Wer im digitalen Zeitalter wettbewerbsfähig sein und vor allem bleiben will, der investiert kontinuierlich in neue Hardware und Software für die eigene Infrastruktur. Ein Problem der stetigen Neuerungen sind die potenziellen Schwachstellen, die sie mit sich bringen.
Solange sie nicht gepatcht sind, besteht die Gefahr, dass Angreifer sie ausnutzen, um beispielsweise die Konfiguration eines Geräts zu ändern oder unbefugte Änderungen an wichtigen Dateien vorzunehmen. Jedes dieser Szenarien ist geeignet, einem Angreifer einen ersten Zugang zum Netzwerk zu verschaffen. Von dort aus bewegt er sich in der typischen lateralen Weise vorwärts zu anderen Systemen, von denen er Daten abzieht oder anderweitig Schaden anrichtet.
Sicherheitskonfigurationsmanag
Um diesen Grad von Transparenz zu erlangen, braucht man das Log-Management.
Die Grundlagen verstehen
Um sich einen groben Überblick zu verschaffen, muss man zunächst die Grundlagen verstehen. Dazu zählt die Funktionsweise von Protokollen. Jedes Ereignis in einem Netzwerk generiert Daten, und diese Informationen finden ihren Weg in die Protokolle. Also in Aufzeichnungen, die von Betriebssystemen, Anwendungen und anderen Geräten erstellt werden. Diese Protokolle sind entscheidend, um beim Thema Sicherheit die nötige Transparenz zu schaffen. Wenn Unternehmen diese Datensätze nicht erfassen, speichern und analysieren, setzen sie sich einem hohen Risiko digitaler Angriffe aus.
Das Center for Internet Security (CIS) stimmt dieser Einschätzung zu und das erklärt, warum die gemeinnützige Organisation Log-Management
Als ein Beispiel stellt das CIS hier die Risiken durch unzureichendes Log-Management in einen Kontext: Die Erfassung und Analyse von Protokollen ist entscheidend für die Fähigkeit eines Unternehmens, bösartige Aktivitäten schnell zu erkennen. Manchmal sind Audit-Aufzeichnungen der einzige Beweis für einen erfolgreichen Angriff. Angreifer wissen, dass viele Unternehmen Audit-Logs zu Compliance-Zwecken führen, diese aber nur selten analysieren. Angreifer nutzen dieses Wissen, um ihren Standort, eine Schadsoftware und die Aktivitäten auf den Rechnern der Opfer zu verbergen.
Sind die Prozesse zur Analyse von Protokollen unzureichend oder fehlen sie gänzlich, haben Angreifer nicht selten monate- oder jahrelang die Kontrolle über die Computer ihrer Opfer, ohne dass jemand im Zielunternehmen davon weiß. Log-Management ist auch für die Incident Response unerlässlich. Heutzutage nutzen digitale Angreifer die Komplexität von Netzwerkumgebungen für die laterale Fortbewegung und das Abziehen von Daten. Dies erschwert es einem Sicherheitsteam, herauszufinden, was genau bei einem Sicherheitsvorfall passiert ist. Ohne vollständige Protokollaufzeichnungen analysieren zu können, ist das volle Ausmaß eines Angriffs schwer zu bestimmen.
Das Log-Management-Verfahren
Ein vollständiges Log-Management-Verfahren besteht aus fünf Komponenten:
1. Erfassung
Firmen sollten Protokolle über verschlüsselte Kanäle erfassen. Im Idealfall verfügt eine Log-Management-Lösung über verschiedene Methoden, um Protokolle zu erfassen und empfiehlt die für diesen Fall zuverlässigste. Grundsätzlich sollten Unternehmen, wann immer möglich, eine agentenbasierte Erfassung einsetzen. Diese Methode ist im Allgemeinen sicherer und zuverlässiger als ihr agentenfreies Gegenstück.
2. Speichern
Wenn die Protokolle erfasst worden sind, sollten Firmen diese Daten sichern, komprimieren, verschlüsseln, speichern und archivieren. Dazu kann man zusätzlichen Funktionen in Log-Management-Lösungen nutzen, z. B. um den geografischen Speicherort der Protokolle festzulegen. Solche Funktionen tragen dazu bei, Compliance-Anforderungen zu erfüllen und Skalierbarkeit zu gewährleisten.
3. Suche
Unternehmen sollten sicherstellen, dass sie ihre Protokolle nach dem Speichern auch wiederfinden. Dazu indiziert man die Aufzeichnungen so, dass sie über Klartext-, REGEX- und API-Abfragen auffindbar sind. Eine umfassende Log-Management-Lösung erlaubt es, jede Log-Suche mit Filtern und Klassifizierungs-Tags zu optimieren. Sie sollte es zudem gestatten, Rohprotokolle anzuzeigen, umfassende und detaillierte Abfragen durchzuführen und mehrere Abfragen gleichzeitig zu vergleichen.
4. Korrelation
Unternehmen sollten Regeln definieren, mit deren Hilfe sie interessante/auffällige Ereignisse erkennen und automatisierte Aktionen auslösen können. Natürlich treten die meisten Ereignisse nicht auf einem einzigen Host und innerhalb eines einzigen Protokolls auf. Daher sollten Firmen nach einer Log-Management-Lösung suchen, mit der sich Korrelationsregeln entsprechend der individuellen Bedrohungen und Anforderungen der jeweiligen Umgebungen aufstellen lassen. Zusätzlich sollte man weitere Datenquellen wie Schwachstellen-Scans und A
5. Output
Die Unternehmen sollten anschließend die Protokollinformationen über Dashboards, Berichte und per E-Mail an verschiedene Benutzer und Gruppen weitergeben können. Eine Log-Management-Lösung sollte diesen Datenaustausch mit anderen Systemen und dem Sicherheitsteam erleichtern.