Журнал доступа — это файл журнала, в котором отслеживается доступ к одному или нескольким объектам. Журналы доступа являются важной частью безопасности и аналитики в вычислениях. Журналы доступа также являются важным инструментом безопасности в физическом мире.
Журнал доступа отслеживает дату и время доступа или попытки доступа к чему-либо. В общем кем, как и тем известно. Журналы доступа часто также содержат вторичную информацию. Эта вторичная информация может предоставить контекст или дополнительные аналитически полезные данные.
Журналы доступа и цифровая безопасность
Журналы доступа могут отслеживать, когда кто-то пытается получить доступ к привилегированной системе. Или файл и может быть довольно простым. Он может отслеживать такие точки данных, как «был ли доступ успешным?», «кто пытался получить доступ к файлу?», «когда была предпринята попытка?». В некоторых случаях журнал доступа может даже отслеживать любые сделанные изменения. Обычно это регистрируется отдельно.
Отказ в доступе — это состояние, которое следует регистрировать. Это обеспечивает прямое понимание того, когда кто-то пытается получить доступ к чему-то, чего не должен. Конечно, для этого есть потенциально законные причины. Возможно, пользователь сделал опечатку в своем пароле. Или, может быть, пользователю не был предоставлен доступ, который он должен был получить.
Альтернативой является то, что неавторизованный пользователь пытается получить доступ. В случае веб-сервера это может быть хакер, не прошедший проверку подлинности, пытающийся получить доступ к конфиденциальному файлу. Это также может быть законная учетная запись пользователя, пытающаяся получить доступ к файлу, на который у нее нет разрешения. Предполагая, что у законного пользователя не должно быть доступа, учетная запись может быть скомпрометирована или пользователь стал мошенником.
Отслеживание успешного доступа также полезно. Доступ сам по себе может не быть проблемой, но действия после этого могут быть. Например, отслеживание того, какие учетные записи обращаются к серверной части веб-сайта, может позволить провести судебно-медицинскую экспертизу, если сайт поврежден. Простой регистрации имени пользователя может быть недостаточно для этого варианта использования. В сочетании с IP-адресом можно было бы увидеть, испортил ли сайт законный пользователь или хакер использовал его учетную запись. Это можно определить, поскольку исходные IP-адреса совпадали или не совпадали с исторически зарегистрированными данными.
Журналы доступа и аналитика
Журналы доступа к общедоступным данным могут позволить анализировать общие тенденции. Например, регистрация доступа к каждой странице веб-сайта может позволить вам увидеть, какие страницы являются наиболее популярными, а какие наименее популярными. Дополнительная информация, такая как IP-адрес посетителя, может позволить вам проанализировать поведение посетителей на вашем веб-сайте. Вы можете увидеть, с какой страницы они были привлечены и какой контент их удерживал.
Регистрация другой информации, такой как заголовок реферера, может сообщить вам, с каких сайтов приходят ваши посетители, и, возможно, насколько успешными являются конкретные рекламные кампании. Ведение журнала строки пользовательского агента может позволить вам увидеть, какие браузеры предпочитает ваша пользовательская база и для каких браузеров вы должны отдавать приоритет оптимизации и совместимости.
Ведение журнала, когда определенные пользователи выполняют определенные действия, также может позволить вам создать профиль законных шаблонов действий. Затем может быть полезно знать, когда эти шаблоны нарушены, поскольку это может указывать на инцидент безопасности. Конечно, есть много других законных объяснений изменения паттернов и поведения, так что это не должно сразу вызывать серьезного беспокойства.
Журналы доступа и физическая безопасность
Многие компании практикуют физическую охрану в своих офисах и дата-центрах. Регистрация доступа здесь может быть низкотехнологичной, например, с использованием книги входа. Также могут использоваться высокотехнологичные опции, такие как дверные карты RFID. Ведение журнала физического доступа — отличная первая линия физической защиты. В то время как вор или хакер могут захотеть просто войти и посмотреть, что они могут сделать, вход в систему, предоставление имени того, кого вы там видите, и почему вы там, усложняет ситуацию.
Карты доступа, по сути, запирают все или большое количество дверей. Из-за этого хакерам или ворам гораздо труднее надежно перемещаться по зданию. Не имея законной карты доступа, они полагаются на то, что честные сотрудники откроют дверь и пренебрегают инструктажем относительно того, как пропускать людей через заднюю дверь.
Конечно, есть много способов противостоять этим физическим мерам безопасности. Даже при отсутствии других мер они могут быть разумным сдерживающим фактором. Потенциальные воры и хакеры должны быть гораздо более информированы, прежде чем что-либо предпринимать. Они будут полагаться на навыки социальной инженерии и, по крайней мере, на удачу.
Журналы доступа и физическая безопасность
Ведение журнала физического доступа к зданию потенциально может спасти жизнь. В случае экстренной эвакуации из-за пожара или по какой-либо другой причине можно точно узнать, сколько людей находилось в здании. Затем эту информацию можно объединить с подсчетом персонала, чтобы определить, застрял ли кто-то внутри и нуждается ли пожарная команда, чтобы попытаться найти и спасти его. В качестве альтернативы он может информировать пожарную команду об отсутствии риска для жизни, что позволяет им меньше рисковать, чтобы потушить пламя.
Журналы доступа могут быть как благословением, так и проклятием в некоторых сценариях, подобных этому. Например, при использовании бумажного листа регистрации не обязательно может быть лист выхода, что делает невозможным определение того, за кого нужно отчитываться. Цифровые системы еще более подвержены несколько связанной проблеме. Во многих случаях, если кто-то следует за коллегой через дверь, он может не удосужиться отсканировать свой пропуск, а вместо этого «пройти сзади».
Кроме того, цифровые системы обычно отчитываются перед внутренними компьютерами. Эти внутренние компьютеры будут расположены внутри уже эвакуированного здания, что затруднит проверку того, сколько людей нужно учитывать.
Кроме того, другие человеческие факторы могут разрушить самые продуманные планы. В случае пожара все должны выехать на место экстренного сбора. Однако некоторые люди могут выбрать другой выход и ждать не в том месте. Другие могут воспользоваться возможностью, чтобы покурить или сходить в магазин. Физическую безопасность трудно обеспечить таким образом, и она требует, чтобы все действительно следовали процедурам, что не всегда происходит.
Вывод
Журнал доступа — это файл или документ, который отслеживает доступ или попытку доступа к системе. Их можно использовать для физических систем, таких как здания и центры обработки данных, или компьютерных систем, таких как веб-сайты или конфиденциальные документы. Журналы помогают обеспечить отслеживание безопасности и, при наличии правильных точек данных, могут включать полезную аналитику.