Log-Management – was genau es ist und wozu Sie es brauchen

Wer im digitalen Zeitalter wettbewerbsfähig sein und vor allem bleiben will, der investiert kontinuierlich in neue Hardware und Software für die eigene Infrastruktur. Ein Problem der stetigen Neuerungen sind die potenziellen Schwachstellen, die sie mit sich bringen.

Solange  sie nicht gepatcht sind, besteht die Gefahr, dass Angreifer sie ausnutzen, um beispielsweise die Konfiguration eines Geräts zu ändern oder unbefugte Änderungen an wichtigen Dateien vorzunehmen. Jedes dieser Szenarien ist geeignet, einem Angreifer einen ersten Zugang zum Netzwerk zu verschaffen. Von dort aus bewegt er sich in der typischen lateralen Weise vorwärts zu anderen Systemen, von denen er Daten abzieht oder anderweitig Schaden anrichtet. 

Sicherheitskonfigurationsmanagement (Security Configuration Management, SCM) und File Integrity Monitoring (FIM) helfen Unternehmen dabei, einige dieser Risiken in den Griff zu bekommen und die Angriffsfläche zu verkleinern. Eine Infrastruktur angemessen zu schützen gelingt jedoch nur dann, wenn man eine genaue Vorstellung davon hat, was in der betreffenden Umgebung vor sich geht.

Um diesen Grad von Transparenz zu erlangen, braucht man das Log-Management.

Die Grundlagen verstehen

Um sich einen groben Überblick zu verschaffen, muss man zunächst die Grundlagen verstehen. Dazu zählt die Funktionsweise von Protokollen. Jedes Ereignis in einem Netzwerk generiert Daten, und diese Informationen finden ihren Weg in die Protokolle. Also in Aufzeichnungen, die von Betriebssystemen, Anwendungen und anderen Geräten erstellt werden. Diese Protokolle sind entscheidend, um beim Thema Sicherheit die nötige Transparenz zu schaffen. Wenn Unternehmen diese Datensätze nicht erfassen, speichern und analysieren, setzen sie sich einem hohen Risiko digitaler Angriffe aus.

Das Center for Internet Security (CIS) stimmt dieser Einschätzung zu und das erklärt, warum die gemeinnützige Organisation Log-Management in Version 8 seiner Critical Security Controls (CSC) aufgenommen hat. Dies ist auch der Grund, warum das CIS drei der zwölf mit CIS Controls 8 verbundenen Schutzmaßnahmen aufgenommen hat. Audit Log-Management in seiner ersten Implementation Group (IG1) ist ein Weg zur Priorisierung und dient der grundlegenden Cyber-Hygiene. Log Management ist ein zentraler Sicherheitsbaustein. Wenn Unternehmen es versäumen an dieser Stelle zu investieren, setzen sie damit sämtliche Bemühungen bei der Bedrohungserkennung aufs Spiel. 

Als ein Beispiel stellt das CIS hier die Risiken durch unzureichendes Log-Management in einen Kontext: Die Erfassung und Analyse von Protokollen ist entscheidend für die Fähigkeit eines Unternehmens, bösartige Aktivitäten schnell zu erkennen. Manchmal sind Audit-Aufzeichnungen der einzige Beweis für einen erfolgreichen Angriff. Angreifer wissen, dass viele Unternehmen Audit-Logs zu Compliance-Zwecken führen, diese aber nur selten analysieren. Angreifer nutzen dieses Wissen, um ihren Standort, eine Schadsoftware und die Aktivitäten auf den Rechnern der Opfer zu verbergen.

Sind die Prozesse zur Analyse von Protokollen unzureichend oder fehlen sie gänzlich, haben Angreifer nicht selten monate-  oder jahrelang die Kontrolle über die Computer ihrer Opfer, ohne dass jemand im Zielunternehmen davon weiß. Log-Management ist auch für die Incident Response unerlässlich. Heutzutage nutzen digitale Angreifer die Komplexität von Netzwerkumgebungen für die laterale Fortbewegung und das Abziehen von Daten. Dies erschwert es einem Sicherheitsteam, herauszufinden, was genau bei einem Sicherheitsvorfall passiert ist. Ohne vollständige Protokollaufzeichnungen analysieren zu können, ist das volle Ausmaß eines Angriffs schwer zu bestimmen.

Das Log-Management-Verfahren

Ein vollständiges Log-Management-Verfahren besteht aus fünf Komponenten:

1. Erfassung

Firmen sollten Protokolle über verschlüsselte Kanäle erfassen. Im Idealfall verfügt eine Log-Management-Lösung über verschiedene Methoden, um Protokolle zu erfassen und empfiehlt die für diesen Fall zuverlässigste. Grundsätzlich sollten Unternehmen, wann immer möglich, eine agentenbasierte Erfassung einsetzen. Diese Methode ist im Allgemeinen sicherer und zuverlässiger als ihr agentenfreies Gegenstück.

2. Speichern

Wenn die Protokolle erfasst worden sind, sollten Firmen diese Daten sichern, komprimieren, verschlüsseln, speichern und archivieren. Dazu kann man zusätzlichen Funktionen in Log-Management-Lösungen nutzen, z. B. um den geografischen Speicherort der Protokolle festzulegen. Solche Funktionen tragen dazu bei, Compliance-Anforderungen zu erfüllen und Skalierbarkeit zu gewährleisten.

3. Suche

Unternehmen sollten sicherstellen, dass sie ihre Protokolle nach dem Speichern auch wiederfinden. Dazu indiziert man die Aufzeichnungen so, dass sie über Klartext-, REGEX- und API-Abfragen auffindbar sind. Eine umfassende Log-Management-Lösung erlaubt es, jede Log-Suche mit Filtern und Klassifizierungs-Tags zu optimieren. Sie sollte es zudem gestatten, Rohprotokolle anzuzeigen, umfassende und detaillierte Abfragen durchzuführen und mehrere Abfragen gleichzeitig zu vergleichen.

4. Korrelation

Unternehmen sollten Regeln definieren, mit deren Hilfe sie interessante/auffällige Ereignisse erkennen und automatisierte Aktionen auslösen können. Natürlich treten die meisten Ereignisse nicht auf einem einzigen Host und innerhalb eines einzigen Protokolls auf. Daher sollten Firmen nach einer Log-Management-Lösung suchen, mit der sich Korrelationsregeln entsprechend der individuellen Bedrohungen und Anforderungen der jeweiligen Umgebungen aufstellen lassen. Zusätzlich sollte man weitere Datenquellen wie Schwachstellen-Scans und Asset-Inventare importieren können.

5. Output

Die Unternehmen sollten anschließend die Protokollinformationen über Dashboards, Berichte und per E-Mail an verschiedene Benutzer und Gruppen weitergeben können. Eine Log-Management-Lösung sollte diesen Datenaustausch mit anderen Systemen und dem Sicherheitsteam erleichtern.