Wachsame Securitysysteme analysieren die Umgebung

Transkript

1 toms spotlight MAI/JUNI Klartext Mit Macht gegen die Masse 4 Fakten Gekonnter Spagat vor der Quelle 5 Lösungen Zusammenkunft und Zusammenhang 6 Wirkung Abseits jeder Ungewissheit 7 Referenz Sicherheitsmonitoring in Echtzeit für HanseNet 8 Partner Wachsame Securitysysteme analysieren die Umgebung Von einer Informationswüste kann keine Rede sein, schon eher von einer Datenwildnis. An allen Ecken der Infrastruktur lauern Gefahren auf die IT-Systeme. Und genau dort protokollieren diese auch jeden Hinweis auf eventuelle Bedrohungen. Sicherheitsrelevante Vorfälle verbergen sich so in einem riesigen Bestand weit verteilter Logdateien. Wer diese Informationen jedoch zusammenführt, kann aus ihnen wertvolle Schlüsse ziehen. Und vor allem: rechtzeitig Alarm schlagen.

2 Irgendeine Instanz hat den ungewöhnlichen Verkehr längst registriert. Nur Kenntnis erlangen Securityverantwortliche davon schwerlich. Dickhäutigkeit gegenüber den Folgen ist allerdings auch keine Option. Denn spätestens beim Stichwort Compliance kriegen ihre Chefs große Ohren. Herausgeber Computacenter AG & Co. ohg Europaring Kerpen Tel. +49 (0) 2273/597-0 Fax +49 (0) 2273/ Handelsregistereintrag: Amtsgericht Köln HRA Sitz der Gesellschaft: Kerpen Umsatzsteuer-Identifikationsnummer: DE Redaktion Matthias Vogel Barbara Fürmeier Nicole Schlegel Gestaltung design blaues Wunder, Köln Druck johnen-druck GmbH & Co. KG, Bernkastel-Kues

3 Klartext Markus Müssig Security Information and Event Management, Computacenter Nicht dass nicht genug Informationen vorhanden wären. In großen IT-Umgebungen loggen die Systeme oft mehrere Tausend Events pro Sekunde! Welche dieser Informationen für die Sicherheit eines Unternehmens, seiner Daten und IT-Systeme wirklich relevant sind, ist jedoch schwer einzuschätzen. Für wen? Da liegt bereits das erste Problem, denn eine übergreifende Zuständigkeit für IT-Security, Datenschutz und Compliance gibt es in den wenigsten Betrieben. Klassischerweise verteilt sich schon die Securityverantwortung für Server-, Netzwerk- und Clientsysteme auf verschiedene Schultern. Entsprechend existiert meist auch kein zentrales Management für die Logdateien, deren hoher Informationsgehalt sich infolgedessen in zahlreichen Systemen und Abteilungen verliert. Doch auch wenn die Logdaten zentralisiert sind, bleibt die Analyse dieser Informationen eine Herausforderung. Einer manuellen Untersuchung entziehen sie sich aufgrund der schieren Masse ohnehin. Aber auch eine automatische Weiterverarbeitung ist wegen der ungleichen Datenformate, in denen die Systeme ihre Ereignisse protokollieren, nicht ohne Weiteres möglich. Bis ein gewiefter Mechanismus die unsortierte Datenflut filtern, in einen kausalen Zusammenhang setzen und auswerten kann, ist umfangreiche Projektarbeit vonnöten organisatorische ebenso wie technische. Für die Analyse und Interpretation der Logdaten hat der IT-Markt nämlich mächtige Produkte hervorgebracht. Ihr späterer Nutzen hängt allerdings maßgeblich von der fachübergreifenden Kenntnis ab, die in die Implementierung eingeflossen ist. Nicht weniger stattlich sind auch die Genrebezeichnungen Security Event Management (SEM) und Security Information Management (SIM), unter denen diese Produkte rangieren. Und wie die Anforderungen an IT-Security und Compliance, aus denen die Projekte letztlich erwachsen, werden auch die Eigenheiten dieser sehr unterschiedlichen fachlichen Disziplinen häufig miteinander vermengt. Bei vielen Anwendern hat sich sogar das Vorurteil festgesetzt, der SEM-Ansatz sei der grundsätzlich überlegene. Die Folge: überstürzte Maßnahmen, die den zweiten Schritt vor den ersten setzen und das Know-how der damit beauftragten IT- Abteilungen übersteigen. Gemein ist den beiden Herangehensweisen, dass sie ein durchdachtes Konzept für die Handhabung der Logdaten voraussetzen. Womit man nun am besten beginnen sollte, ist klar: Mit dem Lesen dieser Ausgabe von toms spotlight. 3

4 Fakten Gekonnter Spagat vor der Quelle Im täglichen Kampf mit der Logdatenflut müssen Securitychefs gleichzeitig überwachen und archi vieren. Ihre größte Herausforderung: die wirklich rele vanten Informationen herauszufiltern. Was Administratoren und Sicherheitsexperten fehlt, sind passende Werkzeuge, um Datenvolumen von vielen Hundert Gigabyte pro Tag effizient handhaben zu können. Darüber hinaus mangelt es an einem zentralistischen Konzept, das alle Logdaten in einem gemeinsamen Datenpool erfasst, formell vereinheitlicht und auswertet. Systeme, die das leisten, gehören in die Kategorie Security Information and Event Management (SIEM). Sie können eine Vielzahl von Ereignismeldungen unterschiedlicher Securitykomponenten sowie anderer Systeme und Anwendungen verarbeiten. Wie ein Puzzle fügt das SIEM-System diese Informationen zu einem Gesamtbild zusammen und erstellt daraus aussagekräftige Reports. Vor allem zwei Dinge sollte eine leistungsfähige SIEM-Lösung bieten: eine Logdatenarchivierung und eine Echtzeitüberwachung. Bei der Logdatenarchivierung besteht die Aufgabe darin, Informationen von Betriebssystemen, Anwendungen und IT-Securitykomponenten zu sammeln. Compliance-Anforderungen bestimmen maßgeblich die anschließende Weiterverarbeitung und Aufbewahrung der Daten. Mit diesem Security Information Management (SIM) werden Logdaten vollständig und nachvollziehbar archiviert und Nachforschungen mithin erst möglich. Für eine Echtzeitüberwachung sammelt das System hingegen Logdaten ein, reichert sie zu Ereignisdaten an, wertet sie aus und alarmiert gegebenenfalls die definierten Instanzen. Dieses als Security Event Management (SEM) bezeichnete Verfahren ermöglicht eine Reaktion auf interne und externe Verstöße gegen die Sicherheitsrichtlinien bestenfalls sogar in Echtzeit. Betrachtet man beide Aufgaben, kann man sagen, dass SIEM die langfristige (SIM) und die kurzfristige Komponente (SEM) verbindet. Wie aber greifen die beiden Ansätze nun sinnvoll ineinander? Vor allem sollte man bei der Einführung einer SIEM-Lösung berücksichtigen, dass die Wahl des Produkts nur einen Teil der Lösung darstellt. Ebenso entscheidend sind die dauerhafte Definition der Anforderungen und die Entscheidung, welches Anwendungsszenario die Lösung unterstützen soll. SIEM ist also vielmehr ein von Software unterstütztes Verfahren als nur ein leistungs fähiges Tool. Gefragt ist somit ein Integrationspartner, der in der Lage ist, das Projekt nicht nur technisch, sondern auch strategisch und konzeptionell vollständig zu begleiten. Die Erfahrung zeigt, dass es sich außerdem positiv auf den Projekterfolg auswirkt, wenn man kleine Schritte in der richtigen Reihenfolge macht. So liegen bereits nach kurzer Zeit Resultate vor, die nachhaltig zur Verbesserung der IT-Sicherheit des Unternehmens beitragen. 4

5 Lösungen Zusammenkunft und Zusammenhang Hunderten Millionen Log-Events pro Monat begegnet Computacenter mit einem zentralen Management der Protokolldaten und integriertem Sicherheitsmonitoring. Zentralisierung der Logdaten Sicherheitsrelevante Vorfälle können sich in den Logdaten vieler Systeme verbergen. Selbstverständlich fallen einem da als Erstes typische Securitykomponenten wie Firewalls, Proxyserver, Authentifizierungsund Virenschutzsysteme ein. Aber auch in den Ereignisprotokollen der vielfältigen Applikationen, Netzwerk- und Betriebssysteme verstecken sich Hinweise auf unberechtigte Zugriffe und Attacken. Hinzu kommen gegebenenfalls IT-Modellierungsdaten aus einer Configuration Management Database und anderen Inventarsystemen sowie Schwachstelleninformationen von Vulnerability-Scannern. Logdaten Firewalls Proxyserver Clients Netzwerk Server Analyse Filterung & Homogenisierung Securitymonitoring Mit einer Kombination aus Prozess- und Technologie-Know-how bauen unsere Experten aus diesen Informationen ein Securitymonitoring auf, das eine zentrale, vollständige und übergreifende Sicht auf alle sicherheitsrelevanten Vorfälle ermöglicht. Unser wichtigstes Werkzeug für dieses komplexe Projekt: Erfahrung. Denn während die technischen Besonderheiten der Teilsysteme zahlreiche Fallstricke bergen, erfordert die verteilte Verantwortung für die Systeme besonderes Kommunikationsgeschick beim Zusammenführen der Daten. Was mit Standardprotokollen und -schnittstellen nicht zu verbinden ist, fügen Modellierung Reporting Priorisierung & Warnung unsere Spezialisten mit individuellen Skripten zusammen. Dabei berücksichtigen sie bestehende Prozesse, die Ihr Change Management, das Problem Management oder das Configuration Management vorgeben und erweitern diese gegebenenfalls um die Erfordernisse des zentralen Logdatenmanagements. Das Zwischenergebnis: Sie haben einen Überblick, welche Sicherheitsvorfälle sich in Ihrem Netz ereignen. Und: Sie können bewerten, wie relevant diese Ereignisse sind, wie Sie darauf reagieren müssen und ob diese Reaktion Wirkung zeigt. Zusammenhänge erkennen Doch wie stehen die Ereignisse miteinander in Verbindung? Damit Sie diese wichtige Frage beantworten können, implementieren unsere Consultants leistungsstarke SIEM-Software und passen sie an Ihre spezifischen Anforderungen an. Als notwendige Basis dient ihnen der zentrale Logdatenbestand, aus dem das konfigurierte System seine Informationen bezieht, sie in eine einheitliche Form bringt und automatisch Zusammenhänge zwischen den Ereignissen identifiziert. Dass wir Sie bei der Auswahl des am besten geeigneten Produktes beraten, es einsatzbereit und Ihre Betriebsmannschaft damit vertraut machen, ist das eine. Dazu gehört selbstverständlich auch, Lizenzkosten und notwendige Rechenleistung gegen den jeweiligen Nutzen abzuwägen. Unser Verständnis von einer umfassenden Beratung geht jedoch weit darüber hinaus. Computacenter hilft Ihnen, Logdatenmanagement und Securitymonitoring als strategische Sicherheitsziele zu implementieren. Und wenn Sie es wünschen, sogar ohne dafür eigenes Knowhow aufbauen zu müssen. Zu verlässlich kalkulierbaren Kosten können Sie den Betrieb Ihrer SIEM-Lösung nämlich auch vollständig in unsere Hände legen. 5

6 Wirkung Abseits jeder Ungewissheit Neben genauer Kenntnis von allen Regelverstößen liefert die neue Übersicht auch optimale Vorlagen. Und genügend Zeit, um den Angriff parieren zu können. Natürlich ist es allein schon ein Fortschritt, durch die Implementierung eines SIEM- Systems ein nachvollziehbares Verfahren für den Umgang mit einem Großteil der sicherheitsrelevanten Informationen geschaffen zu haben. Nicht nur unter Compliance-Aspekten ist diese Transparenz nämlich dringend geboten, sie ist überhaupt für jede Auswertung und Weiternutzung der Protokolldaten unerlässlich. Es beginnt schon damit, dass die Daten vollständig sind; im Netzwerk verteilte Logdatenfragmente sind hingegen oft nicht verfügbar oder wurden schlicht zu früh gelöscht. Für die Bewertung von Sicherheitsvorfällen, nachträglichen Recherchen und Analysen ist die inhaltliche Geschlossenheit des Datenbestandes jedoch eine Grundvoraussetzung. Und mindestens ebenso wichtig wie diese ist die Integrität der Daten. Umso mehr, als Logdateien in der Regel einfache Textdokumente sind, deren Manipulation einem Aggressor noch nicht einmal besondere Kenntnisse abverlangt. Nicht nur aus rechtlichen Gründen sind Unternehmen ohnehin gut beraten, die Protokolle sorgsam aufzubewahren. Im Zweifelsfall sollten sie nachweisen können, wer wann auf welche Daten und Systeme zugegriffen und gegebenenfalls etwas geändert hat. Neben den Datenschutzgesetzen müssen Firmen nämlich zahlreiche branchenspezifische Richtlinien, Industriestandards für Informationssicherheit und Vorgaben der Finanzaufsichtsbehörden beachten. So verfügt inzwischen jedes größere Unternehmen über einen individuellen Katalog von Sicherheitsrichtlinien. Mit einem auf ihre Bedürfnisse angepassten SIEM-System können die Betriebe ihre Konformität mit diesen Vorgaben belegen, Abweichungen verhindern und Strafen vermeiden sowie die Kosten für Audits gering halten. Gleichzeitig bedeutet so eine Lösung aber auch, über ein leistungsfähiges Frühwarnsystem zu verfügen. Nicht nur klas- sische Hackerangriffe wie Port- oder Netzwerkscans lassen sich damit rechtzeitig identifizieren. Jede Abweichung vom normalen Netzwerkverkehr deckt das System sofort auf und wertet die Vorfälle aus. Unternehmen, die ein Servicemanagement nach ITIL betreiben, können die Informationen aus dem SIEM-System direkt in das Incident Management einfließen lassen. Auch das Problem Management profitiert von den Erkenntnissen, die man mithilfe der SIEM-Auswertungen gewinnen kann. Sie ermöglichen nachhaltige Verbesserungen der Securitymaßnahmen und führen zu einer insgesamt stabileren Sicherheitslage. Sicher ist auch, dass sich das Management von einer konsequenten SIEM- Lösung überzeugen lässt. Zum ersten Mal wird die Geschäftsleitung aussagekräftige und verständliche Reports über die Securitygesamtlage der IT-Infrastruktur in Händen halten.

7 Referenz Sicherheitsmonitoring in Echtzeit für HanseNet Klare Sicht im Logdatenmeer: Mit einem zentralen Kommandostand und engmaschigen Kontrollen hat der Hamburger Internetprovider sicherheitsrelevante Ereignisse augenblicklich auf dem Radar. tom sprach mit Oliver Schnau, Head of Network Operations der HanseNet Telekommunikation GmbH Oliver Schnau HanseNet Telekommunikation tom: Herr Schnau, wer verbirgt sich hinter dem Namen Alice beziehungsweise der HanseNet Telekommunikation GmbH? Schnau: HanseNet wurde 1995 gegründet und ist ein Full Service Carrier. Wir bieten über Breitband, Telefonie, Mobile und IPTV alle Dienste an. Primär für den privaten Endkunden, aber wir bedienen auch die Business-Segmente. Wir haben ein umfangreiches Hamburger Netz, welches wir gerade im Business-Segment sehr gut vermarkten. Ein weiterer Erfolgsfaktor von uns ist die hohe Abdeckung des Breitbandservices in Deutschland. tom: Sie haben im Bereich IT-Security ein Projekt zum Thema Security Information and Event Management durchgeführt. Warum? Schnau: Wir waren vor einigen Jahren gezwungen, über unsere normale Security hinaus konform mit dem Sarbanes-Oxley- Act (SOX) zu sein. Das sind Regulatorien, die sehr stark im Bereich Netzwerksicherheit angesiedelt sind. In dem Zuge haben wir als Ergänzung zu unseren Firewallsystemen eine Erweiterung der ganzen Umgebung herbeigeführt. tom: Welches Ziel haben Sie mit dem Projekt verfolgt? Schnau: Ein Ziel war es, die Events im Bereich Security, also wenn Sicherheitsregeln verletzt werden, zur Anzeige zu bringen und dann entsprechende Maßnahmen einleiten zu können. Es ist ganz wichtig, dass man zeitnah also mehr oder weniger in Echtzeit erkennt, dass es Probleme gibt, damit man geeignete Gegenmaßnahmen ergreifen kann, bevor ein Schaden entsteht. tom: Für welche Lösung haben Sie sich entschieden? Schnau: Wir haben uns für ein System entschieden, das aus einem zentralen Security Manager, einer zentralen Datenbank und einer entsprechenden Konsole besteht. In diesem Umfeld haben wir dann als Ergänzung noch ein Intrusion-Prevention-System (IPS) eingeführt, welches zusätzlich zu den Firewalls Sicherheit für das Netz bieten und Angriffsversuche abwehren soll. tom: Was bringt Ihnen die neue Lösung? Schnau: Mit diesem System wird ein entsprechendes Real-Time-Monitoring vorgenommen. Gleichzeitig können wir damit ein sehr detailliertes Reporting auswerten. Es bietet auf sehr einfachem Wege eine sehr gute, konsolidierte Sichtweise über die Securityevents in einem Netz, beispielsweise ganz allgemeine Sicherheitsevents der Firewalls und des IPS. Und es ist so, dass man es aufgrund der Offenheit des Systems und der Schnittstellen sehr gut in eine bestehende Umgebung einbetten kann. tom: Welche Aufgabe hat Computacenter in diesem Projekt übernommen? Schnau: Computacenter hat vom ersten Moment an beraten und seine eigene Expertise im Bereich SOX und Securitymanagement eingebracht. Das Ganze ging dann weiter über die Lieferung und enthielt zum Schluss die gesamte Implementierung der Lösung, das Aufsetzen der Reportings, das Einbinden des Eventmanagements, das Setzen von Filtern und, und, und. Also eigentlich das Rundum-Sorglos-Paket für mich. tom: Haben sich Ihre Erwartungen an die neue Lösung erfüllt? Schnau: Ja, auf jeden Fall. Ich war sogar sehr überrascht darüber, wie managementtauglich die Reports sind. Technische Reports sind zum Teil etwas schwer zu verdauen. Und wenn man das Reporting im Managementbereich noch weiter kommunizieren möchte, sollte es natürlich so aufbereitet und aufgesetzt sein, dass auch jemand, der nicht ursprünglich aus der Technik kommt, durchaus damit etwas anfangen kann. Das kann man mit dieser Lösung gut gewährleisten. 7

8 Partner Computacenter unterhält Partnerschaften mit allen führenden Technologieanbietern. Die in diesem Heft beschriebenen Lösungen realisieren wir insbesondere mit Produkten von Computacenter AG & Co. ohg Europaring Kerpen Tel. +49 (0) 2273/597-0 Fax +49 (0) 2273/