Foto: Fotolia, Robert Kneschke
Die Herausforderung beginnt bereits damit, dass viele Unternehmen zunächst nur eine grobe Vorstellung ihrer Anforderungen haben. Sie suchen nach einfachen Lösungen, die ihren komplexen Sicherheits- und Compliance-Anforderungen genügen. Der Idealfall? Automatisierte, schnelle und über alle heterogenen Systeme hinweg arbeitende Programme, die Fehler, Probleme und bösartige Angriffe sichtbar machen.
Unternehmen evaluieren dafür Lösungsansätze aus dem Bereichen LM (Log Management) respektive SIM (Security Information Management), SEM (Security Event Management) und SIEM (Security Information and Event Management). Pikant: Alle Anbieter interpretieren die Begrifflichkeiten unterschiedlich; der Produktvergleich findet also unter erschwerten Bedingungen statt. Unternehmen müssen die Lösungen noch genauer auf die individuellen Bedürfnisse hin abstimmen:
1. Welche Lösungen werden bereits eingesetzt?
2. Welche Schwächen haben diese Lösungen?
3. Welche dieser Schwächen sollte eine neue Lösung beheben?
Klärung der Begriffe
Foto: LogLogic
Log Management entspricht dem Begriff SIM (Security Information Management) und steht für die zentrale Sammlung, Übertragung, Speicherung, Analyse und Weiterleitung von Log-Daten aus Netzwerk-Komponenten, Betriebssystemen und Applikationen. Typische Funktionen sind Richtlinien-orientierte Analysen auch zu Trends, periodische Berichte und Basisfunktionen für Alarm-Meldungen. Damit ist es die Grundlage für die IT-Forensik und das Service Level Management. Je nach Anbieter bietet Log Management die revisionssichere Log-Daten-Speicherung und berücksichtigt bei der Datendarstellung die Richtlinien des Datenschutzes.
SEM (Security Event Management) übernimmt die Korrelation von Logs anhand definierter Richtlinien, gleicht sie automatisiert mit Standards wie ITIL, COBIT, SOX oder ISO ab und verfügt über leistungsfähige Echtzeit-Alarmfunktionen. SEM deckt sich teilweise mit IDS/IPS (Intrusion Detection und Intrusion Prevention System). Netzwerk-basierend überwachen diese die Auslastung und Kommunikation im Netz sowie Ports und erkennen Muster respektive Abweichungen im Netzwerkverkehr. Als Host-basierende Lösungen kontrollieren sich Manipulationen von Dateien und überwachen beispielsweise Gruppenrichtlinien und Benutzerkonten.
SIEM (Security Information and Event Management) vereint die Funktionen von SIM und SEM als Management-Lösung. Es basiert auf unternehmensspezifischen Anforderungen - also auf klaren und umfassenden Definitionen, welche Ereignisse sicherheitsrelevant sind und wie und mit welcher Priorität darauf zu reagieren ist. Es zielt darauf ab, anhand eines Regelwerks kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs zu verbessern.
IPS und SEM allein machen einsam
Nicht allen Anwendern ist bewusst, wie viele Möglichkeiten sie haben, sicherheitsrelevante Vorfälle zu identifizieren respektive zu verhindern. Sie ziehen nur die Auswertung der Netzwerk-Logs in Betracht und setzen dafür mehr schlecht als recht implementierte IDS und IPS ein (Intrusion Detection und Intrusion Prevention Systeme). Ein zusätzliches SEM-System auf Basis von Firewall-Logs ist zwar ebenso verbreitet, erzeugt in den meisten Fällen aber lediglich gefühlte Sicherheit. Der Grund: Alle Systeme erfahren wenig Beachtung und noch weniger kontinuierliche Pflege.
IT-Performance überwachen
Modernes Log Management ist mehr als das: Innerhalb einer IT-Infrastruktur fallen sehr viele Log-Daten an - seien es Geräteinformationen, Betriebssystem-Logs oder Applikations-Interna. Wer diese Daten sorgfältig und umfassend verwaltet, kann viele Sicherheits- und Performancefragen schneller beantworten. Das betrifft nicht nur die Einhaltung von Compliance-Vorgaben, sondern auch die Verbesserung der Leistung von Systemen und internen wie externen Mitarbeitern.
Foto: LogLogic
Das revisionssichere Management von Service Level Agreements (SLAs) gehört zu den Kernaufgaben eines zeitgemäßen Log Managements. Fällt ein Netz aus, kann ein Unternehmen nachvollziehen, ob, wann und wie lange ein bestimmtes System nicht erreichbar war. Hilfreich ist auch die Analyse, welche Transaktionen während des Ausfalls ausgeführt wurden und ob diese nachverfolgt werden müssen. Im Hinblick auf die Fehlerbehebung lässt sich aus der Log-Analyse einfach feststellen, welche Systemkomponenten den Ausfall verursacht haben: War es ein kompletter Server, ein virtualisiertes System, eine einzelne Applikation oder eine Datenbank? Als Dienstleister kann der Gegenbeweis geführt werden, dass die Systeme zur angegebenen Zeit erreichbar und Anwender produktiv waren. Ebenso ist zweifellos darzustellen, ob die Probleme in der vertraglich vereinbarten Zeit behoben wurden. Eine anschließende Fehler- respektive Prozessbewertung anhand der Log-Daten sorgt dafür, dass solch ein Vorfall künftig nicht mehr auftritt. Dadurch leistet das Log Management auch einen Beitrag zur Qualitätssicherung in den IT-Systemen.
Schneller reagieren können
Rollenbasierte Dashboards, die heutige Log-Management-Lösungen anbieten, unterstützen zudem den IT-Service Desk. Dieser kann aufkommende Probleme bereits im First und Second Level Support analysieren, bewerten und vielleicht auch lösen. Aber auch im Bereich IT-Operations haben die Lösungen ihre Stärken, weil sie genau ermitteln können, welche Prozesse welche Systeme wie stark auslasten.
SIEM als Management-Tool
Der SIEM-Ansatz greift bei strategischen Anforderungen für IT-Security und Compliance. So steht das SIM - Security Information Management - für klassisches Log Management, um IT-Forensik zu ermöglichen. Die Voraussetzung dafür ist eine hundertprozentige Log-Daten-Speicherung unterschiedlichster Plattformen, Applikationen und Protokoll-Ebenen. Anhand dessen sind beispielsweise nahezu in Echtzeit Anomalien im Log-Aufkommen sowie Bruteforce- und DDoS-Angriffe zu erkennen. Über SEM-Korrelationen aus der Log-Sammlung gelingt die Kontrolle von Benutzerkonten anhand definierter IT-Sicherheitsrichtlinien. So folgt etwa bei einer doppelten Anmeldung von Benutzern oder deren Anmeldung von weit voneinander entfernten Standorten aus direkt eine Alarm-Meldung.
Foto: LogLogic
Entscheidend ist, dass die Alarme auch unmittelbar einen Prozess auslösen: Wer ist für sofortiges Handeln verantwortlich und welche Maßnahmen sind zu ergreifen? Kritisch werden organisatorische Fragen insbesondere bei Vorfällen wie Port Scans: Sind dafür auch am Wochenende die verantwortlichen IT-Mitarbeiter definiert? Was ist zu tun, wenn der Mitarbeiter auf dem Server keine Ursache findet? Wird der Server pauschal neu installiert oder vom Netz genommen? Schließlich könnte es ein Trojaner sein, der von der Anti-Viren-Software noch nicht erkannt wird. Welche Prozesse sind einzuhalten, wenn unternehmenskritische Systeme wie Active Directory oder der Exchange Server angegriffen werden? Ist überhaupt definiert, was zu den Kernsystemen eines Unternehmens zählt?
Diese Fragestellungen zeigen zwei Aspekte auf: Selbst die ausgefeiltesten Echtzeit-Systeme führen nur dann zu höherer Sicherheit und Leistung im IT-Betrieb, wenn die Unternehmensorganisation in ihrer Handlungsfähigkeit diszipliniert darauf abgestimmt ist. Das gilt sowohl hinsichtlich der Arbeitsabläufe als auch der Verantwortlichkeiten. Zum zweiten ist wesentlich, das Leistungsspektrum der einzelnen Sicherheitslösungen im Detail zu kennen und abzugleichen. Nur dann greifen sie ineinander und sorgen tatsächlich für eine lückenlose Überwachung der Ereignisse im IT-Netz.
Fazit
Modernes Log Management unterstützt Unternehmen nicht nur bei der Einhaltung von Compliance-Vorgaben und der Absicherung der Netze. Es kann auch dabei helfen, die IT besser zu steuern, vorausschauend zu kontrollieren und ein kontinuierliches Qualitätsmanagement zu etablieren. Die wichtigsten Kriterien dafür: Sämtliche Log-Daten müssen revisionssicher erfasst werden, die Auswertung der Logs muss die Richtlinien des Datenschutzes berücksichtigen, die Lösung muss unbegrenzt erweiterbar sein, die Verarbeitung von mehreren Terabytes an Logs darf zu keiner Überlastung führen und sie muss auch Cloud-Umgebungen abdecken.
System-Event-Monitoring-Systeme hingegen funktionieren über die Definition gezielter Anwendungsfälle. Projektverantwortliche müssen zudem klären, welche Alarme in welcher Konstellation erfolgen sollen. (sh)