6 Tipps für den erfolgreichen Einsatz von Log-Management

Transkript

1 E-Guide 6 Tipps für den erfolgreichen Einsatz von Log-Management Herausgegeben von: John Kindervag Seite 1

2 Professioneller Guide für das Log Management In diesem E-Guide erläutert der Autor sechs praktische Tipps für den erfolgreichen Einsatz von Log Management und gleichzeitig verringertem Verwaltungsaufwand für die Log-Daten. Zusätzlich wird erklärt, wie man eine effektive Strategie für Ereignisprotokolle entwirft, um bestimmte Sicherheitsanforderungen zu erfüllen. Inhalt Log Management: 6 Schritte zum Erfolg PCI-Anforderungen an das Log Management Seite 2

3 Log Management: 6 Schritte zum Erfolg Mit dem richtigen Log Management Tool kann man den Verwaltungsaufwand der Log-Daten in einem Unternehmen bereits erheblich reduzieren. Allerdings kann sich ein anfangs gutes Tool sehr schnell zu einem schlechten entwickeln, nämlich dann, wenn die Firma nicht bereit ist, die benötigte Zeit und Mühe zu investieren, um das Beste aus dem Tool herauszuholen. Der Autor zeigt Ihnen jetzt sechs bewährte Methoden, die eine erfolgreiche Anwendung des Log Managements garantieren. 1. Ein Handbuch macht aus einem Narren noch keinen Handwerker! Hüten Sie sich, Millionen von Euro für ein Log-Management-System auszugeben, ohne dabei die erforderliche Zeit für dessen Installation und sachgemäße Verwaltung einzuplanen. Log-Management-Systeme müssen so konfiguriert sein, dass sie Daten und Ereignisse, die für das Unternehmen von Bedeutung sind, analysieren, sodass die Log-Nachrichten sowohl einen betriebswirtschaftlichen, als auch technischen Wert enthalten. Ein weiterer beliebter Fehler besteht darin, einen vom System ausgelösten Alarm nicht ausführlich genug zu betrachten bzw. zu analysieren, sodass wichtige sicherheitsrelevante Ereignisse unbemerkt bleiben. Machen Sie nicht den Fehler sich blindlings auf die neueste Log-Management-Technologie zu stürzen, ohne den dabei unbedingt erforderlichen Zweitaufwand aufzubringen zu können. 2. Rationalisieren Sie Ihre Ausschreibung, indem Sie die Anforderungen vorab definieren. Die Erstellung einer Ausschreibung ist sehr zeitintensiv, doch einige Bedingungen können, sobald einmal festgelegt, bei künftigen Angebotsanfragen wiederverwendet werden. Das ist gerade bei Anforderungen an die Protokollierung häufig der Fall, da das, was erforderlich ist (Format der Log-Datei, Welche Daten auf der Log-Datei gesichert werden) im Grunde gleich bleibt. Ein weiterer Vorteil vordefinierter Anforderungen besteht darin, dass die vorher bestimmten Anforderungen während der Rationalisierung der Ausschreibung nicht ungewollt verändert werden können. Seite 3

4 3. Stellen Sie sicher, dass alle notwendigen Informationen vorhanden sind! Um effektive Korrelationsregeln aufstellen zu können, benötigt das Log- Management-System ausreichend Kontextdaten zur Analyse. Welchen genauen Ursprung, beispielsweise, hatte dieser Traffic oder diese Aktivität? Zur Beantwortung dieser Frage benötigt man die Quell-IP-Adresse. Das Log- Management-System muss diese Information also protokollieren, um von der Engine analysiert werden zu können. Was ist damit auf dem Zielobjekt bzw. der Zielanwendung passiert? Möchte ein Unternehmen die Korrelationsregeln und die Warnungen selbst schreiben, müssen solche Aktivitäten in den Log-Daten gespeichert werden. 4. Denken Sie über die bloße Berichterstattung hinaus. Das letzte was die meisten Firmen brauchen sind weitere Listen oder Tabellen mit endlosen Reihen an Daten und Informationen, die darüber hinaus noch nicht einmal über ein übergeordnetes Analysemodell verfügen, das dem Ganzen vielleicht noch etwas Sinn und Übersicht verleihen könnte. Die Alarmierung sollte nicht nur auf Merkmale von Einzelheiten ausgerichtet sein, sondern die Gesamtsituation zu erwartender oder zulässiger Aktivitäten mit einbeziehen. Denken Sie an das Einloggen bei kritischen Datenbanken. Im Durchschnitt gibt es z.b. zwei fehlgeschlagene Login-Versuche. Nun wurde die Passwortabfrage jedoch geändert; von einem simplen, realen Wort, auf eine über achtstellige beliebige Zeichenfolge. Es ist zu erwarten, dass die fehlerhaften Login-Versuche aus Gründen der Gewohnheit in der Anfangsphase zunehmen werden. Intelligente Log-Management- Systeme könnten darauf abgestimmt werden, solche Trends zu beobachten und Feedback an die Administratoren weiterzuleiten, damit sie die aktuellen Informationen eventuell dazu nutzen, die Empfindlichkeit des Alarms vorübergehend anzupassen. Seite 4

5 5. Nutzen Sie Ihre Log-Daten um herauszufinden, was los ist und was los war. Bei Stromausfällen sind Logs prima! denn sehr oft können alle zur Feststellung des Ausfalls nötigen Informationen direkt aus eben jener Log-Datei gewonnen werden. Während eines Notfalls handelt die Belegschaft oft reaktiv und verlässt sich dabei auf ihre Intuition oder Spekulation und auf winzig kleine Bruchstücke von Informationen, die sie dann mühsam zusammenzufügen um letztlich herauszufinden, was hier eigentlich los ist bzw. los war. Logs sind eine Aufzeichnung dessen, was tatsächlich passiert ist. Mit Systemen, die es ihren Mitarbeitern ermöglichen, Berichte in Echtzeit, basierend auf den Informationen zum Ausfall, zu verfassen, liefern die Erkenntnisse, die das Reaktionsteam benötigt, um zu verstehen, was im Netzwerk vor sich geht. 6. Denken Sie nicht nur an Sicherheit Log-Management-Systeme eignen sich hervorragend dazu, Informationen diverser Sicherheitsanwendungen zu sammeln und analysieren um damit ein Sicherheitsbewusstsein zu schaffen; doch diese gewonnenen Informationen können auch für andere Zwecke verwendet werden. Beispielsweise sind Unternehmen in der Lage die Kundenerfahrung Ihrer Top-Ten- Geschäftsbeziehungen zu analysieren. Viele Reporting-Systeme aktueller Webanwendungen, die mit Zählpixeln oder Countern ausgesattet sind, bieten keine detaillierte Übersicht des tatsächlichen Nutzerverhaltens. Anwendungen mit gut konzipierter Ereignisprotokollierung würden das Nutzerverhalten berücksichtigen, und damit die Anwendungsmöglichkeiten des Log- Managements weit über das Thema Sicherheit hinaus ausweiten. Seite 5

6 Einblick in die Compliance-Anforderungen (PCI DSS) im Log-Management Die Ansprüche des Payment Card Industry Data Security Standard (PCI DSS) können komplex sein. Doch ein tieferer Einblick in einige Bereiche, insbesondere in das Event- Log-Management, kann zur Klärung einiger Begriffe beitragen. Viele Firmen sind der Meinung, dass die Protokollierung nach PCI DSS dazu dient, Bedrohungen für ihr Netzwerk zu erkennen. Dabei kann man jedoch nur von einem positiven Nebeneffekt sprechen, denn PCI DSS wurde zum Vorteil der Kreditkarten- Marken eingeführt. In den Anfängen des Kreditkartenzeitalters versuchten die Kartenfirmen mit viel Aufwand herauszufinden, wo Schwachstellen bei der Sicherheit vorlagen. Und wenn sie dann Teams in den Einzelhandel schickten, um die Vorgehensweise der Kriminellen zu untersuchen fanden sie nur wenige Hinweise, die bei der Spurenverfolgung hilfreich hätten sein können. Also beschlossen die Kreditinstitute Bedingungen bei der Protokollierung einzuführen, um den Karteninhaber besser zu schützen und bei Kreditkartenbetrug nicht länger im Dunklen tappen zu müssen. Schließlich wurden diese Bedingungen als PCI DSS bekannt. Wenn man den Sinn hinter diesen Bedingungen versteht, fällt Unternehmen die Umsetzung des Event-Log-Managements und damit die optimale Erfüllung der PCI DSS Compliance-Anforderungen eventuell leichter. Was muss alles für die PCI DSS Compliance protokolliert werden? Noch vor wenigen Jahren war es unüblich, Logs in regelmäßigen Abständen zu überprüfen. Logs wurden einfach auf Syslog Servern gespeichert bis sich etwas Unvorhergesehenes, z.b. ein Angriff oder ein Netzwerkproblem, ereignete. Aber bei derart vielen Zwischenfällen und der daraus entstandenen Flut an Informationen verringerte sich die Produktivität bei der Auswertung der Logs drastisch. Um der Informationsflut Herr zu werden, richtete PCI seinen Fokus auf folgende Fragen: Wer hat was wann gemacht? Seite 6

7 Deshalb ist die Aufzeichnung von Aktivitäten der Karteninhaber ein entscheidender Bestandteil des PCI-Standards; auch eine Buchungskontrolle ist somit vorhanden. Durch diese Protokollierung und Aufzeichnung ist es dem PCI Security Standards Council (SSC) möglich, entscheidende Informationen an Prüfbehörden weiterzuleiten und ein Gefühl von Situationsbewusstsein innerhalb der PCI Community hervorzurufen. Außerdem verlangt PCI, dass Daten zur Beweissicherung und Verfolgung mindestens ein Jahr lang für Untersuchungsbeamte und Ermittler zur Verfügung stehen müssen. Testen und prüfen Sie also regelmäßig Ihre alten Log-Daten, um sicherzustellen, dass sie im Bedarfsfall verfügbar sind. Effektives Log-Management mit PCI DSS Um ein effektives Log-Management-System im Einklang mit PCI DSS zu erstellen, identifizieren Sie zunächst die Systeme, die Logs überhaupt übermitteln müssen. Dazu ist eine Liste aller Systemeinheiten nötig, um erkennen zu können, welche dieser Einheiten von den Vorgaben der PCI betroffen sind. Nun gilt es, die gesamte Konzentration ausschließlich auf die betroffenen Elemente zu richten und zu entscheiden, ob sie Protokolle erstellen sollen. Erste Priorität muss unbedingt die Erfüllung der Minimalanforderungen sein. Viele Unternehmen aber legen sich zusätzlich noch ein komplettes Security Information Management-Paket (SIM) zu, um Analyse und Berichterstattung weiterer relevanter Sicherheitsinformationen sicherzustellen. Andere werden sich für das Outsourcing des PCI-Log-Managements entscheiden für Unternehmen mit limitierter IT- Ausstattung bzw. Personal eine sinnvolle Option. Sobald sich die Firma entschieden hat, wie sie das Log-Management für PCI durchführen wollen, müssen die Geräte, die Logs an den zentralen Log-Server schicken, konfiguriert werden. Seite 7

8 Problemlösung bei Log-Compliance Versuchen Sie daran zu denken, dass die Anforderungen an das PCI DSS Log- Management auf Untersuchungsarbeit ausgerichtet sind. Falls Sie in Ihrer Firma einen Kreditkartenbetrug untersuchen sollten, auf welche Log-Inhalte würden Sie besonders achten? Aufgrund dessen könnten zahlreiche Unternehmen ihren Fokus neu ausrichten, und zwar nicht auf die Sicherung von Warnvorfällen sondern auf den Kundenzugriff; denn dieser ist für PCI von enormer Bedeutung. Sehen Sie das Log-Management als Prozess an und erstellen Sie einen dafür geeigneten Ablaufplan. Häufig geht dem Log-Management keinerlei Planung voraus: Ingenieure bringen das Log-System zwar zum Laufen, jedoch wird nicht darüber nachgedacht, wie man diese Informationen zum Vorteil des Unternehmens einsetzen könnte. Aufrechterhaltung der PCI DSS-Compliance Viele Firmen unterschätzen die enorme Speicherkapazität, die für PCI notwendig ist. Schätzen Sie das Volumen der Log-Daten, die an einem Tag von jedem Gerät erzeugt werden und kaufen Sie dann unbedingt mehr Speicher als geschätzt. Logs werden immer größer als man denkt. Wenn Sie darüber nachdenken, das Log-Management auszulagern oder ein Software as a Service (SaaS)-Modell zu implementieren, sollten die Speicherkosten unbedingt berücksichtigt werden, da Service-Anbieter und Rechenzentren für eine nahtlose Anpassung der Speicherkapazität ausgelegt sind. Auch die drei wichtigsten Elemente im Log-Management-Prozess die tägliche Überprüfung der Logs, ihre Archivierung über den richtigen Zeitraum und die Nutzung von Berichten für die Bewertung Ihrer QM-Systeme stehen dem Outsourcing nicht im Weg. Seite 8

9 Mit der Zeit werden Sie in Versuchung kommen und die Logs ignorieren wollen, da sich andere Themen in den Vordergrund drängen. Aber sie können den Arbeitsablauf beim Log-Management deutlich effizienter gestalten, wenn Sie neue Regeln für die Berichterstattung einführen und somit sicherstellen, dass Logs nicht nur regelmäßig überprüft werden, sondern zusätzlich täglich Berichte an Schlüsselpositionen weitergeleitet werden. Über den Autor: John Kindervag ist Senior Analyst beim Marktforschungsunternehmen Forrester Research mit Sitz in Cambridge, Massachusetts. Er besitzt folgende IT-Zertifikate: Certified Information Systems Security Professional, Certified Ethical Hacker, Certified Payment-Card Industry Security Manager, Cisco Certified Network Associate. Mit seinen 25 Jahren Erfahrung in der technischen Industrie konzentriert er sich besonders auf Netzwerk- und WLAN-Sicherheit, Sicherheitsmanagement und PCI DSS-Sicherheitsstandards Seite 9