen in gebruiker- of systeemgedrag.
  • Aanval-signaaldetectietools zoeken naar een aanvalshandtekening, wat een specifieke reeks van gebeurtenissen is die indicatief is voor een ongeoorloofde toegangspoging. Een eenvoudig voorbeeld zijn herhaalde mislukte inlogpogingen.

Tenslotte moet de audit trail functie zodanig zijn ontworpen dat de audit trail beschikbaar is voor analyse op het moment dat dit gewenst is, de gegevens worden gepresenteerd aan de reviewer op leesbare en gebruiksvriendelijke wijze en dat de audit trail kan worden geanalyseerd met behulp van de gewenste tools. Deze kwaliteiten van de audit trail functie moeten worden meegenomen in de systeemvalidatie van het computersysteem. De audit trail moet, meer nog dan de primaire gegevens, worden beschermd tegen ongeoorloofde wijzigingen. De audit trail functie mag niet door gebruikers worden gedeactiveerd. Ook een belangrijke afweging is wanneer een audit trail registratie plaatsvindt. Voor kritische gegevens kan het noodzakelijk zijn om een audit trail te genereren op het moment dat een invoerveld wordt verlaten en niet op het moment dat het record wordt opgeslagen door de gebruiker. Wijzigingen in een geopend record kunnen ongeoorloofd zijn ook al is het record nog niet bevestigd door middel van het opslaan van het record.

Tijdens de DARQA bijeenkomst van vrijdag 7 december aanstaande zal ik meer presenteren over het gebruik van audit trails en audit trail review in de GxP omgeving.

Advertenties
No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

%d bloggers liken dit: