Security und Compliance out of the Box

Security: Der Weg zum zentralisierten Logmanagement über zehn Hürden

Pierre Gronau

©Shutterstock / PioneerMountainHomestead

Logmanagement sticht in der Gesamtheit aller IT-Sicherheitsmaßnahmen als eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen heraus. Seine Funktionen ermöglichen eine ganzheitliche Betrachtung auf die IT-Sicherheit und bilden ein Frühwarnsystem bei Auffälligkeiten und Anomalien.

Relevante Daten, die zuverlässig Auskunft über die aktuellen Sicherheitslevel von IT-Strukturen geben, fallen im Unternehmen vielerorts und in verschiedenen Formaten an. Voneinander separiert sind sie jedoch häufig nicht aussagekräftig genug, um auf Ereignisse oder konkrete Angriffe zu schließen. Wieviel leichter und schneller ließen sich Abweichungen von Mustern erkennen, wenn Mitarbeiter alle wesentlichen Protokolldaten zentralisiert vorfänden? In der Zusammenführung dieser Daten, der Auflösung sicherheitsgefährdender Datensilos, in Echtzeitanalysen von Protokollen und Zwischenfällen sowie klaren Benachrichtigungskonzepten liegen die Kompetenzen von Lösungen für Logmanagement. Damit Unternehmen hier ihre Hausaufgaben zeitnah erledigen können, sind sie auf Out-of-the-Box-Lösungen angewiesen. Damit sind Systeme gemeint, die auch die Komplexität reduzieren und Prozesse vereinfachen. Dieser Beitrag beschreibt einen möglichen Best Case in Form eines Logmanagementkonzepts über mehrere Etappen.

Artikelserie

  • Teil 1: Warum brauchen wir jetzt Security as a Service, Compliance as a Service?
  • Teil 2: Die DSGVO wird als Stammgast in die Unternehmen einziehen
  • Teil 3: Die DSGVO und die Blockchain – ein leichtes Unterfangen?
  • Teil 4: Security und Compliance out of the Box

Aller Anfang ist Identität

Sichere Identitäten gelten als wesentlicher Ausgangspunkt für Sicherheitsketten, um Datenerhebung, -transport und -verarbeitung auf Hardware-, Software- und Prozessebene abzusichern. Damit bilden sie die Voraussetzung für viele weitere Schutzmaßnahmen, die Unternehmen in puncto Informationssicherheit ergreifen sollten, um sich compliant und wettbewerbsfähig aufzustellen. Denn klar ist: Sobald es einem Angreifer gelingt, sich unberechtigt einer Identität zu bemächtigen, laufen alle darauf aufbauenden Maßnahmen, beispielsweise der Zugriffsschutz, ins Leere. So bietet die Gewährleistung sicherer Identitäten über automatisierte Kommunikation ein solides Startglied in der Vertrauenskette.

Mit der Einführung eines definierten Prozesses leiten IT-Verantwortliche die notwendigen organisatorischen Veränderungen ein, legen eine Strategie fest und nutzen Hilfsmittel zur Erreichung der Sicherheitsziele. Aufgrund der übergeordneten Bedeutung des Sicherheitsprozesses betrachte ich diesen im nachfolgenden Abschnitt detaillierter.

Die W-Fragen beantworten

Logmanagement ist ein wesentlicher Bestandteil des Managementsystems für Informationssicherheit (englisch kurz ISM) und eine der dringlichsten Aufgaben bei der sicheren Ausgestaltung von ITK-Systemen. Hier genießt die Sicherstellung der Authentizität des jeweiligen Nutzers oberste Priorität. Pharmazie, Lebensmittelbranche und chemische Industrie achten seit jeher darauf. Organisationen wie die Food and Drug Administration (FDA) in den USA und die europäische Verordnung REACH (Registration, Evaluation, Authorisation and Restriction of Chemicals) aus dem Jahr  2007 haben in diesen Branchen zu einer erheblichen Regulierung geführt, die wiederum eine Nachvollziehbarkeit der Frage „Wer hat wann wie mit welcher Charge der Substanz an welchem Produktionsschritt mitgearbeitet?“ impliziert. Folglich ist die persönliche Anmeldung eines Mitarbeiters an einer Anlage der chemischen Industrie durchaus üblich, während andere Branchen diese Ansätze bisher nur teilweise verfolgten. Mögliche Gründe sind Vorbehalte gegenüber vermuteter Arbeitnehmerüberwachung oder technische Probleme. Jenseits dieser Bedenken liegt auf der Hand, dass die Nachvollziehbarkeit von Handlungen und eine persönliche Zuordenbarkeit nur durch die Nutzung persönlicher Nutzerkonten an den Endgeräten erreicht werden kann. Die geteilte Nutzung von Arbeitsrechnern, Kassensystemen oder Maschinen durch diverse Anwender macht die Verwaltung einer weitaus größeren Zahl an Konten erforderlich. Diese Personalisierung der Benutzerkonten führt wiederum zum Bedarf, diese auch auf einer Vielzahl von Geräten parallel und effizient zu verwalten. Zumindest sollte eine persönliche Zuordenbarkeit auf Ebene der Anwendung möglich sein, wenn der Zugang zu den Betriebssystemen aus technischen Gründen nicht personalisiert werden kann oder soll.

Logzentralisierung

Letztlich ist nicht auszuschließen, dass es zu Unregelmäßigkeiten oder offensichtlich missbräuchlicher Nutzung von Anwendungen und Applikationen kommt. Hier müssen Administratoren detailliert nachverfolgen können, wer, wann, wo zugegriffen und welche Änderungen vorgenommen hat. Dies setzt jedoch voraus, dass die Anwendung entsprechend detaillierte Protokollierungsdateien erzeugt, diese speichert und sie auch über längere Zeitfenster möglichst unveränderbar zentral vorhält. Im Sinne einer in der IT üblichen Logzentralisierung erweisen sich Funktionen zur direkten, zugriffgeschützten Speicherung der Protokolle auf einem zumindest logisch abgesetzten Logmanagementserver als sinnvoll. Idealerweise beachten Entscheider hier Standardformate, wie sie etwa durch Syslog, Log Event Extended Format (LEEF), Common Event Format (CEF), DMTFs Common Information Model (CIM) oder Cloud Auditing Data Federation (CADF) vorgegeben werden. Dies erleichtert die zentrale Auswertung und Korrelation von Meldungen und ermöglicht die Definition zentraler Schwellenwerte (Thresholds). Dazu gehört auch die Alarmierung der IT-Sicherheit, falls mit einem Benutzerkonto mehrfach innerhalb kurzer Zeit an diversen Geräten erfolglose Zugriffsversuche unternommen werden. Diese Benachrichtigung erfolgt am besten vornehmlich über die Nutzung von sogenannten Security-Information-und-Event-Management-Lösungen (SIEM). In diesem Zusammenhang sollten Entscheider eine skalierbare Lösung wählen, da zum einen wirklich umfangreiche Datensammlungen entstehen können und Angreifer zum anderen mit Distributed-Denial-of-Service-(DDoS-)Attacken bewusst die Grenzen solcher Systeme auszuloten versuchen, um nicht protokollierten Schabernack zu treiben.

Die Notwendigkeit von Logmanagement ergibt sich aus dem Dreiklang von gesetzlichen Auflagen, notwendiger Analyse von Sicherheitsvorfällen und kontinuierlichen Analyseprozessen wie bei der Hardware-/Softwareentwicklung. Dabei folgt effizientes Logmanagement stets diesem Prozess: Annahme -> Verarbeitung -> Auswertung -> Visualisierung.

Abb. 1: Logmanagement ist ein Prozess, kein Produkt

Abb. 1: Logmanagement ist ein Prozess, kein Produkt

Jeder, der am Logmanagement beteiligt ist, sollte umfänglich begreifen, dass sich hinter dem Begriff mitnichten ein fertiges Produkt verbirgt, sondern Logmanagement ein Prozess (Abb. 1) ist, der sich jedoch zum größten Teil automatisieren lässt. Dementsprechend liegt der wahre Nutzen im Wissensmanagement, im internen Aufbau von Logging-Know-how. Dazu gehören zwangsläufig der Aufbau von Strukturen, die Definition aller personenbezogenen Daten im Betrieb, eine sinnhafte Archivierung der Protokolle sowie eine flankierende Konzernbetriebsvereinbarung (KBV).

Vom Log- zum Protokollmanagement

In den letzten zehn Jahren hat die Weiterentwicklung verteilter Systeme neue Komplexitäten in der Verwaltung von Protokolldaten geschaffen. Heutige Systeme können Tausende von Serverinstanzen oder Microservices-Container enthalten, die jeweils ihre eigenen Protokolldaten erzeugen. Mit der raschen Entstehung und Dominanz von Cloud-basierten Systemen erleben wir ein explosionsartiges Wachstum maschinell generierter Protokolldaten. Infolgedessen ist das Protokollmanagement zu einem wesentlichen Grundpfeiler eines modernen IT-Betriebs geworden und unterstützt eine Reihe von Anwendungsfällen wie Debugging, Produktions- und Leistungsüberwachung, Support und Fehlerbehebung. Da kann es in der Praxis durchaus vorkommen, dass Unternehmen bis zu einem halben Petabyte Daten prozessieren müssen.

Big Protocol Data

Während verteilte Systeme eine hohe Effizienz in Bezug auf die Skalierbarkeit bieten, stellen sie Teams, die sich auf Protokolldaten beziehen, vor Herausforderungen: Wo sollen sie anfangen und welchen Aufwand benötigen sie, um die benötigten Protokolldateien zu finden? IT-Administratoren, DevOps-Profis und Mitarbeiter, die den protokollerstellenden Systemen am nächsten stehen, haben die Aufgabe, dezentrale Protokolldateien unter Einhaltung von Sicherheits- und Complianceanforderungen zu verwalten. Entwickler und Ingenieure, die Probleme auf Anwendungsebene beheben müssen, könnten sich durch den Zugriff auf Protokolldateien auf Produktionsniveau eingeschränkt fühlen. Betriebs-, Entwicklungs-, Datenwissenschaftler- und Supportteams, die Einblicke in das Benutzerverhalten für Trendanalysen und Fehlerbehebungen benötigen, fehlt oft das technische Fachwissen, das erforderlich ist, um Protokolldaten effizient zu nutzen. Angesichts dieser Herausforderungen ist es wichtig, bei der Implementierung einer Protokollierungslösung für Unternehmen Best Practices unbedingt zu berücksichtigen.

Der Weg zum Log- und Protokollmanagement über zehn Hürden

1. Die passende Strategie

Die Grundannahme muss stets sein, dass sich kein Mitarbeiter blind einloggen darf. Vor jedem Logvorgang muss vielmehr die sorgfältige Überlegung stehen, was das Unternehmen protokollieren möchte und warum. Die Protokollierung muss, wie jede wichtige IT-Komponente, eine klare Strategie verfolgen. Schon bei der Strukturierung des DevOps-Set-ups und selbst bei der Veröffentlichung jeder neuen Funktion achten IT-Leiter oder IT-Administratoren im Idealfall darauf, dass sie einen organisierten Protokollierungsplan beifügen. Ohne eine genau definierte Strategie kann die Menge permanent anwachsender Protokolldaten ausschließlich manuell verwaltet werden, was letztendlich den Prozess der Identifizierung wichtiger Informationen erschwert. Dieser Protokollierungsplan sollte Anweisungen enthalten, ob personenbezogene Daten, Archivierungsanforderungen oder Ähnliches involviert sind.

Ein Tipp am Rande: Wenn eine IP angegeben ist, geht die Rechtsprechung eigentlich fast immer davon aus, dass die EU-DSGVO im Spiel ist.

Bei der Entwicklung einer Logging-Strategie sollten Verantwortliche definieren, was aus Unternehmenssicht Priorität besitzt und welche Werte sie von den Logs erwarten. Ein guter Plan enthält Protokollierungsmethoden und -werkzeuge, Datenaufbewahrungsstandorte und vor allem eine Vorstellung von den spezifischen Informationen, nach denen Mitarbeiter suchen.

2. Strukturierung der Logdaten

Parallel zur Entwicklung einer Protokollierungsstrategie ist es wichtig, das Format der Protokolle zu berücksichtigen. Wer effektive Protokollierungsformate nicht versteht, kann aus den hinterlegten Informationen keine Erkenntnisse gewinnen. Logstrukturen sollten klar und verständlich sein, sowohl aus der Sicht des Menschen als auch aus IT-Sicht. Lesbare Protokolle machen potenzielle Fehlerbehebungen einfacher. Die Simplifizierung ermöglicht es zudem, dass Protokollverwaltungsdienste die Informationen weiterverarbeiten; bessere Analysemöglichkeiten und Optionen zu Datenvisualisierungen sind die positiven Folgen. Zwei gängige Protokollstrukturierungsformate sind JSON und KVP (Key Value Pair). Beide liefern kohärente Protokolldaten für das menschliche Verständnis und ermöglichen es, Softwarelösungen für die Protokollierung und Informationen aus einem semistrukturierten Format zu extrahieren.

3. Protokolldaten separieren und zentralisieren

Protokolle sollten immer automatisch gesammelt und zeitnah an einen zentralen Ort geschickt werden – getrennt von ihrer Ursprungsumgebung. Die Konsolidierung von Protokolldaten erleichtert die organisierte Verwaltung und erweitert die Analysefunktionen, sodass Verantwortliche Cross-Analysen effizient durchführen und Korrelationen zwischen verschiedenen Datenquellen identifizieren können. Die Zentralisierung von Protokolldaten reduziert auch das Risiko des Datenverlusts in einer Umgebung mit automatischer Skalierung. Eine Weiterleitung von Protokolldaten an einen zentralen Ort ermöglicht es Systemadministratoren, Entwicklern, QS- und Supportteams, Zugriff auf die Daten zu gewähren, ohne Zugang zum Ursprungssystem bereitzustellen. Dadurch können diese Teams Protokolldaten verwenden, um Probleme zu beheben, ohne ins Herz der IT-Strukturen vordringen zu müssen. Die Replikation und Isolierung von Protokolldaten minimiert auch das Risiko, dass Angreifer Protokolldaten löschen oder manipulieren, um Sicherheitsverletzungen zu verbergen. Selbst wenn das System gefährdet ist, bleiben die Protokolle somit intakt.

4. End-to-end-Protokollierung

Um häufig auftretende Komplexitäten bei der Fehlerbehebung zu überwinden und eine ganzheitliche Sicht auf Anwendungen und Systeme zu erhalten, sollten Systemadministratoren alle Systemkomponenten überwachen und protokollieren. IT-Mitarbeiter sollten daran denken, aus Serverprotokollen wie zum Beispiel Windows-Sicherheitsprotokollen zu protokollieren. Ebenso wichtig ist jedoch die Protokollierung aller relevanten Metriken und Ereignisse aus der zugrunde liegenden Infrastruktur, den Anwendungsschichten und den Endbenutzerclients. Die End-to-end-Protokollierung ermöglicht es, die Leistung der Systeme aus Sicht des Endnutzers zu verstehen. Dies gelingt, wenn Systemadministratoren Faktoren wie Netzlatenz, Seitenladezeiten und Verzögerungen bei Datenbanktransaktionen aufzeichnen und berücksichtigen. Die hierdurch erzeugte Transparenz gewährleistet eine nahezu nahtlose Benutzerführung.

5. Datenquellen verknüpfen

Die End-to-end-Protokollierung an einem zentralen Ort ermöglicht es Verantwortlichen, Datenströme aus diversen Quellen wie Anwendungen, Servern, Middleware, Benutzern und Content Delivery Networks (CDNs) dynamisch zu aggregieren, um die wichtigsten Trends und Kennzahlen in Beziehung zueinander zu setzen. Die Korrelation von Daten unterstützt dabei, Ereignisse, die Systemstörungen verursachen, schnell und sicher zu identifizieren und zu verstehen. So kann beispielsweise das Aufdecken von nahezu Echtzeitkorrelationen zwischen der Nutzung von Infrastrukturressourcen und Anwendungsfehlerraten helfen, Anomalien zu identifizieren und zu reagieren, bevor Endnutzer betroffen sind. Dies beschränkt sich nicht nur auf Cyberattacken, sondern eröffnet auch neue Blickwinkel für die Entwicklung und den Betrieb.

6. Eindeutige Identifikatoren verwenden

Eindeutige Identifikatoren sind nützlich im Debugging, Support und bei Analysen. Sie erlauben es, komplette Benutzersitzungen und Aktionen einzelner Benutzer genau zu verfolgen. Wenn IT-Mitarbeiter die eindeutige ID eines Benutzers kennen, können sie die Suche nach allen Aktionen filtern, die dieser Benutzer in einem bestimmten Zeitraum durchgeführt hat. Bei einer Aufschlüsselung seiner Aktivität lässt sich eine gesamte Transaktion vom ersten Klick bis zur ausgeführten Datenbankabfrage verfolgen.

7. Kontext hinzufügen

Sobald Protokolle als Daten verwendet werden, ist es wichtig, den Kontext jedes Datenpunkts zu berücksichtigen. Hier ein Beispiel aus der Industrie: Zu wissen, dass ein Arbeiter auf eine Schaltfläche geklickt hat, ist möglicherweise nicht so nützlich, wie zu wissen, dass er beispielsweise gezielt auf die Schaltfläche Verbrauchsmaterial bestellen geklickt hat. Das Hinzufügen eines weiteren Kontexts kann die Art der Aktion aufzeigen. So kann bei einer Maschine nach Überschreiten eines Schwellenwerts automatisch ein Techniker angefordert werden, wenn die Protokolldaten Verschleiß der Maschine anzeigen. Wenn der Klick des Mitarbeiters zu einem Fehler geführt hat, erleichtert der verfügbare Kontext eine schnellere Lösung.

8. Echtzeitüberwachung durchführen

Service-Unterbrechungen haben im Endkundengeschäft eine Vielzahl unglücklicher Folgen – darunter missgelaunte Kunden, verlorene Bestellungen und fehlende Daten. Wenn im produzierenden Gewerbe beispielsweise Probleme auf Produktionsniveau auftreten, kann eine nahezu Echtzeitüberwachungslösung entscheidend sein, da oftmals jede Sekunde zählt. Neben einfachen Benachrichtigungen entscheidet die Fähigkeit, Probleme zu untersuchen und wichtige Informationen mit geringem Zeitversatz zu identifizieren. Eine „Live Tail“-Sicht auf ihre Protokolldaten kann Entwickler und Administratoren befähigen, Protokollereignisse nahezu in Echtzeit zu analysieren, wenn Benutzer mit ihren Anwendungen oder Systemen interagieren. Die Live-Tail-Suche und -Berichterstattung ermöglicht es den Supportteams zudem, Kundenprobleme zu untersuchen und zu lösen, sobald sie auftreten.

9. Verwenden Sie Protokolle, um wichtige Trends zu identifizieren

Fehlerbehebung und Debugging kratzen nur an der Oberfläche der Protokolldaten. Während Protokolle früher als schmerzhafte letzte Möglichkeit galten, Informationen zu finden, können die heutigen Protokollierungsdienste jeden – vom Entwickler bis zum Datenwissenschaftler – befähigen, nützliche Trends und wichtige Erkenntnisse aus ihren Anwendungen und Systemen zu identifizieren.

Die Behandlung von Protokollereignissen als Daten schafft die Möglichkeit, statistische Analysen zukünftig auch mit künstlicher Intelligenz (KI) auf Benutzerereignisse und Systemaktivitäten anzuwenden. Die Berechnung von Durchschnittswerten hilft, anomale Werte besser zu identifizieren. Die Gruppierung von Ereignistypen und Summenwerten ermöglicht es zudem, Ereignisse über die Zeit zu vergleichen. Diese Einblicke öffnen die Tür zu besser fundierten Geschäftsentscheidungen auf der Grundlage von Daten, die außerhalb der Protokolle oft nicht verfügbar sind.

10. Das gesamte Team stärken

Ein Protokollverwaltungs- und Analysedienst, der nur einem hochtechnisierten Team zugänglich ist, schränkt die Möglichkeiten des Unternehmens, von Protokolldaten zu profitieren, erheblich ein. Protokollmanagement- und Analysetools sollte Entwicklern Live-Tail-Debugging, Administratoren Echtzeitalarmierung, Datenwissenschaftlern aggregierte Datenvisualisierungen und Supportteams Livesuch- und Filterfunktionen bieten, idealerweise ohne dass jemand jemals auf die Produktionsumgebung zugreifen muss.

Abb. 2: Die zehn Hürden auf dem Weg zum Log- und Protokollmanagement

Abb. 2: Die zehn Hürden auf dem Weg zum Log- und Protokollmanagement

Security out of the box: Unterstützung für aufwändige Strukturen

Der in Abbildung 2 skizzierte Hürdenlauf ist aufwendig und kann IT-Mitarbeiter-Ressourcen, gerade in IT-Arbeitsplatz-intensiven Großunternehmen, belasten. Ich empfehle Open-Source-Lösungen, die Protokolle wie Logfiles aus allen Systemen, Komponenten und von Endgeräten sammeln und strukturieren. Auf Basis erkannter Anomalien identifizieren sie automatisiert ungewünschte Zugriffe, Hackerangriffe und Übertragungsabbrüche. Hilfreich sind Werkzeuge, die Anomalien visualisieren und Verantwortlichen so als Basis für die Ergreifung geeigneter Sicherheitsmaßnahmen dienen.

Verwandte Themen:

Geschrieben von
Pierre Gronau
Pierre Gronau
Pierre Gronau ist Gründer der Gronau IT Cloud Computing GmbH. Seit zwanzig Jahren arbeitet er als Senior-IT-Berater mit umfangreicher Projekterfahrung. Zu seinen Kompetenzfeldern gehören Servervirtualisierungen, Cloud Computing und Automationslösungen sowie Datensicherheit und IT-Datenschutz. Seine Analyse- und Lösungskompetenz dient Branchen von Gesundheitswesen bis Automotive, von Telekommunikation bis Finanzwesen als Orientierung für Unternehmensentwicklung in puncto Digitalisierungsstrategien und IT-Sicherheitskonzepte.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: