Czym jest Dziennik audytu?
Dziennik audytu to chronologiczny, odporny na manipulacje zapis zdarzeń i aktywności systemowych — w tym działań użytkowników, prób dostępu, zmian konfiguracji i zdarzeń bezpieczeństwa — prowadzony w celach rozliczalności, zgodności regulacyjnej i analizy kryminalistycznej.
Znane również jako: audit trail, security log, activity log
Dzienniki audytu odpowiadają na podstawowe pytania dochodzenia bezpieczeństwa: kto co zrobił, na jakim zasobie, kiedy i skąd? Rejestrują zdarzenia takie jak logowania użytkowników, dostępy do danych, zmiany uprawnień, wywołania API, działania administracyjne i nieudane próby uwierzytelniania. Podczas incydentu bezpieczeństwa dzienniki audytu są często głównym źródłem dowodów pozwalających zrozumieć zakres naruszenia i działania atakującego.
Efektywny dziennik audytu wymaga kilku właściwości: kompletności (wszystkie zdarzenia bezpieczeństwa są rejestrowane), niezmienności (wpisów nie mogą modyfikować ani usuwać audytowani aktorzy), znaczników czasu z zaufanego źródła, wystarczającego poziomu szczegółowości (w tym tożsamości, działania, zasobu docelowego i wyniku) oraz bezpiecznego przechowywania oddzielnie od monitorowanych systemów. Wiele ram zgodności — SOC 2, HIPAA, PCI-DSS, GDPR — stawia konkretne wymagania wobec dzienników audytu.
Wyzwaniem dla dzienników audytu jest balansowanie między kompletnością, prywatnością a kosztami przechowywania. Zbyt mała ilość dzienników pozostawia luki w możliwościach kryminalistycznych. Zbyt duża może powodować problemy z prywatnością (szczególnie w kontekście zasady minimalizacji danych RODO), generować ogromne koszty przechowywania i paradoksalnie utrudniać znalezienie istotnych zdarzeń w szumie. Organizacje muszą zdefiniować, co stanowi zdarzenie istotne dla bezpieczeństwa, i zapewnić, że te zdarzenia są rejestrowane bez zbierania nadmiernie wrażliwych danych.
Jak Vaulted używa Dziennik audytu
Architektura zero-knowledge Vaulted celowo ogranicza to, co może być audytowane. Serwer rejestruje metadane operacyjne — takie jak znaczniki czasu tworzenia sekretów, liczniki wyświetleń i zdarzenia wygaśnięcia — ale nigdy nie rejestruje zaszyfrowanej zawartości ani kluczy szyfrujących, ponieważ nigdy ich nie posiada. To podejście jest zgodne z zasadami minimalizacji danych: dziennik audytu rejestruje wystarczająco dużo, aby monitorować stan systemu i wykrywać wzorce nadużyć, bez tworzenia kroniki, która mogłaby ujawniać wrażliwe dane, gdyby same dzienniki zostały skompromitowane.