Zabezpieczony przed manipulacją dziennik audytu
Zapis, którego nie można potajemnie nadpisać.
Dziennik, który można edytować, nie jest dowodem — jest sugestią. Dziennik audytu Clavitor to kryptograficzny łańcuch: każde zdarzenie jest haszowane do poprzedniego, pozycja łańcucha jest poświadczana na oddzielnej infrastrukturze, a pojedyncze przejście odtwarza całość, aby udowodnić, że nic nie zostało zmienione, usunięte ani przestawione. Nie „obiecujemy, że tego nie dotykaliśmy”. Zweryfikuj to samodzielnie.
Każda akcja jest rejestrowana.
Sejf na poświadczenia jest tak godny zaufania, jak zapis tego, kto go używał. Clavitor rejestruje każde odczytanie poświadczeń, każde autouzupełnienie, każde żądanie TOTP, każde logowanie, każdą zmianę administracyjną — i każdą odmowę. Każde zdarzenie zawiera informacje o tym, kto, co, kiedy, skąd i jak się zakończyło.
Kto i jaki rodzaj
Każde zdarzenie jest przypisane do konkretnego aktora i oznaczone typem aktora — człowiek, rozszerzenie przeglądarki lub agent AI. Działanie agenta jest odróżnione od działania człowieka na tej samej linii, dzięki czemu umiejętność zbierania danych nie może ukryć się w szumie normalnego użytkowania.
Pełny cykl życia
Tworzenie, odczyt, aktualizacja, usuwanie — i każde użycie. Autouzupełnianie i wstrzykiwanie proxy są rejestrowane tak samo jak ręczne odczytywanie. Nic nie dotyka poświadczeń po cichu; nie ma drogi do sekretu, która nie pozostawiłaby śladu.
Wyniki, nie tylko sukcesy
Każde zdarzenie rejestruje, jak się zakończyło — sukces, porażka lub odmowa — wraz z kodem przyczyny. Zablokowany agent, ograniczona czasowo seria żądań, odrzucony adres IP, nieudane logowanie: wszystko jest rejestrowane. Audytorzy bardziej dbają o to, co zostało zatrzymane, niż o to, co się powiodło.
Łańcuch
Zahaszowane w historii.
Każdy wiersz audytu jest powiązany z poprzednim za pomocą hasza. Zmiana dowolnego wcześniejszego wiersza — edycja pola, usunięcie zdarzenia, zmiana kolejności dwóch linii — powoduje, że wszystkie kolejne hasze przestają pasować. Manipulacja nie jest ukryta; jest strukturalna i głośna.
# every row carries the hash of the row before it row_hash = SHA256( prev_hash | event_id | created_at | data ) # any edit, delete, or reorder breaks the recomputation # rows are append-only — never UPDATEd, never DELETEd
Jest to ta sama zasada dodawania, na której zbudowany jest cały sejf — dziennik audytu nie otrzymuje jej słabszej wersji. Dlaczego nic nigdy nie jest nadpisywane →
Poświadczone poza systemem
Nadpisanie lokalne nie wystarczy.
Sam łańcuch chroni przed edycjami wewnątrz dziennika. Ale operator, który posiada dysk, mógłby teoretycznie przeliczyć cały łańcuch od sfałszowanego punktu początkowego. Dlatego łańcuch nie istnieje tylko na urządzeniu, które go zapisuje.
Głowa każdego łańcucha sejfu jest zakotwiczona w oddzielnej infrastrukturze — jednokierunkowym poświadczeniu, które rejestruje, gdzie był łańcuch w każdym momencie. Aby przekonująco nadpisać historię, musiałbyś pokonać dziennik i poświadczenie, w synchronizacji, bez żadnych rozbieżności.
Drugi system pamięta pozycję
POP, który zapisuje dziennik, przesyła jego głowę łańcucha — sekwencję i hasz — do centralnego systemu jako poświadczenie najlepszych starań. System centralny nigdy nie znajduje się w ścieżce zapisu, więc nigdy nie może spowolnić sejfu; jedynie pamięta, jak ostatnio wyglądał łańcuch.
Jeśli lokalny dziennik kiedykolwiek stanie się krótszy niż poświadczona pozycja, jest to cofnięcie. Jeśli poświadczona pozycja powróci z innym haszem, jest to rozwidlenie. Jedno i drugie jest próbą obcięcia lub nadpisania — i jedno i drugie wyzwala alert operatora w momencie, gdy zostanie wykryte.
Weryfikuj na żądanie
Jedno przejście. Nienaruszone lub uszkodzone.
Nie bierzesz nas na słowo w żadnej z tych kwestii. Sejf odtwarza łańcuch od pierwszego wiersza, przelicza każdy hasz i podaje wynik — odznakę weryfikacyjną, która mówi „nienaruszone” lub, jeśli nawet jeden bajt został zmieniony, „uszkodzone”. Nie ma odcieni szarości, nie ma „prawdopodobnie w porządku”. Kontrola bezpieczeństwa, która zawodzi, musi zawieść głośno; ta właśnie tak działa.
Zaszyfrowane i nadal możliwe do przeszukiwania
Zapis udowadnia, kto działał — bez ujawniania, czego dotykał.
Dziennik audytu jest szyfrowany w spoczynku za pomocą tego samego schematu szyfrowania na poziomie pola, co śledzone przez niego poświadczenia. Tylko kolumny strukturalne — identyfikator zdarzenia, identyfikator wpisu, znacznik czasu — pozostają w postaci zwykłego tekstu, ponieważ to wszystko, czego potrzebuje zapytanie. Skradziony dysk daje nieczytelne tokeny, a nie mapę adresów IP, aktorów i wzorców dostępu.
Przestawienia nadal działają bez ujawniania tych informacji. Każdy wiersz zawiera tokeny wiaderkowe z haszami kluczowymi, dzięki czemu „wszystko, co zrobił ten adres IP" lub „każda odmówiona operacja odczytu" działa jako indeksowane wyszukiwanie i odszyfrowuje tylko pasujące wiersze — nigdy cały korpus, nigdy indeks w postaci zwykłego tekstu, który mógłby odczytać złodziej dysku. Państwo otrzymują zapytanie. Atakujący otrzymuje szum.
Raport
Dowody zgodności, na wyciągnięcie ręki.
Dziennik audytu jest pierwszorzędną stroną w sejfie — nie eksportem, który rekonstruujesz po fakcie. Filtruj według aktora, wpisu, adresu IP lub zakresu dat. Kliknij dowolną komórkę, aby przejść do szczegółów. Sortuj według dowolnej kolumny. Grupuj według dnia, akcji, wyniku lub aktora. Paski fasetujące pokazują bieżące liczby podczas zawężania. Eksportuj wynik do formatu CSV dla swojego SIEM lub audytora.
CMMC POZIOM 2
Dowody audytu i odpowiedzialności
Kontrole NIST SP 800-171 3.3.1 (rejestrowanie tego, co potrzebne), 3.3.2 (powiązanie z tożsamością) i 3.3.8 (ochrona integralności dziennika) wymagają tożsamości na zdarzenie, adresu IP i znacznika czasu, przechowywanych w sposób chroniony i odporny na manipulacje. Clavitor rejestruje wszystkie trzy, szyfruje dziennik i tworzy jego łańcuch.
SOC 2 · ISO 27001
Dowody monitorowania, możliwe do przeszukiwania
Kryterium Usług Zaufania CC7.2 i ISO/IEC 27001 A.8.15 wymagają dzienników uwierzytelniania i działań uprzywilejowanych. Każdy dostęp do poświadczeń jest takim zdarzeniem — z typem aktora, znacznikiem wyniku, zaszyfrowany, z możliwością filtrowania i eksportu.
HIPAA · RODO
Odpowiedzialność, z założenia
Kontrole audytu HIPAA §164.312(b) i obowiązki w zakresie odpowiedzialności wynikające z Artykułu 32 RODO są realizowane przez ten sam dziennik. Brak oddzielnego modułu zgodności, brak dodatkowej opłaty — dziennik audytu jest częścią produktu. Plany Enterprise dodają eksport między sejfami do Państwa SIEM.
Polityka staje się dowodem.
Bez godnego zaufania zapisu każde twierdzenie o kontroli dostępu jest tylko polityką — „nie patrzymy", „agenci są ograniczeni", „nic nie wycieka". Z łańcuchowym, poświadczonym, weryfikowalnym dziennikiem te twierdzenia stają się rzeczami, które można sprawdzić. To jest różnica między proszeniem o zaufanie a umożliwieniem weryfikacji.
Zobacz drugą połowę zapisu.
Dziennik audytu udowadnia, kto działał. Niezmienność udowadnia, że dane, na których działał, nigdy nie zostały potajemnie zmienione pod nimi.