ADMIN

2022

11

2022-10-27T12:00:00

Software-definierte Infrastrukturen

PRAXIS

060

Sicherheit

Logmanagement

Sicherheit durch Logmanagement

Blick ins Kleingedruckte

von Jürgen Kolb

Veröffentlicht in Ausgabe 11/2022 - PRAXIS

Die Technologien und Ansätze des klassischen Logmanagements sind seit über 20 Jahren nahezu dieselben. Die Erfahrungen der Nutzer waren jedoch nicht immer überzeugend. Inzwischen haben sich Aufwand und Kosten des Logmanagements jedoch reduziert und die Vorteile treten aufgrund der aktuellen Bedrohungslage wieder massiv in den Vordergrund. Ob gesetzliche Anforderungen, interne Richtlinien, Schutz gegen Ransomware oder IoT-Sicherheit – Logdaten helfen Administratoren, der Lage Herr zu werden.

Es ergibt Sinn, sämtliche Securitydaten und -Informationen zentral zu speichern und zu verarbeiten – auch wenn die IT das Thema Sicherheit eventuell an einen professionellen Anbieter ausgelagert hat. Nicht nur weil die Komplexität der Angriffe steigt, ist es sinnvoll, möglichst aussagekräftige Logdaten zu sammeln: Sei es der Einsatz eines SOAR-Werkzeugs (Security Orchestration, Automation, Response) oder die Nutzung der nativen Verteidigungslinie von Microsofts Windows Defender. Eine isolierte Sicht auf Vorfälle in zwei oder drei verschiedenen Sicherheitstools bringt wenig und ermöglicht keine forensische Analyse, geschweige denn das gezielte Verhindern von Attacken.
Logmanagement für die Protokollierung
Die Notwendigkeit zum Logmanagement ist unstrittig und reicht vom Aspekt der datenschutzkonformen Protokollierung nach der EU-DSGVO über die zentrale Logarchivierung bis hin zur Forensik, ohne die zum Beispiel ein sinnvolles Incident-Response-Management im Angriffsfall gar nicht möglich ist. So ist das Logmanagement unter anderem in jedem Standard ein Thema, ob ISO-Projekt, dem bekannten BSI-Grundschutzhandbuch (Baustein OPS.1.1: Kern-IT-Betrieb/Kernaufgaben OPS.1.1.5: Protokollierung) oder den NIS-Richtlinien.
Je höher das potenzielle Risiko beziehungsweise je wichtiger und kritischer die Infrastruktur, umso naheliegender ist der Einsatz entsprechender Werkzeuge. Natürlich erfordert auch der ISO-27001-Standard umfangreiche und konkrete Schutzmaßnahmen, vom Security- bis zum Business-Continuity-Management.
Es ergibt Sinn, sämtliche Securitydaten und -Informationen zentral zu speichern und zu verarbeiten – auch wenn die IT das Thema Sicherheit eventuell an einen professionellen Anbieter ausgelagert hat. Nicht nur weil die Komplexität der Angriffe steigt, ist es sinnvoll, möglichst aussagekräftige Logdaten zu sammeln: Sei es der Einsatz eines SOAR-Werkzeugs (Security Orchestration, Automation, Response) oder die Nutzung der nativen Verteidigungslinie von Microsofts Windows Defender. Eine isolierte Sicht auf Vorfälle in zwei oder drei verschiedenen Sicherheitstools bringt wenig und ermöglicht keine forensische Analyse, geschweige denn das gezielte Verhindern von Attacken.
Logmanagement für die Protokollierung
Die Notwendigkeit zum Logmanagement ist unstrittig und reicht vom Aspekt der datenschutzkonformen Protokollierung nach der EU-DSGVO über die zentrale Logarchivierung bis hin zur Forensik, ohne die zum Beispiel ein sinnvolles Incident-Response-Management im Angriffsfall gar nicht möglich ist. So ist das Logmanagement unter anderem in jedem Standard ein Thema, ob ISO-Projekt, dem bekannten BSI-Grundschutzhandbuch (Baustein OPS.1.1: Kern-IT-Betrieb/Kernaufgaben OPS.1.1.5: Protokollierung) oder den NIS-Richtlinien.
Je höher das potenzielle Risiko beziehungsweise je wichtiger und kritischer die Infrastruktur, umso naheliegender ist der Einsatz entsprechender Werkzeuge. Natürlich erfordert auch der ISO-27001-Standard umfangreiche und konkrete Schutzmaßnahmen, vom Security- bis zum Business-Continuity-Management.
Logmanagement für Compliance und Datenschutz
Auch IP-Adressen sind persönliche Daten, weswegen Organisationen die tägliche Arbeit der IT-Admins ebenfalls aus Security-Sichtweise betrachten sollten. Das heißt: Die Nachvollziehbarkeit der Zugriffe und der Speicherung muss protokolliert werden, ebenso Änderungen oder Löschungen. Darüber hinaus sollten Unternehmen ein Rechtekonstrukt wie das Vier-Augen-Prinzip oder das Einbinden des Betriebsrats definieren.
Diese "technischen Formalitäten" fallen oft unter den Tisch, lassen sich im Rahmen eines Logmanagement-Projekts aber leicht erledigen. Compliance und Technologie bedingen einander, denn Regeln und organisatorische Maßnahmen, die nicht durchsetzbar sind, erodieren allmählich. Andererseits ist es so, dass IT-Technologien erst voll ausgeschöpft werden, wenn die Software imstande ist, Ziele und Prozesse des Unternehmens umzusetzen.
Viele IT-Verantwortliche legen im Rahmen eines Logmanagement-Projekts ihren Scherpunkt auf bestimmte Anwendungsfälle, merken dann aber, dass sich noch viel Zusatznutzen schaffen lässt – zum Beispiel das Erkennen verschiedener Systemzeiten, die oft zur Problemen führen. Auch immer wichtigere Faktoren wie unbefugter Zugriff, der Schutz vor Rechtemissbrauch und Verlust beziehungsweise Löschung von Daten (oder der Logs selbst) lassen sich nur durch ein Logmanagement zufriedenstellend erfüllen.
Logmanagement in der IoT-Welt
Die projektbezogenen Anforderungen hinsichtlich Transparenz und Compliance in Form der forensischen Beweisführung steigen auch bei industriellen Großprojekten. Kommen zum Beispiel viele verteilte Firewalls zum Einsatz, ergibt sich daraus der Bedarf, alle verfügbaren Logs und Ereignisse zu sammeln und Routinevorgänge zu dokumentieren.
Die Logik des Logmanagements ist in einer sehr hohen und konkreten Detailstufe anpassbar. Wer wann wo zugegriffen hat, muss dokumentiert sein. Zudem muss es IT-Administratoren möglich sein, eine konkrete bekannte Gefahr oder Schwachstelle für das eigene Projekt abzuwenden – ohne auf Updates oder neue Signaturen warten zu müssen. In isolierten IoT-Umgebungen kann demnach viel mehr der forensische Aspekt im Vordergrund stehen, also die Archivierung der Logs zur Beweissicherung bei Unregelmäßigkeiten. Die Software beziehungsweise Appliance muss daher selbst dann funktionieren, wenn gewollt gar kein Kontakt zur Internetwelt besteht.
Bild 1: Tools zum Logmanagement, hier LogApp von iQSol, sorgen mit Tabellen, Charts und Dashboards für eine schnelle Analyse von Sicherheitsvorfällen.
Stolperfallen Datenmenge und Lizenzierung
Die sekündliche Generierung riesiger Logdaten sorgt dafür, dass eine manuelle Auswertung nur im Nachhinein sinnvoll ist – das Thema Forensik haben wir bereits erwähnt. Zur aktiven Abwehr sind Korrelationen und umfassende Filterregeln anzusetzen. Somit ist eine zentrale Frage bei derartigen Projekten nicht nur die, welcher Mitarbeiter sich um das Logmanagement kümmert, sondern auch, wie lange und wo (Storage, Cloud et cetera) diese enormen Mengen an Logdaten liegen.
Hier gilt es, das Augenmerk nicht auf die Goodies beim Erstkauf eines Logmanagement-Werkzeugs zu richten, sondern wie sich die Lizenzierung generell gestaltet: Wird über die analysierten Datenmengen abgerechnet, kann sich das Projekt schnell als Kostenfalle entpuppen. Ratsam ist deshalb ein vorheriger Testbetrieb, da IT-Verantwortliche so ein Gefühl für die Systematik, die Datenmengen und Integrationen bekommen. Es ergibt generell wenig Sinn, von 0 auf 100 hochrüsten zu wollen.
Ferner ist eine adäquate Alarmierung notwendig, wobei sich immer die Frage stellt, welcher Vorfall welche Alarmierung auslöst (via E-Mail oder SMS). Hier greift wieder das Regelwerk: Die Konfigurationen sollten von einem Fachmann durchgeführt werden, der bei der Einführung einen flexiblen Zugriff auf die Softwareentwicklung anbieten kann. Eine Basisinstallation mit Out-of-the-Box-Regeln und -Filtern ist meist nach wenigen Tagen möglich, das Feintuning und die Integrationen gestalten sich danach abhängig von den jeweiligen Bedingungen im Unternehmen.
Logmanagement statt Erpressung
Ein großer Vorteil einer Logmanagement-Software zeigt sich zudem, wenn auf konkrete Gefahren wie Ransomware direkt Abwehrmaßnahmen erfolgen sollen. Hier können eine Korrelation und Alarmierung sehr sinnvoll sein, wenn zum Beispiel Passwörter mehrfach falsch eingegeben wurden oder wenn es um das Erkennen eines typischen Verhaltens wie die Löschung oder Inaktivsetzung von Verteidigungstools durch einen Trojaner geht.
Das Bewusstsein aber, dass ein Incident-Response-Management im Angriffsfall ohne Logs nahezu sinnlos ist, hat sich noch wenig durchgesetzt. Auch ein Cyberverbrechen benötigt eine Art "Spusi" (Forensik und Spurensicherung). Denn ohne adäquate Prozesse, sprich ohne jede Vorbereitung und Planung für den Angriffsfall, sucht die IT entweder die Nadel im Heuhaufen oder die Spuren sind nicht mehr verwertbar oder gar nicht vorhanden.
Damit ist die letzte mögliche Handlungsalternative, das Lösegeld zu bezahlen – was gleichzeitig die mit Abstand schlechteste Option ist. Denn selbst, wenn die Daten wieder freigegeben werden, ist das Geld weg, die IT steht vor einem Neuanfang und der Cyberräuber versucht vermutlich bald nochmal sein Glück. Nicht zuletzt deswegen steigt zurzeit das Gefühl der erhöhten Bedrohungslage: Weil viele Cyberopfer bereits ein zweites Mal zur Kasse gebeten werden.
Das Logmanagement ist folglich eines der wichtigsten Mittel gegen Ransomware oder ähnliche Erpressungs-Hacks. Security-Analysten können damit aufgrund der nachvollziehbaren Sachlage feststellen, welche Variante für den Einbruch in Frage kommt und welche nicht (weil sie dank Filtern und Regeln ein- beziehungsweise auszuschließen ist). Der Ursprung, die Verbreitung und die Methoden der Cybergangster lassen sich weit genauer analysieren, als wenn lediglich Firewalllogs vorliegen. Und auch die Logs der Netzwerke, der Betriebssysteme und vieler Applikationen und Sensoren gilt es weiter zu untersuchen.
Eine weitere Stärke kann sein, dass im Rahmen eines Securitymonitorings zum Beispiel auch Alarme und Reports entstehen, die nur indirekt Securitycharakter haben. Klassisch ist hier das Volllaufen von Speichern (Festplatten) oder das Erreichen technischer Schwellenwerte in den verschiedensten Applikationen oder Datenbanken.
Bild 2: Datenpunkt-Sammlungen von SNMP-Geräten können neben dem reinen Logmanagement auch das Monitoring verbessern.
Hand in Hand mit dem Monitoring
Die Zusammenführung von Daten und Logs aus den verschiedensten Quellen, sprich auch aus der OT-Welt, kann sehr rasch zu einer Problemlösung führen. Sensoren, Kameras, Software, Hardware und vieles mehr, seien es Zutritte oder Serverraumdaten, lassen sich punktgenau gleichzeitig analysieren, wenn dies vorher so definiert wurde.
So könnte ein Tool zum Serverraum-Monitoring erkennen, dass die Klimaanlage wieder einmal fehlerhaft läuft. Natürlich kann es hier auch zu einer direkten Alarmierung kommen, aber eine Weiterleitung in das Logmanagement könnte dazu führen, dass die Servertemperaturen in die Prozesskette einfließen und es zu bestimmten Aktionen kommt: Bei schnellem Hitzeanstieg ließe sich etwa ein Powermanagement auslösen, das die Hardware gesichert herunterfährt oder vorher noch Daten migriert. Als programmierbare Datendrehscheibe ist das Logmanagement geradezu prädestiniert für Wenn-Dann-Prozesse.
Weil auch die IT immer komplexer wird, ergeben sich zudem Anforderungen, viele Daten zu sammeln, zu automatisieren und diese wiederum aufbereitet und gefiltert weiterzureichen. Es ist dabei einerlei, ob die Weiterverarbeitung durch eine SIEM-Engine in demselben Werkzeug oder einen Verantwortlichen für Compliance und Securityanalyse erfolgt. In einem Security Operation Center (SOC) findet weitere Software Verwendung – das Stichwort lautet hier wieder SOAR – die unter Umständen ein Big-Data-Zentrum erfordert.
Fazit
Neue Technologien, neue Gefahrenmuster und neue Dienste fordern es geradezu, sich dem Logmanagement neu beziehungsweise auf eine andere Art zu nähern. Zu beachten sind bei der Entscheidung für ein Werkzeug sowohl Aspekte lizenzrechtlicher als auch technischer Natur. Im Rahmen zunehmender Automatisierung sollte sich das Logmanagement im Idealfall in gängige Tools zum Schwachstellen- und Alarmmanagement bis hin zu selbstentwickelten Applikationen integrieren lassen.
(ln)
Jürgen Kolb ist Managing Director bei iQSol.