Журнал аудита, защищённый от несанкционированных изменений
Запись, которую нельзя незаметно перезаписать.
Журнал, который можно редактировать, — это не доказательство, а предположение. Журнал аудита Clavitor представляет собой криптографическую цепочку: каждое событие хешируется в предыдущее, положение цепочки подтверждается на отдельной инфраструктуре, а один проход позволяет повторно пройти по всей цепочке, чтобы доказать, что ничего не было изменено, удалено или переставлено. Не "мы обещаем, что не трогали". Проверьте сами.
Каждое действие зафиксировано.
Хранилище учётных данных надёжно настолько, насколько надёжна запись о том, кто им пользовался. Clavitor регистрирует каждое чтение учётных данных, каждое автозаполнение, каждый запрос TOTP, каждый вход в систему, каждое административное изменение — и каждое отклонение. Каждое событие содержит информацию о том, кто, что, когда, откуда и как оно завершилось.
Кто и какого типа
Каждое событие приписывается конкретному субъекту и помечается типом субъекта — человек, расширение браузера или ИИ-агент. Действия агента выделяются отдельно от действий человека в той же строке, поэтому навык сбора данных не может скрыться в шуме обычного использования.
Полный жизненный цикл
Создание, чтение, обновление, удаление — и каждое использование. Автозаполнение и прокси-инъекция регистрируются так же, как и ручное чтение. Ничто не касается учётных данных незаметно; нет пути к секрету, который не оставлял бы за собой строку.
Результаты, а не только успехи
Каждое событие записывает, как оно завершилось — успех, сбой или отказ — с кодом причины. Заблокированный агент, пакет с ограничением скорости, отклоненный IP-адрес, неудачный вход в систему: всё зарегистрировано. Аудиторов больше волнует то, что было остановлено, чем то, что удалось.
Цепочка
Хешировано в историю.
Каждая строка аудита связана с предыдущей хешем. Измените любую предыдущую строку — отредактируйте поле, удалите событие, переставьте две строки — и все последующие хеши перестанут совпадать. Взлом не скрыт; он структурный и явный.
# every row carries the hash of the row before it row_hash = SHA256( prev_hash | event_id | created_at | data ) # any edit, delete, or reorder breaks the recomputation # rows are append-only — never UPDATEd, never DELETEd
Это тот же принцип добавления, на котором построено всё хранилище — журнал аудита не получает его ослабленную версию. Почему ничего не перезаписывается →
Подтверждено вне системы
Локальной перезаписи недостаточно.
Одна только цепочка защищает от редактирования внутри журнала. Но оператор, владеющий диском, теоретически может пересчитать всю цепочку с подделанной начальной точки. Поэтому цепочка существует не только на устройстве, которое её записывает.
Головка каждой цепочки хранилища закреплена на отдельной инфраструктуре — односторонний свидетель, который записывает, где находилась цепочка в каждый момент времени. Чтобы убедительно переписать историю, вам придётся обойти журнал и свидетеля, синхронно, без каких-либо расхождений.
Вторая система запоминает позицию
POP, который записывает журнал, отправляет заголовок своей цепочки — последовательность и хеш — в центральную систему в качестве свидетеля по мере возможности. Центральная система никогда не находится на пути записи, поэтому она никогда не может замедлить работу хранилища; она только запоминает, как выглядела цепочка в последний раз.
Если локальный журнал когда-либо станет короче подтверждённой позиции, это откат. Если подтверждённая позиция возвращается с другим хешем, это разветвление. Любое из этих событий является попыткой усечения или перезаписи — и любое из них вызывает оповещение оператора в момент обнаружения.
Проверка по запросу
Один проход. Целостный или повреждённый.
Вы не принимаете наше слово ни за что из этого. Хранилище повторно проходит по цепочке от первой строки, пересчитывает каждый хеш и сообщает Вам результат — значок проверки, который читается как «целостный» или, если изменился хотя бы один байт, «повреждённый». Никакого «возможно», никакого «вероятно, всё в порядке». Проверка безопасности, которая не проходит, должна давать сбой явно; эта именно так и работает.
Зашифровано и всё ещё доступно для запросов
Запись доказывает, кто действовал — не раскрывая, к чему он обращался.
Журнал аудита зашифрован в состоянии покоя с той же схемой шифрования на уровне полей, что и отслеживаемые им учётные данные. Только структурные столбцы — идентификатор события, идентификатор записи, временная метка — остаются в открытом тексте, потому что это всё, что нужно для запроса. Украденный диск выдаст непрозрачные токены, а не карту ваших IP-адресов, субъектов и шаблонов доступа.
Поисковые запросы по-прежнему работают, не раскрывая этого. Каждая строка содержит хешированные токены корзин, поэтому "всё, что делал этот IP-адрес" или "каждый отклоненный запрос на чтение" выполняется как индексированный поиск и расшифровывает только соответствующие строки — никогда весь корпус, никогда индекс в открытом тексте, который мог бы прочитать похититель диска. Вы получаете запрос. Злоумышленник получает шум.
Отчёт
Доказательства соответствия — по запросу.
Журнал аудита — это первоклассная страница хранилища, а не экспорт, который вы реконструируете постфактум. Фильтруйте по субъекту, записи, IP-адресу или диапазону дат. Щёлкните любую ячейку, чтобы перейти к деталям. Сортируйте по любому столбцу. Группируйте по дню, действию, результату или субъекту. Фильтрующие метки показывают текущие количества по мере сужения поиска. Экспортируйте результат в CSV для вашего SIEM или аудитора.
CMMC УРОВЕНЬ 2
Доказательства аудита и подотчётности
Элементы управления NIST SP 800-171 3.3.1 (запись необходимого), 3.3.2 (связь с идентификацией) и 3.3.8 (защита целостности журнала) требуют идентификации, IP-адреса и временной метки для каждого события, хранимых в защищённом и устойчивом к взлому виде. Clavitor записывает все три, шифрует журнал и связывает его в цепочку.
SOC 2 · ISO 27001
Доказательства мониторинга, доступные для запросов
Критерий Trust Services CC7.2 и ISO/IEC 27001 A.8.15 требуют журналы аутентификации и привилегированных действий. Каждый доступ к учётным данным является таким событием — с указанием типа субъекта, отметкой о результате, зашифрованный, фильтруемый и экспортируемый.
HIPAA · GDPR
Подотчётность по замыслу
Обязательства по аудиту HIPAA §164.312(b) и подотчётности GDPR Статья 32 выполняются одним и тем же журналом. Никакого отдельного модуля соответствия, никакой дополнительной платы — журнал аудита является частью продукта. Планы Enterprise добавляют экспорт между хранилищами в ваш SIEM.
Политика становится доказательством.
Без надёжной записи все утверждения о контроле доступа являются просто политикой — "мы не смотрим", "агенты имеют ограничения", "ничего не утекает". С помощью цепочечной, подтверждённой, проверяемой записи эти утверждения становятся вещами, которые Вы можете проверить. В этом разница между тем, чтобы просить Вас поверить нам, и тем, чтобы позволить Вам доказать это.
Посмотрите на другую половину записи.
Журнал аудита доказывает, кто действовал. Неизменяемость доказывает, что данные, с которыми они работали, никогда не были незаметно изменены под ними.