|
Optimierung
der Sicherheit dank Logdaten-Management
Quelle: Netzguide
E-Security vom 26. März 2008
Autor: Tom Hager, CEO, InfoTrust
Eine der Grundaufgaben
eines Unternehmens ist der Schutz von unternehmenskritischen
Daten. Neben der Überwachung der Verfügbarkeit
der Services und den periodischen Updates
der Sicherheitssoftware ist die Auswertung
der Logdaten von zentraler Bedeutung.
Der Schutz von Geschäftsgeheimnissen
in Form von unternehmenskritischen Informationen
gehört zu den Grundaufgaben eines Unternehmens,
um Wettbewerbsvorteile zu schaffen und langfristig
am Markt zu bestehen. Durch die Digitalisierung
werden diese unternehmenskritischen Informationen
immer mobiler und müssen mittels geeigneten
Massnahmen vor Diebstahl, Manipulation und
Zerstörung geschützt werden. Der
Schutz des Zugriff s ist ein Beispiel einer
solchen Massnahme. Die Verfügbarkeit
der Informationen für eindeutig definierte
Benutzergruppen muss jederzeit gewährleistet
sein. Diese hohen Anforderungen an die Informations-
und IT-Sicherheit führen zur Implementierung
von adäquaten Schutzmassnahmen. Die
reine Implementierung von Schutzmassnahmen
erhöht die Sicherheit jedoch nur über
einen kurzen Zeitraum. Der nachhaltige Schutz
wird ausschliesslich über den kontinuierlichen
Betrieb der IT-Sicherheitsinfrastruktur
gewährleistet. Neben der Überwachung
der Verfügbarkeit der Services und
den periodischen Updates der Sicherheitssoftware
und Patterns ist die Auswertung der Logdaten
von zentraler Bedeutung.
Zentrale Auswertung
von Logdaten
Jede Sicherheitskomponente
generiert Logdaten. Diese Logdaten werden
lokal auf den einzelnen Komponenten gespeichert.
Die Speicherkapazität ist abhängig
von der jeweiligen Komponente. Für
die Auswertung der Daten bieten einzelne
Hersteller ihre spezifischen Tools an. Die
Auswertung der lokalen Logdaten auf jeder
einzelnen Komponente skaliert nicht in grösseren
Infrastrukturen. Zudem bringt eine solche
Auswertung nicht die gewünschte Gesamtsicht
über die ITSicherheitsinfrastruktur.
Die Vielzahl herstellerspezifischer Tools
sorgt auch für einen hohen Betriebsaufwand.
Die Lösung liegt in der zentralen Auswertung
der Logdaten. Die Logdaten aller involvierten
Komponenten werden über einen sicheren
Kanal zu einer zentralen Datenbank übertragen
und darin gespeichert (siehe
Abbildung 1).
Die
Herausforderung liegt in der Behandlung
der unterschiedlichen Formate, in denen
Logdaten zur Verfügung stehen. Syslog
ist ein De-facto-Standard, der von den meisten
Komponenten-Herstellern unterstützt
wird. Die Übertragung von Syslog-Meldungen
erfolgt im Klartext. Durch das Tunneling
von Syslog-Meldungen über die SSL(Secure
Socket Layer)- oder SSH(Secure Shell)-Protokolle
werden die Meldungen im Netzwerk verschlüsselt
übertragen. Nicht alle Komponenten
unterstützen allerdings diese Protokolle.
Eine andere Variante zur sicheren Übertragung
von Logdaten ist ein dediziertes Managementnetzwerk.
Neben den reinen Syslog-Meldungen müssen
auch applikationsbasierte Logdaten übertragen
und in der Datenbank abgespeichert werden.
Zu diesen Informationen zählen beispielsweise
Zugriff sprotokolle von Webservern, Protokolldaten
von Authentisierungsservern, Firewall-,
IPS- und Proxy-Logdaten sowie nicht Syslog-basierende
Betriebssystem-Logdaten (Microsoft) und
auch reine Textdaten (ASCII). Eine Voraussetzung
für den erfolgreichen Einsatz eines
zentralen Logdaten-Management-Systems ist
die Synchronisation der Zeit auf allen Komponenten.
Korrelation
von Ereignissen gibt Aufschluss
Die für die Sicherheit involvierten
IT-Komponenten können abhängig
vom gewählten Protokollierungsgrad
sehr viele Meldungen erzeugen. Nicht jede
dieser Meldungen soll später auch ausgewertet
werden. Oft bestehen zwischen unterschiedlichen
Meldungen Beziehungen, die redundante Informationen
beinhalten, das heisst mehrere Meldungen
haben einen logischen und immer identischen
Zusammenhang. Eine aus diesem Zusammenhang
stammende Meldung lässt auf ein bestimmtes
Ereignis schliessen. Durch die Zusammen-fassung
der einzelnen voneinander abhängigen
Meldungen in ein Ereignis lässt sich
die Datenfl ut minimieren. Die auf Ereignisse
zusammengefassten unterschiedlichen Meldungen
werden für die spätere Auswertung
normalisiert. In der zentralen Datenbank
gibt es ein definiertes Format, um die Ereignisse
abzuspeichern (siehe
Abbildung 2).
Angriffe
und Fehler werden dank der automatischen
Verknüpfung von Ereignissen unterschiedlicher
Komponenten erkannt. Es können auch
Aussagen über das Benutzerverhalten
gemacht werden. Neue Erkenntnisse werden
durch die Korrelation gewonnen. Die Qualität
der Korrelation und die Flexibilität
in der Konfiguration dieser Korrelationsregeln
bilden die entscheidenden Erfolgsfaktoren
im Logdaten-Management.
Monitoring,
Reporting und Archivierung
Die in der Datenbank
gespeicherten Ereignisse werden für
das Monitoring, das Reporting und die Archivierung
verwendet. Das Ziel beim Monitoring ist,
die Sicherheitsinfrastruktur in «Echtzeit»
zu überwachen. Beim Eintreffen bestimmter
Ereignisse werden definierte Personen alarmiert.
Dies setzt voraus, dass im Unternehmen ein
Incident-Management-Prozess definiert ist.
Die Kompetenzen und Verantwortungen müssen
klar geregelt sein. Ausserdem muss definiert
sein, wer wann welche Informationen erhält.
Beispielsweise wird beschrieben, bei welchen
Ereignissen die Pressestelle informiert
werden muss. Das Monitoring zeigt neben
Sicherheitsereignissen und Fehlern auch
Informationen über die aktuelle Auslastung
auf. Für Performance- und Trendanalysen
sowie sowie für das Aufzeichnen des
Benutzerverhaltens kommt das Reporting zum
Einsatz. Das Ziel des Reportings ist, Aussagen
über einen gewissen Zeitraum zu erhalten.
Auch hier gilt, dass klar definiert werden
muss, wer wann welche Reports erhalten soll.
Ein heikles Th ema sind Reports über
das Benutzerverhalten, etwa welche Benutzer
auf welche Webseiten zugegriffen oder an
wen sie E-Mails geschrieben haben. Welche
Benutzerdaten ausgewertet werden dürfen,
muss zwingend mit der Personalabteilung
des Unternehmens abgestimmt werden. Gegebenenfalls
ist auch das Einverständnis des Benutzers
notwendig. Dies erfolgt beispielsweise in
Form einer unterschriebenen Internet-Nutzungsrichtlinie.
Neben Monitoring und Reporting ist auch
die Archivierung eine zentrale Komponente
des Logdaten-Managements. Die Logdaten werden
für zukünftige Auswertungen archiviert.
Dabei ist im Vorfeld eindeutig zu regeln,
welche Daten wie lange aufbewahrt werden.
In einigen Branchen regeln gesetzliche Grundlagen
die Aufbewahrungsdauer von bestimmten Daten.
Dies ist zum Beispiel bei Internet-Service-Providern
der Fall. Archivierte Daten werden aus der
zentralen Datenbank gelöscht. Sie müssen
aber jederzeit für situationsbedingte
Auswertungen wieder integriert werden können,
beispielsweise für die Rekonstruktion
eines Vorfalls, der sich vor Monaten abgespielt
hat.
Performance
ist ein entscheidender Erfolgsfaktor
Die Performance des gesamten Logdaten-Management-Systems
hängt nicht nur von der Anzahl der
involvierten Komponenten und der erzeugten
Log-Meldungen ab. Auch die Qualität
der Daten-Aggregation und -Korrelation und
die Leistungsfähigkeit, das Design
und die Grösse der Datenbank spielen
eine wesentliche Rolle. Am Markt bieten
unterschiedliche Hersteller zentrale Logdaten-Management-Lösungen
an. Vor der Beschaff ung einer Lösung
müssen klare Ziele in einem Logdaten-Management-Konzept
definiert sein. Bestandteile eines solchen
Konzepts sind die oben erwähnten Prozesse
wie Monitoring, Reporting, Incident Management
und Archivierung. Eine Schätzung der
Anzahl Meldungen ist für die Dimensionierung
der Lösung unumgänglich. Zudem
ist die Performance der Lösung ein
kritischer Erfolgsfaktor, der sowohl für
den optimalen Nutzen der Investition, als
auch für die hohe Akzeptanz des Systems
bei den Mitarbeitern ausschlaggebend ist.
top
 |
