Log Management vs. Security Event Management

Was SIM und SEM von SIEM unterscheidet

23.04.2013 von Matthias Maier

So komplex IT-Sicherheitsfragen sind, so vielschichtig erweisen sich die Begrifflichkeiten rund um dieses Thema. Was ist von SIEM zu erwarten, was bedeutet Log Management im Vergleich zu IDS/IPS?

Nehmen Sie Ihre Sicherheitsanforderungen unter die Lupe...
Foto: Fotolia, Robert Kneschke

Die Herausforderung beginnt bereits damit, dass viele Unternehmen zunächst nur eine grobe Vorstellung ihrer Anforderungen haben. Sie suchen nach einfachen Lösungen, die ihren komplexen Sicherheits- und Compliance-Anforderungen genügen. Der Idealfall? Automatisierte, schnelle und über alle heterogenen Systeme hinweg arbeitende Programme, die Fehler, Probleme und bösartige Angriffe sichtbar machen.

Unternehmen evaluieren dafür Lösungsansätze aus dem Bereichen LM (Log Management) respektive SIM (Security Information Management), SEM (Security Event Management) und SIEM (Security Information and Event Management). Pikant: Alle Anbieter interpretieren die Begrifflichkeiten unterschiedlich; der Produktvergleich findet also unter erschwerten Bedingungen statt. Unternehmen müssen die Lösungen noch genauer auf die individuellen Bedürfnisse hin abstimmen:

1. Welche Lösungen werden bereits eingesetzt?

2. Welche Schwächen haben diese Lösungen?

3. Welche dieser Schwächen sollte eine neue Lösung beheben?

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Klärung der Begriffe

Der Markt für Sicherheits-Management-Produkte ist schwer durchschaubar.
Foto: LogLogic

Log Management entspricht dem Begriff SIM (Security Information Management) und steht für die zentrale Sammlung, Übertragung, Speicherung, Analyse und Weiterleitung von Log-Daten aus Netzwerk-Komponenten, Betriebssystemen und Applikationen. Typische Funktionen sind Richtlinien-orientierte Analysen auch zu Trends, periodische Berichte und Basisfunktionen für Alarm-Meldungen. Damit ist es die Grundlage für die IT-Forensik und das Service Level Management. Je nach Anbieter bietet Log Management die revisionssichere Log-Daten-Speicherung und berücksichtigt bei der Datendarstellung die Richtlinien des Datenschutzes.

SEM (Security Event Management) übernimmt die Korrelation von Logs anhand definierter Richtlinien, gleicht sie automatisiert mit Standards wie ITIL, COBIT, SOX oder ISO ab und verfügt über leistungsfähige Echtzeit-Alarmfunktionen. SEM deckt sich teilweise mit IDS/IPS (Intrusion Detection und Intrusion Prevention System). Netzwerk-basierend überwachen diese die Auslastung und Kommunikation im Netz sowie Ports und erkennen Muster respektive Abweichungen im Netzwerkverkehr. Als Host-basierende Lösungen kontrollieren sich Manipulationen von Dateien und überwachen beispielsweise Gruppenrichtlinien und Benutzerkonten.

SIEM (Security Information and Event Management) vereint die Funktionen von SIM und SEM als Management-Lösung. Es basiert auf unternehmensspezifischen Anforderungen - also auf klaren und umfassenden Definitionen, welche Ereignisse sicherheitsrelevant sind und wie und mit welcher Priorität darauf zu reagieren ist. Es zielt darauf ab, anhand eines Regelwerks kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs zu verbessern.

IPS und SEM allein machen einsam

Nicht allen Anwendern ist bewusst, wie viele Möglichkeiten sie haben, sicherheitsrelevante Vorfälle zu identifizieren respektive zu verhindern. Sie ziehen nur die Auswertung der Netzwerk-Logs in Betracht und setzen dafür mehr schlecht als recht implementierte IDS und IPS ein (Intrusion Detection und Intrusion Prevention Systeme). Ein zusätzliches SEM-System auf Basis von Firewall-Logs ist zwar ebenso verbreitet, erzeugt in den meisten Fällen aber lediglich gefühlte Sicherheit. Der Grund: Alle Systeme erfahren wenig Beachtung und noch weniger kontinuierliche Pflege.

IT-Performance überwachen

Modernes Log Management ist mehr als das: Innerhalb einer IT-Infrastruktur fallen sehr viele Log-Daten an - seien es Geräteinformationen, Betriebssystem-Logs oder Applikations-Interna. Wer diese Daten sorgfältig und umfassend verwaltet, kann viele Sicherheits- und Performancefragen schneller beantworten. Das betrifft nicht nur die Einhaltung von Compliance-Vorgaben, sondern auch die Verbesserung der Leistung von Systemen und internen wie externen Mitarbeitern.

Über Dashboards lassen sich die Sicherheits-Management-Produkte steuern - hier am Beispiel von LogLogic.
Foto: LogLogic

Das revisionssichere Management von Service Level Agreements (SLAs) gehört zu den Kernaufgaben eines zeitgemäßen Log Managements. Fällt ein Netz aus, kann ein Unternehmen nachvollziehen, ob, wann und wie lange ein bestimmtes System nicht erreichbar war. Hilfreich ist auch die Analyse, welche Transaktionen während des Ausfalls ausgeführt wurden und ob diese nachverfolgt werden müssen. Im Hinblick auf die Fehlerbehebung lässt sich aus der Log-Analyse einfach feststellen, welche Systemkomponenten den Ausfall verursacht haben: War es ein kompletter Server, ein virtualisiertes System, eine einzelne Applikation oder eine Datenbank? Als Dienstleister kann der Gegenbeweis geführt werden, dass die Systeme zur angegebenen Zeit erreichbar und Anwender produktiv waren. Ebenso ist zweifellos darzustellen, ob die Probleme in der vertraglich vereinbarten Zeit behoben wurden. Eine anschließende Fehler- respektive Prozessbewertung anhand der Log-Daten sorgt dafür, dass solch ein Vorfall künftig nicht mehr auftritt. Dadurch leistet das Log Management auch einen Beitrag zur Qualitätssicherung in den IT-Systemen.

Schneller reagieren können

Rollenbasierte Dashboards, die heutige Log-Management-Lösungen anbieten, unterstützen zudem den IT-Service Desk. Dieser kann aufkommende Probleme bereits im First und Second Level Support analysieren, bewerten und vielleicht auch lösen. Aber auch im Bereich IT-Operations haben die Lösungen ihre Stärken, weil sie genau ermitteln können, welche Prozesse welche Systeme wie stark auslasten.

Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.

Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden.

Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten.

Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden.

Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen?

IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.

SIEM als Management-Tool

Der SIEM-Ansatz greift bei strategischen Anforderungen für IT-Security und Compliance. So steht das SIM - Security Information Management - für klassisches Log Management, um IT-Forensik zu ermöglichen. Die Voraussetzung dafür ist eine hundertprozentige Log-Daten-Speicherung unterschiedlichster Plattformen, Applikationen und Protokoll-Ebenen. Anhand dessen sind beispielsweise nahezu in Echtzeit Anomalien im Log-Aufkommen sowie Bruteforce- und DDoS-Angriffe zu erkennen. Über SEM-Korrelationen aus der Log-Sammlung gelingt die Kontrolle von Benutzerkonten anhand definierter IT-Sicherheitsrichtlinien. So folgt etwa bei einer doppelten Anmeldung von Benutzern oder deren Anmeldung von weit voneinander entfernten Standorten aus direkt eine Alarm-Meldung.

Log-Management-Lösungen wie hier am Beispiel von LogLogic geben individuelle grafische Reports über alle möglichen Netzaktivitäten aus.
Foto: LogLogic

Entscheidend ist, dass die Alarme auch unmittelbar einen Prozess auslösen: Wer ist für sofortiges Handeln verantwortlich und welche Maßnahmen sind zu ergreifen? Kritisch werden organisatorische Fragen insbesondere bei Vorfällen wie Port Scans: Sind dafür auch am Wochenende die verantwortlichen IT-Mitarbeiter definiert? Was ist zu tun, wenn der Mitarbeiter auf dem Server keine Ursache findet? Wird der Server pauschal neu installiert oder vom Netz genommen? Schließlich könnte es ein Trojaner sein, der von der Anti-Viren-Software noch nicht erkannt wird. Welche Prozesse sind einzuhalten, wenn unternehmenskritische Systeme wie Active Directory oder der Exchange Server angegriffen werden? Ist überhaupt definiert, was zu den Kernsystemen eines Unternehmens zählt?

Diese Fragestellungen zeigen zwei Aspekte auf: Selbst die ausgefeiltesten Echtzeit-Systeme führen nur dann zu höherer Sicherheit und Leistung im IT-Betrieb, wenn die Unternehmensorganisation in ihrer Handlungsfähigkeit diszipliniert darauf abgestimmt ist. Das gilt sowohl hinsichtlich der Arbeitsabläufe als auch der Verantwortlichkeiten. Zum zweiten ist wesentlich, das Leistungsspektrum der einzelnen Sicherheitslösungen im Detail zu kennen und abzugleichen. Nur dann greifen sie ineinander und sorgen tatsächlich für eine lückenlose Überwachung der Ereignisse im IT-Netz.

Fazit

Modernes Log Management unterstützt Unternehmen nicht nur bei der Einhaltung von Compliance-Vorgaben und der Absicherung der Netze. Es kann auch dabei helfen, die IT besser zu steuern, vorausschauend zu kontrollieren und ein kontinuierliches Qualitätsmanagement zu etablieren. Die wichtigsten Kriterien dafür: Sämtliche Log-Daten müssen revisionssicher erfasst werden, die Auswertung der Logs muss die Richtlinien des Datenschutzes berücksichtigen, die Lösung muss unbegrenzt erweiterbar sein, die Verarbeitung von mehreren Terabytes an Logs darf zu keiner Überlastung führen und sie muss auch Cloud-Umgebungen abdecken.

System-Event-Monitoring-Systeme hingegen funktionieren über die Definition gezielter Anwendungsfälle. Projektverantwortliche müssen zudem klären, welche Alarme in welcher Konstellation erfolgen sollen. (sh)

Platz 6: Logfiles manipulieren
15 Prozent der befragten IT-Verantwortlichen haben schon einmal die Spuren ihrer verbotenen Aktionen beseitigt.

Platz 5: E-Mails von Kollegen lesen
Was hat der Mitarbeiter XY denn so im Posteingang? Das Briefgeheimnis gilt zwar auch für E-Mail, dennoch konnten 16 Prozent der über 200 Interviewten der Versuchung, in fremden Mailkonten zu stöbern, nicht widerstehen.

Platz 4: Vertrauliche Dokumente lesen
Gehaltslisten, Personalunterlagen oder kritische Geschäftsunterlagen - 25 Prozent der Befragten hatten ihre Augen schonmal in Akten, die nicht für sie bestimmt waren.

Platz 3: Interne Infos "absaugen"
Dass vertrauliche und allgemein firmeninterne Dokumente und Informationen in der Firma bleiben, ist Usus. Dennoch missachteten 29 Prozent der befragten IT-Mitarbeiter diese Regelung (die meist sogar mit dem Arbeitsvertrag oder zumindest per Betriebsvereinbarung/Policy geregelt ist) mindestens einmal in ihrem beruflichen Alltag.

Platz 2: Sich selbst zuviele Rechte zuweisen
Firewall-Einstellungen abändern oder sich selbst Zugriffsrechte einräumen, die einem nicht zustehen: 48 Prozent der befragten europäischen IT-Mitarbeiter nutzten ihren Status aus, um mehr zu können, als sie eigentlich gedurft hätten.

Platz 1: Content illegal herunterladen
Musik, Filme, Software: Was auch privat selten gestattet ist, wird über die Unternehmensleitung nicht legaler. 54 Prozent der Befragten gaben an, den Internetzugang der Firma schonmal für den unerlaubten Download von Inhalten aus dem Web missbraucht zu haben.