Anzeige

Log-Management

Wer im digitalen Zeitalter wettbewerbsfähig sein und vor allem bleiben will, der investiert kontinuierlich in neue Hardware und Software für die eigene Infrastruktur. Ein Problem der stetigen Neuerungen sind die potenziellen Schwachstellen, die sie mit sich bringen.

Solange  sie nicht gepatcht sind, besteht die Gefahr, dass Angreifer sie ausnutzen, um beispielsweise die Konfiguration eines Geräts zu ändern oder unbefugte Änderungen an wichtigen Dateien vorzunehmen. Jedes dieser Szenarien ist geeignet, einem Angreifer einen ersten Zugang zum Netzwerk zu verschaffen. Von dort aus bewegt er sich in der typischen lateralen Weise vorwärts zu anderen Systemen, von denen er Daten abzieht oder anderweitig Schaden anrichtet. 

Sicherheitskonfigurationsmanagement (Security Configuration Management, SCM) und File Integrity Monitoring (FIM) helfen Unternehmen dabei, einige dieser Risiken in den Griff zu bekommen und die Angriffsfläche zu verkleinern. Eine Infrastruktur angemessen zu schützen gelingt jedoch nur dann, wenn man eine genaue Vorstellung davon hat, was in der betreffenden Umgebung vor sich geht.

Um diesen Grad von Transparenz zu erlangen, braucht man das Log-Management.

Die Grundlagen verstehen

Um sich einen groben Überblick zu verschaffen, muss man zunächst die Grundlagen verstehen. Dazu zählt die Funktionsweise von Protokollen. Jedes Ereignis in einem Netzwerk generiert Daten, und diese Informationen finden ihren Weg in die Protokolle. Also in Aufzeichnungen, die von Betriebssystemen, Anwendungen und anderen Geräten erstellt werden. Diese Protokolle sind entscheidend, um beim Thema Sicherheit die nötige Transparenz zu schaffen. Wenn Unternehmen diese Datensätze nicht erfassen, speichern und analysieren, setzen sie sich einem hohen Risiko digitaler Angriffe aus.

Das Center for Internet Security (CIS) stimmt dieser Einschätzung zu und das erklärt, warum die gemeinnützige Organisation Log-Management in Version 8 seiner Critical Security Controls (CSC) aufgenommen hat. Dies ist auch der Grund, warum das CIS drei der zwölf mit CIS Controls 8 verbundenen Schutzmaßnahmen aufgenommen hat. Audit Log-Management in seiner ersten Implementation Group (IG1) ist ein Weg zur Priorisierung und dient der grundlegenden Cyber-Hygiene. Log Management ist ein zentraler Sicherheitsbaustein. Wenn Unternehmen es versäumen an dieser Stelle zu investieren, setzen sie damit sämtliche Bemühungen bei der Bedrohungserkennung aufs Spiel. 

Als ein Beispiel stellt das CIS hier die Risiken durch unzureichendes Log-Management in einen Kontext: Die Erfassung und Analyse von Protokollen ist entscheidend für die Fähigkeit eines Unternehmens, bösartige Aktivitäten schnell zu erkennen. Manchmal sind Audit-Aufzeichnungen der einzige Beweis für einen erfolgreichen Angriff. Angreifer wissen, dass viele Unternehmen Audit-Logs zu Compliance-Zwecken führen, diese aber nur selten analysieren. Angreifer nutzen dieses Wissen, um ihren Standort, eine Schadsoftware und die Aktivitäten auf den Rechnern der Opfer zu verbergen.

Sind die Prozesse zur Analyse von Protokollen unzureichend oder fehlen sie gänzlich, haben Angreifer nicht selten monate-  oder jahrelang die Kontrolle über die Computer ihrer Opfer, ohne dass jemand im Zielunternehmen davon weiß. Log-Management ist auch für die Incident Response unerlässlich. Heutzutage nutzen digitale Angreifer die Komplexität von Netzwerkumgebungen für die laterale Fortbewegung und das Abziehen von Daten. Dies erschwert es einem Sicherheitsteam, herauszufinden, was genau bei einem Sicherheitsvorfall passiert ist. Ohne vollständige Protokollaufzeichnungen analysieren zu können, ist das volle Ausmaß eines Angriffs schwer zu bestimmen.

Das Log-Management-Verfahren

Ein vollständiges Log-Management-Verfahren besteht aus fünf Komponenten:

1. Erfassung

Firmen sollten Protokolle über verschlüsselte Kanäle erfassen. Im Idealfall verfügt eine Log-Management-Lösung über verschiedene Methoden, um Protokolle zu erfassen und empfiehlt die für diesen Fall zuverlässigste. Grundsätzlich sollten Unternehmen, wann immer möglich, eine agentenbasierte Erfassung einsetzen. Diese Methode ist im Allgemeinen sicherer und zuverlässiger als ihr agentenfreies Gegenstück.

2. Speichern

Wenn die Protokolle erfasst worden sind, sollten Firmen diese Daten sichern, komprimieren, verschlüsseln, speichern und archivieren. Dazu kann man zusätzlichen Funktionen in Log-Management-Lösungen nutzen, z. B. um den geografischen Speicherort der Protokolle festzulegen. Solche Funktionen tragen dazu bei, Compliance-Anforderungen zu erfüllen und Skalierbarkeit zu gewährleisten.

3. Suche

Unternehmen sollten sicherstellen, dass sie ihre Protokolle nach dem Speichern auch wiederfinden. Dazu indiziert man die Aufzeichnungen so, dass sie über Klartext-, REGEX- und API-Abfragen auffindbar sind. Eine umfassende Log-Management-Lösung erlaubt es, jede Log-Suche mit Filtern und Klassifizierungs-Tags zu optimieren. Sie sollte es zudem gestatten, Rohprotokolle anzuzeigen, umfassende und detaillierte Abfragen durchzuführen und mehrere Abfragen gleichzeitig zu vergleichen.

4. Korrelation

Unternehmen sollten Regeln definieren, mit deren Hilfe sie interessante/auffällige Ereignisse erkennen und automatisierte Aktionen auslösen können. Natürlich treten die meisten Ereignisse nicht auf einem einzigen Host und innerhalb eines einzigen Protokolls auf. Daher sollten Firmen nach einer Log-Management-Lösung suchen, mit der sich Korrelationsregeln entsprechend der individuellen Bedrohungen und Anforderungen der jeweiligen Umgebungen aufstellen lassen. Zusätzlich sollte man weitere Datenquellen wie Schwachstellen-Scans und Asset-Inventare importieren können.

5. Output

Die Unternehmen sollten anschließend die Protokollinformationen über Dashboards, Berichte und per E-Mail an verschiedene Benutzer und Gruppen weitergeben können. Eine Log-Management-Lösung sollte diesen Datenaustausch mit anderen Systemen und dem Sicherheitsteam erleichtern.

Frank Augenstein, Senior Sales Engineer D/ACH
Frank Augenstein
Senior Sales Engineer D/ACH, Tripwire

Weitere Artikel

Cyber Security

Wenige Branchen fühlen sich Herausforderungen der IT-Sicherheit gewachsen

Mit der zunehmenden Vernetzung und Digitalisierung wächst das Bedrohungspotenzial von Cyberattacken erheblich und das Risiko von Datenverlust und Datenmanipulation ist hoch. Wenige Branchen fühlen sich im Bereich IT-Sicherheit gut vorbereitet.
Cyber Security

So schützt sich die deutsche Wirtschaft gegen Diebstahl und Spionage

Diebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Gefahr werden. Doch nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall.
Cyber Security

3 aktuelle Faktoren, die die IT-Security beeinflussen

Der Oktober steht ganz im Zeichen der Cybersecurity, um Nutzer daran zu erinnern, im Internet vorsichtig mit ihren Daten umzugehen. Nie war diese Warnung so nötig wie heute – immer mehr Menschen nutzen immer mehr digitale Dienste.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.