Ein Zugriffsprotokoll ist eine Protokolldatei, die verfolgt, wann auf ein oder mehrere Dinge zugegriffen wurde. Zugriffsprotokolle sind ein wesentlicher Bestandteil der Sicherheit und Analyse in der Datenverarbeitung. Zugriffsprotokolle sind auch ein wichtiges Sicherheitsinstrument in der physischen Welt.
Ein Zugriffsprotokoll verfolgt das Datum und die Uhrzeit, zu der auf etwas zugegriffen wird oder versucht wurde, darauf zuzugreifen. Generell von wem, sowie das ist bekannt. Zugriffsprotokolle enthalten häufig auch sekundäre Informationen. Diese sekundären Informationen können Kontext oder weitere analytisch nützliche Daten liefern.
Zugriffsprotokolle und digitale Sicherheit
Zugriffsprotokolle können verfolgen, wenn jemand versucht, auf ein privilegiertes System zuzugreifen. Oder Datei und kann ziemlich einfach sein. Es kann Datenpunkte verfolgen wie „War der Zugriff erfolgreich?“, „Wer hat versucht, auf die Datei zuzugreifen?“, „Wann wurde versucht?“. In einigen Fällen kann das Zugriffsprotokoll sogar alle vorgenommenen Änderungen nachverfolgen. Dies würde normalerweise separat protokolliert werden.
Zugriff verweigert ist ein Zustand, der protokolliert werden sollte. Dies bietet einen direkten Einblick, wenn jemand versucht, sich Zugang zu etwas zu verschaffen, was er nicht sollte. Natürlich gibt es dafür möglicherweise legitime Gründe. Vielleicht hat sich der Benutzer in seinem Passwort vertippt. Oder vielleicht hat der Benutzer nicht den Zugriff erhalten, den er hätte erhalten sollen.
Die Alternative besteht darin, dass ein nicht autorisierter Benutzer versucht, sich Zugang zu verschaffen. Im Fall eines Webservers könnte dies ein nicht authentifizierter Hacker sein, der versucht, Zugriff auf eine sensible Datei zu erlangen. Es könnte sich auch um ein legitimes Benutzerkonto handeln, das versucht, auf eine Datei zuzugreifen, für die es keine Berechtigung hat. Angenommen, der legitime Benutzer sollte keinen Zugriff haben, könnte das Konto kompromittiert oder der Benutzer abtrünnig geworden sein.
Auch die Nachverfolgung des erfolgreichen Zugriffs ist hilfreich. Der Zugriff selbst ist möglicherweise kein Problem, aber Aktionen danach könnten ein Problem sein. Beispielsweise kann die Nachverfolgung, welche Konten auf ein Website-Backend zugreifen, eine forensische Nachverfolgung ermöglichen, wenn die Website unkenntlich gemacht wird. Das einfache Protokollieren des Benutzernamens reicht für diesen Anwendungsfall möglicherweise nicht aus. In Kombination mit der IP-Adresse wäre es möglich zu sehen, ob der legitime Benutzer die Seite unkenntlich gemacht hat oder ob ein Hacker sein Konto verwendet hat. Dies könnte festgestellt werden, weil die Quell-IP-Adressen mit historisch protokollierten Daten übereinstimmen würden oder nicht.
Greifen Sie auf Protokolle und Analysen zu
Zugriffsprotokolle für öffentliche Daten können die Analyse allgemeiner Trends ermöglichen. Wenn Sie beispielsweise den Zugriff auf jede Seite einer Website protokollieren, können Sie sehen, welche Seiten am beliebtesten und welche am wenigsten beliebt sind. Zusätzliche Informationen wie die IP-Adresse des Besuchers können es Ihnen ermöglichen, das Bewegungsverhalten der Besucher Ihrer Website zu analysieren. Sie können sehen, von welcher Seite sie hereingebracht wurden und welche Inhalte sie in der Nähe gehalten haben.
Das Protokollieren anderer Informationen, wie z. B. des Referrer-Headers, kann Sie darüber informieren, von welchen Websites Ihre Besucher kommen und möglicherweise, wie erfolgreich bestimmte Werbekampagnen sind. Wenn Sie ein Protokoll der User-Agent-Zeichenfolge führen, können Sie sehen, welche Browser Ihre Benutzerbasis bevorzugt und für welche Browser Sie Optimierungen und Kompatibilität priorisieren sollten.
Durch die Protokollierung, wenn bestimmte Benutzer bestimmte Aktionen ausführen, können Sie auch ein Profil legitimer Aktivitätsmuster erstellen. Es kann dann hilfreich sein zu wissen, wann diese Muster unterbrochen werden, da dies auf einen Sicherheitsvorfall hindeuten könnte. Natürlich gibt es viele andere legitime Erklärungen für eine Änderung von Mustern und Verhaltensweisen, sodass dies nicht sofort Anlass zu großer Besorgnis geben sollte.
Zugriffsprotokolle und physische Sicherheit
Viele Unternehmen praktizieren physische Sicherheit in ihren Büros und Rechenzentren. Die Zugriffsprotokollierung kann hier Low-Tech sein, z. B. die Verwendung eines Anmeldebuchs. Auch Hightech-Optionen wie RFID-Türkarten können zum Einsatz kommen. Die Protokollierung des physischen Zugriffs ist eine hervorragende erste physische Verteidigungslinie. Während ein Dieb oder Hacker bereit sein mag, einfach hereinzukommen und zu sehen, was er tun kann, erschwert die Anmeldung, den Namen dessen, wen Sie sehen möchten, und warum Sie dort sind, die Sache.
Zugangskarten verriegeln im Wesentlichen alle oder eine gute Anzahl von Türen. Das macht es Hackern oder Dieben deutlich schwerer, sich zuverlässig im Gebäude zu bewegen. Da sie keine legitime Zugangskarte haben, verlassen sie sich auf ehrliche Mitarbeiter, die die Tür öffnen, und ignorieren Schulungen, um Menschen die Heckklappe zu erlauben.
Natürlich gibt es viele Möglichkeiten, diesen physischen Sicherheitsmaßnahmen entgegenzuwirken. Auch ohne andere Maßnahmen können sie eine angemessene Abschreckung darstellen. Möchtegern-Diebe und Hacker müssen viel besser informiert sein, bevor sie etwas versuchen. Sie würden sich auf Social-Engineering-Fähigkeiten und zumindest etwas Glück verlassen.
Zugriffsprotokolle und physische Sicherheit
Das Durchführen einer Zugangsprotokollierung des physischen Zugangs zu einem Gebäude hat einen potenziell lebensrettenden Vorteil. Im Falle einer Notevakuierung aufgrund eines Feuers oder aus anderen Gründen kann es möglich sein, genau zu wissen, wie viele Personen sich im Gebäude befanden. Diese Informationen können dann mit einer Personenzahl kombiniert werden, um festzustellen, ob jemand im Inneren eingeschlossen ist und die Feuerwehr versuchen muss, sie zu lokalisieren und zu retten. Alternativ kann es die Feuerwehrleute darüber informieren, dass keine Lebensgefahr besteht, sodass sie weniger persönliche Risiken eingehen müssen, um das Feuer zu löschen.
Zugriffsprotokolle können in manchen Szenarien wie diesem sowohl ein Segen als auch ein Fluch sein. Beispielsweise gibt es bei einem Papier-Anmeldeblatt möglicherweise nicht unbedingt ein Abmeldeblatt, wodurch es unmöglich ist, zu wissen, wer berücksichtigt werden muss. Digitale Systeme sind noch anfälliger für ein etwas verwandtes Problem. Wenn jemand einem Kollegen durch eine Tür folgt, macht er sich in vielen Fällen nicht die Mühe, seinen Ausweis zu scannen, sondern „hinter dem Tor“ hindurch.
Darüber hinaus berichten digitale Systeme typischerweise an interne Computer. Diese internen Computer würden sich in dem jetzt evakuierten Gebäude befinden, was es umständlich macht, zu überprüfen, wie viele Personen berücksichtigt werden müssen.
Darüber hinaus können andere menschliche Faktoren die besten Pläne zunichte machen. Im Brandfall sollen sich alle zum Notfalltreffpunkt begeben. Einige Leute können jedoch einen anderen Ausgang nehmen und am falschen Ort warten. Andere nutzen die Gelegenheit, um etwas zu rauchen oder einkaufen zu gehen. Physische Sicherheit ist so schwer zu gewährleisten und erfordert, dass jeder die Verfahren tatsächlich befolgt, was nicht immer der Fall ist.
Fazit
Ein Zugriffsprotokoll ist eine Datei oder ein Dokument, das den Zugriff oder versuchten Zugriff auf ein System verfolgt. Sie können für physische Systeme wie Gebäude und Rechenzentren oder Computersysteme wie Websites oder sensible Dokumente verwendet werden. Protokolle helfen bei der Sicherheitsverfolgung und können mit den richtigen Datenpunkten nützliche Analysen ermöglichen.