Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wat is een Audittrail voor Naleving? [Inclusief Oplossingen]
Wat is een Audittrail voor Naleving? [Inclusief Oplossingen]

Wat is een Audittrail voor Naleving? [Inclusief Oplossingen]

by Bob Ertl updated juni 24, 2021 Wettelijke naleving
Reading Time: 9 minutes

Een audittrail kan uw organisatie helpen met naleving en beveiliging. Maar wat zijn audit logs, hoe implementeert u ze en hoe gebruikt u ze voor compliance?

Laten we beginnen met de vraag: wat is de functie van een audit log? Een audit log houdt bij wie toegang heeft gehad tot het systeem, wat diegene heeft bekeken en welke acties zijn uitgevoerd. Deze tijdsgebonden informatie is belangrijk om naleving en beveiliging aan te tonen.

Wat is een audit log?

Een audit log is een registratie van gebeurtenissen zoals ze plaatsvinden binnen een computersysteem. Een systeem van logregistratie en archivering vormt samen een audittrail waarmee iedereen die acties binnen een systeem onderzoekt, de handelingen van gebruikers, toegang tot bepaalde bestanden of andere activiteiten zoals het uitvoeren van bestanden met root- of beheerdersrechten of wijzigingen aan OS-brede beveiligings- en toegangsinstellingen kan traceren.

Op de breedste schaal kan een audit log vrijwel elke wijziging in een systeem bijhouden. Dit maakt ze belangrijk, zelfs noodzakelijk, op drie belangrijke manieren:

  • De audittrail biedt forensisch inzicht in het systeem en de werking ervan, of waar dingen zijn misgegaan. Dit omvat het traceren van bugs of fouten in systeemconfiguraties of het identificeren van waar ongeautoriseerde toegang tot data heeft plaatsgevonden. Het kan ook het management helpen bij het controleren van de prestaties en activiteiten van medewerkers met gevoelige toegangsrechten.
  • Audit logs bieden ook forensische informatie met betrekking tot datalekken. Een audittrail kan aantonen hoe beveiligingsmaatregelen zijn ingesteld en werken om kritieke data te beschermen. Het kan ook cruciale informatie geven over hoe hackers specifieke systemen hebben gecompromitteerd of beveiligingsmaatregelen hebben omzeild, evenals welke data ze hebben benaderd.
  • Tot slot kunnen audit logs systeembeheerders helpen bij het dagelijks oplossen van problemen.

De onveranderlijkheid van een audittrail is een belangrijk onderdeel van de bruikbaarheid ervan. Logs zijn data, net als elk ander bestand op een computer, en als ze beschadigd raken, kunnen ze waardeloos worden. Beste practices rondom audit logs adviseren om een audittrail minimaal een jaar te bewaren, of langer als vereist door regelgeving (bijvoorbeeld, HIPAA vereist minimaal 6 jaar aan logs op systemen met ePHI).

Audit logs versus reguliere systeemlogs

Audit logs worden gegenereerd om gebruikersactiviteiten en systeemgebeurtenissen met betrekking tot beveiliging vast te leggen voor onderzoeksdoeleinden. Ze bieden een gedetailleerd overzicht van beveiligingskritieke gebeurtenissen en gebruikersactiviteiten, waarmee verdachte gedragingen kunnen worden geïdentificeerd en onderzocht.

Reguliere systeemlogs worden gegenereerd om systeemactiviteiten zoals defecten, storingen en algemene gebruiksdata vast te leggen. Reguliere systeemlogs geven een algemener overzicht van de werking van het systeem.

Audit logging gebruiken voor beveiliging en compliance

Audit logs zijn een essentieel hulpmiddel voor beveiliging en compliance, omdat ze een gedetailleerd overzicht bieden van de activiteiten binnen het IT-systeem van een organisatie. Dit overzicht kan worden gebruikt om verdachte activiteiten en mogelijke overtredingen van compliance te identificeren.

Audit logs moeten regelmatig worden gemonitord om verdachte activiteiten te detecteren die kunnen wijzen op een beveiligings- of compliance-incident. Ze moeten ook worden gebruikt om beheerders te waarschuwen voor potentiële kwetsbaarheden voordat deze worden misbruikt. De logs moeten regelmatig worden beoordeeld om trends of patronen te herkennen die kunnen duiden op ongeautoriseerde toegang of verdachte activiteit. Elke nieuwe of ongebruikelijke activiteit moet direct worden onderzocht en aangepakt.

Audit logs kunnen worden gebruikt om potentiële systeemzwaktes te identificeren en te waarborgen dat gebruikers zich houden aan het beveiligingsbeleid van de organisatie. Dit helpt om het systeem veilig en in overeenstemming met de geldende wet- en regelgeving te houden.

Audit logs kunnen ook worden gebruikt om rapporten op te stellen voor compliance-audits. Dergelijke rapporten bieden een gedetailleerd overzicht van alle beveiligings- of compliance-gerelateerde activiteiten en kunnen worden gebruikt om aan te tonen dat een organisatie voldoet aan de toepasselijke wet- en regelgeving.

Wat zijn de voordelen van het gebruik van audit logs?

Het spreekt voor zich dat als u werkt in een sector met een compliance-framework dat een vorm van dataregistratie vereist (zoals HIPAA, GDPR of FedRAMP), logs niet alleen voordelig zijn—ze zijn noodzakelijk voor de bedrijfsvoering.

Toch zijn er diverse manieren waarop audit logs ondersteuning bieden aan systeembeheerders en IT-managers binnen uw organisatie:

  • Aantonen van compliance: Zoals hierboven vermeld, helpen logs u om aan auditors te laten zien dat u voldoet aan een bepaald framework. Dit is precies de reden waarom veel frameworks audit logs verplicht stellen.
  • Bewijsketens creëren: Als onderdeel van een beveiligings- of compliancepositie vereisen veel beveiligingsstandaarden logging als bewijs. Een ononderbroken bewijsketen kan onderzoekers de bron van een beveiligingsincident tonen of bewijzen dat een bedrijf de beveiligingsmaatregelen heeft geïmplementeerd die het beweert te hebben.
  • Chronologische documentatie creëren: In juridische situaties kunnen wijzigingen of handelingen aan bestanden als bewijs dienen in de rechtbank. Een onveranderlijke audit log levert dergelijk bewijs voor wetshandhaving.
  • Inzicht en optimalisatie: Positief gezien kunnen logs het management en specialisten laten zien hoe een systeem onder bepaalde omstandigheden functioneert, wat kan helpen bij het optimaliseren van diverse interne processen. Logs kunnen zaken weerspiegelen zoals de tijd die nodig is om een taak uit te voeren of conflicterende operaties die de stabiliteit of prestaties van het systeem kunnen beïnvloeden.
  • Beheer van beveiliging en risico: Het beheren van uw beveiligings- en risicoprofielen vereist informatie; informatie over partners, leveranciers, cloudsystemen en producten, enzovoort.
  • Tracking van bedrijfsprocessen: De audittrail kan zakelijke gebruikers laten zien hoe hun data wel of niet is gebruikt. Bijvoorbeeld, wanneer een advocaat een juridisch document naar de tegenpartij stuurt en die advocaat later beweert het niet te hebben ontvangen, kan de verzender de audittrail gebruiken om te bewijzen dat het is ontvangen, tot in detail zoals het exacte tijdstip, IP-adres en het gebruikte apparaat voor het downloaden.

Afhankelijk van uw software-inrichting en computernetwerk (en uw compliance-vereisten) kan audit logging één of meer van deze voordelen bieden.

Wat is een audittrail?

Kort gezegd is een audittrail een reeks logs die een reeks activiteiten, acties of gebruikers binnen een systeem documenteren. Dit kan tijdsgebonden informatie bevatten over het werk van een besturingssysteem, of een reeks logs die documenteren hoe een gebruiker systeembronnen en data benadert.

Trails zijn van kritiek belang voor beveiliging, omdat meestal een enkele log van een gebeurtenis niet voldoende is om alles te beheren wat hierboven is besproken. In plaats daarvan kan een bewijstrail inzicht geven in wat er is gebeurd en hoe een probleem kan worden aangepakt.

Als bijvoorbeeld een server crasht en data verloren of beschadigd raakt, kan een audittrail voorafgaand aan en direct tot aan het incident beheerders helpen te achterhalen wat er is gebeurd.

Evenzo, als een hacker een systeem binnendringt en data steelt, kunnen IT-beveiligingsspecialisten audittrails gebruiken om de activiteiten van die persoon te volgen om te bepalen wat is gecompromitteerd, beschadigd of gestolen, en hoe toegang tot het systeem is verkregen.

Wat zijn de componenten van een audit log?

Dat gezegd hebbende, logs zijn geen enkelvoudig geheel. Verschillende logs kunnen verschillende componenten bevatten, afhankelijk van hun relevantie voor het bewijs dat ze leveren. International Standards Organization (ISO) publicatie 27002 biedt richtlijnen voor typische gebeurtenissen en informatie die logs moeten bevatten voor zakelijke klanten. In het algemeen bevatten logs volgens deze richtlijnen meestal de volgende informatie:

  • Gebruikers-ID’s (zowel geautoriseerde gebruikers als gebruikers die toegang zoeken tot het systeem)
  • Data en tijden van elke gebeurtenis in de audittrail
  • Alle systeeminformatie, inclusief apparaatlocatie, MAC-adres, enzovoort
  • Pogingen om in te loggen op het systeem, zowel legitiem als geweigerd
  • Wijzigingen in gebruikersrechten, ID-nummers of systeemconfiguratie-instellingen
  • Toegangspogingen tot relevante (of alle) bestanden en mappen
  • Netwerkinformatie gerelateerd aan systeemtoegang (IP-nummer, geopende poort, gebruikt protocol)
  • Waarschuwingen van beveiligingssoftware (firewall, anti-malware, inbraakdetectiesystemen)
  • Alle transacties, gegevensdeling of andere externe verbindingen die door gebruikers via de systeemsoftware zijn gemaakt
  • Elke toegang tot beveiligde of persoonlijk identificeerbare informatie (PII)

Bepaalde beveiligingslogs kunnen ook informatie bevatten over specifieke systemen of gebeurtenissen die hier niet zijn genoemd, om extra documentatie te bieden.

Toch zijn er niet veel voorbeelden van commerciële, zelfstandige audit logging-software. Veel besturingssystemen of applicaties van derden (waaronder SaaS-cloudservices) hebben ingebouwde loggingmogelijkheden die al dan niet aanpasbaar zijn. Er is echter een grote markt voor oplossingen die logs kunnen aggregeren om cruciale inzichten te bieden in beveiliging, prestaties, bugtracking en meldingen aan medewerkers. Deze systemen worden security information and event management (SIEM) oplossingen genoemd en omvatten producten als Splunk, IBM QRadar, LogRhythm, HPE ArcSight en anderen.

Over het algemeen moeten audittools in een systeem in staat zijn om gebeurtenissen te volgen met de hierboven genoemde data, en moeten ze veilige en conforme data logs kunnen produceren op basis van de activiteit van het platform of de software, de geldende compliance-vereisten en het type data dat wordt beheerd (afhankelijk van sector of organisatie).

Hoe lang moeten audit logs worden bewaard?

De bewaartermijn van audit logs verschilt per organisatie en per sector. Factoren zoals intern beleid, branchevoorschriften, wettelijke vereisten en het type data dat wordt gelogd, bepalen hoe lang organisaties hun audit logs moeten bewaren. In de zorgsector vereist HIPAA bijvoorbeeld dat audit logs met beschermde gezondheidsinformatie (PHI) minimaal zes jaar worden bewaard. Evenzo vereist SEC Rule 17a-4 in de financiële sector dat audit logs minimaal zes jaar worden bewaard. Sommige organisaties kiezen ervoor audit logs langer te bewaren om juridische, compliance- of beveiligingsredenen. Audit logs moeten in ieder geval minimaal één jaar worden bewaard.

Hoe kan ik audit logs op mijn servers beveiligen?

Audit logs helpen u niet als ze niet beschermd zijn. Beschadigde of gewijzigde logs doorbreken de audittrail en maken de informatie die u heeft verzameld om uw systeem te beschermen minder effectief.

Het is zowel jammer als gunstig dat audit logs gewoon bestanden zijn, net als andere bestanden op uw computer. Helaas betekent dit dat ze gestolen, gewijzigd of beschadigd kunnen worden zoals andere bestanden. Gelukkig betekent het ook dat u ze kunt beschermen met gangbare beveiligingsmaatregelen, zoals:

  1. Encryptie: Het versleutelen van audit log-bestanden helpt om deze data uit handen van hackers te houden die uw systeem hebben gecompromitteerd. Hoewel deze bestanden nog steeds beschadigd kunnen raken, zijn ze wel moeilijker te lezen of te manipuleren.
  2. Bescherming tegen ongeautoriseerde toegang: Bestanden in een computersysteem worden beheerd door een systeem van toegangsrechten dat gebruikers toestaat of weigert bestanden te lezen, te schrijven of uit te voeren. Door audit logs van specifieke autorisatievereisten te voorzien, kunt u ongeautoriseerde gebruikers tegenhouden.
  3. Toegangscontrole voor beheerders: Het is mogelijk dat een beheerder audit logs over zichzelf en zijn activiteiten kan wijzigen, waardoor het lastig wordt om te traceren wat er is gebeurd. U kunt logs over specifieke gebruikers of beheerders zo instellen dat deze niet door die gebruikers kunnen worden gelezen of aangepast.
  4. Detectie van wijziging, verwijdering of uitschakeling van logs: Een aanvaller wist meestal zijn sporen door logs direct na een inbraak te verwijderen of uit te schakelen. Het systeem moet direct medewerkers waarschuwen als iemand probeert logs te wijzigen of te vernietigen.
  5. Exporteren van logs naar externe systemen: Naast de analytische voordelen van het exporteren van logs naar een centrale SIEM, zorgt dit er ook voor dat als een log per ongeluk of door een aanvaller wordt verwijderd, er een kopie bestaat. Stel de SIEM zo in dat medewerkers worden gewaarschuwd als een systeem stopt met het verzenden van logs, omdat het systeem dan mogelijk offline is of wordt aangevallen.
  6. Archiveren en journaliseren: Stuur logs naar een externe archiveringsdienst om ze te bewaren gedurende de jaren die door regelgeving worden vereist, ondanks natuurrampen, diefstal of beschadiging van de originele systemen of het datacenter.

Het Kiteworks-platform voor data logs

Wanneer u een platform gebruikt voor activiteiten zoals beveiligde bestandsoverdracht en opslag, beveiligde e-mail of beveiligde formulieren en gegevensverzameling, is data logging een absolute noodzaak. Het Kiteworks-platform biedt deze diensten met veilige en volledige loggingmogelijkheden op basis van drie kernprincipes:

  1. Compliance: Als uw bedrijf beveiligde MFT, SFTP of e-mail nodig heeft voor bedrijfsprocessen, leveren wij deze diensten met de benodigde logging om te garanderen dat u compliant blijft. Wij werken samen met organisaties in de zorg, overheid, financiële sector en meer, en ondersteunen hen bij compliance in frameworks als HIPAA, FedRAMP, PCI DSS en GDPR.
  2. Beveiliging: Onze beveiligde systemen bevatten alle noodzakelijke logging om te dienen als forensisch hulpmiddel bij incidenten, en als preventief middel om het Kiteworks-platform eenvoudig te gebruiken binnen uw risicobeheer.
  3. Toegankelijkheid: Onze producten zijn gericht op data-toegankelijkheid voor leden van uw organisatie, inclusief toegang tot data logs voor de juiste personen. Wanneer het tijd is voor audits (bijvoorbeeld bij datalekken of jaarlijkse compliance-eisen), bieden onze tools gestroomlijnde toegang tot de benodigde data.
  4. SIEM-integratie: Het Kiteworks Enterprise-platform exporteert continu logs naar de SIEM van uw organisatie via een standaard audit log, inclusief integraties met IBM QRadar, ArcSight, FireEye Helix, LogRhythm en anderen. Het ondersteunt ook de Splunk Forwarder en bevat een Splunk App.
  5. Schone, volledige en bruikbare logdata: Onze engineers testen en verbeteren de kwaliteit, volledigheid en bruikbaarheid van logvermeldingen bij elke productrelease. Ze gebruiken een uitgebreide CISO-dashboard en rapportagedisplays als testomgeving om te waarborgen dat klanten toegang hebben tot de benodigde statistieken en parameters om activiteiten te monitoren, bedreigingen te detecteren en forensisch onderzoek uit te voeren.
  6. Uniforme, gestandaardiseerde log: Gebeurtenisstromen van applicatie- en systeemcomponenten komen samen in één enkele log, met gestandaardiseerde berichten die analisten en machine learning in staat stellen patronen te detecteren en analyseren die meerdere communicatiekanalen overschrijden, zoals e-mail, MFT, bestandsoverdracht en SFTP, evenals administratieve wijzigingen aan beleid, rechten en configuraties, en activiteiten van het besturingssysteem, logins, repository-toegangen en scans door DLP, antivirus, ATP en CDR-producten.
  7. Intelligentie, analytics en notificaties: AI-technologie detecteert verdachte gebeurtenissen, zoals mogelijke exfiltratie, en stuurt een waarschuwing via e-mail en via de audit log.
  8. Uitgebreide administratieve rapportage: De administratieve interfaces gebruiken logs voor dashboards die door mensen leesbaar zijn, evenals voor aangepaste en standaardrapporten.
  9. Audittrail voor eindgebruikers: Het platform biedt gebruiksvriendelijke trackingdisplays zodat eindgebruikers kunnen zien of ontvangers content hebben geopend, bewerkt of geüpload via beveiligde gedeelde mappen, beveiligde e-mail of SFTP.

Wilt u weten hoe Kiteworks samenwerking, eenvoudige integratie en naleving van regelgeving mogelijk maakt? Plan dan vandaag nog een aangepaste demo van Kiteworks.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks