IT Security: Bewährte Verfahren zum Umgang mit Logfiles

Quellen für Logfiles

Logdateien waren in der Vergangenheit die wichtigste Informationsquelle, da sie detaillierte, textbasierte Aufzeichnungen von Ereignissen innerhalb der IT-Systeme eines Unternehmens enthalten. Aber nur weil eine Datenquelle streng genommen keine Logdatei ist, bedeutet das nicht, dass sie außer Acht gelassen werden kann. Diese Ereignisse sind nach wie vor relevant – denken Sie an andere Formate und Arten von Informationen wie beispielsweise über das Netzwerk übertragene Systemtelemetrie, beispielsweise aus dem Simple Network Management Protocol (SNMP), Datensätze aus Anwendungsereignisdatenbanken, Daten aus Cloud-Service-Überwachungsportalen usw.

Diese Informationen stammen von unterschiedlichen Geräten, Anwendungen, Umgebungen und Dienstanbietern, darunter:

• Sicherheitssoftware für Endgeräte, einschließlich Antimalware und Endpoint Detection and Response (EDR).
• Systemdienstprogramme.
• Netzwerkgeräte, zum Beispiel Firewalls und Router.
• Netzwerküberwachungsgeräte, wie zum Beispiel Intrusion Detection- und Prevention-Systeme.
• Auf Servern und Workstations ausgeführte Betriebssysteme.
• Sonstige sicherheitsrelevante Hardware und Software, wie beispielsweise Schwachstellenscanner und Web Application Firewalls (WAF).

Zusammengenommen liefern diese Informationen einen wichtigen Überblick, der dabei hilft, Aktivitäten innerhalb der IT-Infrastruktur zu überwachen, Verstöße gegen Richtlinien zu identifizieren, betrügerische oder ungewöhnliche Aktivitäten aufzudecken und Sicherheitsvorfälle hervorzuheben. Noch wichtiger ist, dass dies sowohl in der Gegenwart als auch für die Vergangenheit möglich ist. Das bedeutet, dass Sicherheitsteams diese Informationen nutzen können, um aktuelle Anzeichen für Kompromittierungen zu erkennen und darauf zu reagieren, aber auch um vergangene Angriffe zu untersuchen und zu analysieren, einschließlich der Feststellung, ob und wie ein Angriff bestimmte Ressourcen beeinträchtigt hat.

Die Bedeutung des Log-Management

Unternehmen, die Systemereignisse nicht erfassen, speichern und analysieren, setzen sich Angriffen aus und verlieren die Möglichkeit, Ereignisse aus der Vergangenheit zu untersuchen. Das Protokollmanagement hilft Sicherheitsanalysten zumindest dabei, die Vorgänge im Technologie-Ökosystem zu analysieren und Schlussfolgerungen daraus zu ziehen – beispielsweise um Angriffe zu erkennen und Probleme im Netzwerk und bei Anwendungen zu beheben.

Die Nichtberücksichtigung der Protokoll- und Ereignisverwaltung birgt auch regulatorische Risiken. Die Protokollierung ist eine Einzelanforderung zur Einhaltung bestimmter Gesetze und Standards, darunter NIS2, DSGVO, KI-VO, CRA, ISO/IEC 27001, HIPAA und PCI DSS. Und auch beim IT-Grundschutz des BSI spielt das Thema Protokollierung eine entscheidende Rolle. Grundsätzlich müssen bei jeder Art der Protokollierung die Vorgaben des Datenschutzes berücksichtigt werden.

Selbst wenn ein Standard oder ein regulatorischer Rahmen die Protokollierung nicht ausdrücklich behandelt, kann sie funktional integriert werden, wenn sie zur Unterstützung einer Prüfung, zur Festlegung einer Basislinie oder zur Identifizierung von betrieblichen Trends oder Problemen erforderlich ist.

Die Verwaltung von Protokollen unterstützt Sicherheitsprogramme in Unternehmen auf folgende Weise:

• Bedrohungssuche (Threat Hunting). Je mehr Einblick Threat Hunter in die Umgebung haben, desto besser. Eine bessere Sichtbarkeit erhöht ihre Genauigkeit und macht sie effizienter.
• Audit und Bewertung. Ereignisinformationen unterstützen Audits direkt, wie bereits erwähnt, und optimieren außerdem den Auditprozess, da Beweise direkt aus den erfassten Informationen gewonnen werden können.
• Incident Response und Betrieb. Dank Echtzeitinformationen zu Aktivitäten im gesamten Unternehmen kann das Team des Security Operations Center (SOC) laufende Ereignisse überwachen.
• Anwendungssicherheit. Bei Programmen, die Anwendungssicherheit umfassen, kann die Untersuchung von Ereignisdaten dabei helfen, eine Reihe von Fragen zum Anwendungsbetrieb zu beantworten. Denken Sie beispielsweise daran, wie nützlich Informationen über Protokolle und Routen, die zwischen Anwendungskomponenten verwendet werden, für die Bedrohungsmodellierung sind.
• Asset-Erkennung und Schatten-IT. Viele Unternehmen haben Schwierigkeiten, zu verfolgen, was von wem verwendet wird. Ereignisinformationen tragen dazu bei, dass die Bestandsaufnahmen der Assets aktuell sind, und helfen bei der Erkennung neuer Technologien, die verwendet werden.

Die Herausforderungen beim Log-Management

Obwohl die Verwaltung von Sicherheitsprotokollen in vielerlei Hinsicht von Vorteil ist, ist sie nicht immer einfach. Um sie richtig zu gestalten, sind Weitsicht und Planung erforderlich. Bedenken Sie die folgenden Herausforderungen:

• Datenmenge. Der Umfang der erfassten Daten kann erheblich sein. Selbst ein kleines Unternehmen, das nur die wichtigsten Ereignisse protokolliert, generiert eine große Menge an Daten. Große Unternehmen können Hunderte von GByte – oder mehr – an Ereignisdaten produzieren. Die Verarbeitung dieser kontinuierlichen und umfangreichen Datenmenge kann komplex werden.
• Ereigniskorrelation. Ereignisquellen sind nicht statisch und potenziell komplex. Ein typischer Technologie-Stack umfasst physische Hosts, virtuelle Hosts, Netzwerkgeräte und Container. Einige davon, insbesondere virtuelle Hosts und Container, können vollständig kurzlebig und/oder softwaredefiniert sein. Um sinnvoll zu sein, müssen Log-Management-Systeme Ereignisinformationen mit einer Quelle korrelieren, selbst wenn diese Quelle nicht mehr existiert oder sich in einer dynamischen und sich schnell verändernden Umgebung wie einem Service Mesh befindet. In einem solchen Fall liefern ein Hostname oder eine IP-Adresse möglicherweise nicht genügend Informationen, um diese Korrelation durchzuführen.
• Ereignisquellen. Informationen stammen aus verschiedenen Endpunkten, unterschiedlichen Quellentypen und in einer Vielzahl von Formaten. Das bedeutet, dass sie normalisiert und organisiert werden müssen, um nutzbar zu sein. Die Umwandlung von Informationen in ein einheitliches Format für eine einfache Suche, Vergleichbarkeit und Lesbarkeit ist von entscheidender Bedeutung. Darüber hinaus ist es wichtig, den Zugriff auf die Systeme, Verbindungswege und Medien, die zum Austausch und zur Speicherung von Informationen verwendet werden, zu sichern und zu kontrollieren und sicherzustellen, dass sie widerstandsfähig sind und große Datenmengen verarbeiten können.

Informationen, die erfasst werden müssen

Es ist wichtig, systematisch zu planen, welche Ereignisse erfasst und aufgezeichnet werden sollen. Die relevantesten Informationen hängen von kontextbezogenen Faktoren ab, wie beispielsweise der Branche, in der ein Unternehmen tätig ist, relevanten gesetzlichen und regulatorischen Anforderungen, unternehmensspezifischen Faktoren wie Risikotoleranz, der Art der Geschäftstätigkeit des Unternehmens usw. Das bedeutet, dass es keine allgemeingültige Antwort auf die Frage gibt, welche Informationen aufbewahrt werden sollten.

Allerdings sind bestimmte Ereignistypen für die meisten Unternehmen generell hilfreich. Diese Elemente gewährleisten die Verantwortlichkeit der Benutzer, unterstützen die Betriebsüberwachung und helfen den Sicherheitsteams, Angriffe zu erkennen, zu verstehen und sich davon zu erholen. Dazu gehören die folgenden:

• Erfolgreiche und fehlgeschlagene Authentifizierungen und Zugriffskontrollen.
• Änderungen der Benutzerrechte.
• Prozessausführung, zum Beispiel Starten einer neuen ausführbaren Datei, eines Containers etc.
• Änderungen an der Konfiguration, insbesondere wenn diese unerwartet sind, zum Beispiel auf kurzlebigen oder softwaregestützten Systemen.
• Installierte oder gelöschte Software.
• Angeschlossene oder getrennte Geräte.
• System- oder Anwendungsfehler und Warnmeldungen.
• Warnmeldungen von Sicherheitskontrollen, zum Beispiel SIEM, EDR und so weiter.

Es ist nicht nur wichtig, was Teams aufzeichnen, sondern auch der Kontext, in dem ein Ereignis stattgefunden hat. Stellen Sie sich vor, ein Mitarbeiter sagt, dass ein neues privilegiertes Benutzerkonto erstellt wurde. Das ist interessant, aber viel weniger nützlich als die Aussage: Ein neues privilegiertes Benutzerkonto wurde um 15:45 Uhr von einem DevOps-Mitarbeiter von seinem Büro-Desktop aus in einer Testumgebung erstellt. Diese detaillierteren Informationen liefern zusätzlichen Kontext, um zu erkennen, ob es sich um einen Angriff, eine andere Anomalie oder nur um normale Aktivitäten handelt.

Bewährte Verfahren der Sicherheitsprotokollierung

Genauigkeit ist wichtig, da kompromittierte oder ungenaue Protokolle zahlreiche negative Folgen haben können. Sie können Ermittlungen behindern, die Glaubwürdigkeit untergraben, auf Erkenntnissen basierende Disziplinarverfahren erschweren – was die Zulässigkeit oder Verwertbarkeit von Beweisen vor Gericht ungültig machen kann – und so weiter. Die Befolgung dieser Best Practices liefert Unternehmen Informationen, auf die sie sich verlassen können.

Die Zeitpunkte von Ereignissen zuverlässig aufzeichnen

Bei Systemuhren und Ereignissen bedeutet dies in der Regel eine Zeitsynchronisation. Versehen Sie jeden Eintrag mit einem genauen Zeitstempel, der von einer vertrauenswürdigen Referenzzeit stammt, beispielsweise durch Verwendung einer externen Quelle zur Synchronisierung interner Uhren mithilfe des Network Time Protocol (NTP).

Die Zeiten sollten in einem einheitlichen Format und einer einheitlichen Notation aufgezeichnet werden, damit die Quellen gemeinsam genutzt werden können, um eine Kette von Ereignissen über einen bestimmten Zeitraum hinweg über Hosts, Umgebungen, Dienste und Anwendungen hinweg zu betrachten.

Integritätsregeln für die betroffenen Daten festlegen

Dazu gehört, wie und wann Protokolle gelöscht werden, wer darauf zugreifen kann, Online- vs. Offline-Speicherung etc. Erwägen Sie den Einsatz von Mechanismen zur Durchsetzung der Integrität. Viele kommerzielle oder Open-Source-Produkte verwenden kryptografisch starke Techniken – zum Beispiel Hash-/Digest- oder Signaturvorgänge –, um die Integrität durchzusetzen, aber selbst einfache Prüfsummen können einen gewissen Schutz bieten, beispielsweise vor versehentlicher Beschädigung.

Stellen Sie sicher, dass auf Laufwerken oder anderen Speichermedien ausreichend Speicherplatz vorhanden ist. Andernfalls werden Ereignisse möglicherweise nicht aufgezeichnet oder vergangene Ereignisse überschrieben. Unternehmen, die einen Cloud-Dienst wie einen SaaS-Datenaggregator nutzen, sollten sicherstellen, dass der Vertrag ausreichend Speicherplatz und Bandbreite vorsieht, damit Ereignisse nicht überschrieben werden oder verloren gehen.

Kontrollen zum Schutz vor unbefugten Änderungen an Protokolldateien einrichten

Die Angreifer ändern häufig die Protokolldateien, um ihre Spuren zu verwischen und einer Entdeckung zu entgehen. Planen Sie sorgfältig, wie Sie sich davor schützen können. In einer Umgebung, die vollständig von Ihrem Unternehmen kontrolliert wird – zum Beispiel IaaS oder ein lokales Rechenzentrum –, sollten Sie beispielsweise in Betracht ziehen, Ereignisse sowohl lokal als auch auf einem Remote-Server außerhalb der Kontrolle der regulären Systemadministratoren aufzuzeichnen. Dies sorgt für Redundanz und bietet eine zusätzliche Sicherheitsebene, da die beiden Log-Sätze miteinander verglichen werden können und Unterschiede auf verdächtige Aktivitäten hinweisen.

Aufbewahrung von Protokollen

So viele Daten wie möglich zu erfassen und so lange wie möglich zu speichern, mag wie eine gute Idee erscheinen, ist es in der Praxis jedoch selten. Angesichts der Datenmengen, die viele Unternehmen generieren, ist dies oft nicht machbar und kann in Situationen mit steigenden Speicherkosten, zum Beispiel bei Cloud-basierten Protokoll- und Ereignisdiensten oder IaaS-gehosteten virtuellen Protokollverwaltungsservern, wirtschaftlich problematisch sein. Umgekehrt sind regulatorische und/oder Kundenanforderungen zu berücksichtigen, die möglicherweise eine Mindestaufbewahrungsfrist für Protokolle vorschreiben.

Zugriff auf vertrauliche Protokolldaten kontrollieren

Personenbezogene oder regulatorisch relevante Informationen in Protokolldateien oder Ereignisdaten sind nach allen Datenschutzregeln zu behandeln, dazu können etwa auch IP-Adressen der Mitarbeitenden zählen. Viele Daten sind in jedem Fall zu pseudonymisieren oder zu anonymisieren. Zudem ist der Zugriff auf Logfiles sehr streng zu reglementieren.

Die Datenerfassung ist nur der erste Schritt.

Selbst wenn angemessene Mengen der richtigen Daten erfasst werden, sind diese wertlos, wenn sie nicht überwacht und analysiert werden und die Ergebnisse nicht umgesetzt werden. Durch Protokollierung und Audits wird sichergestellt, dass Benutzer nur autorisierte Aktivitäten ausführen. Diese Prozesse sind auch entscheidend, um unangemessene Aktivitäten zu verhindern sowie feindliche Aktivitäten zu erkennen, aufzuspüren und zu unterbinden.

Administrator und privilegierte Zugriffe besonders beachten

Ein Bereich der Protokollverwaltung, der besondere Aufmerksamkeit erfordert, sind die Aktivitäten von Administratoren und Konten mit besonderen Berechtigungen. Diese Benutzer verfügen über weitreichende Berechtigungen, und Sicherheitsteams müssen ihre Aktionen sorgfältig protokollieren und überprüfen. Zu diesem Zweck sollte diesen Benutzern kein physischer oder Netzwerkzugriff auf die Protokolle ihrer eigenen Aktivitäten gewährt werden. Darüber hinaus sollten die mit der Überprüfung der Protokolle beauftragten Personen unabhängig von den zu überprüfenden Personen, Aktivitäten und Protokollen sein.

Protokollierungs-Tools verwenden

Aufgrund der Menge der täglich anfallenden Daten, mit denen Unternehmen konfrontiert werden, benötigen die meisten ein spezielles Protokollverwaltungssystem, um die Verwaltung, Ereigniskorrelation und Analyse zu erleichtern. Ein spezialisiertes System verbessert auch die Qualität von Dashboard-Daten und Berichten.

SIEM ist ein gängiger Ansatz, um Protokolldaten aus mehreren Quellen zusammenzuführen. SIEM-Systeme können Daten in Echtzeit analysieren und analysieren, um Abweichungen von etablierten Basislinien zu erkennen. Wenn eine Anomalie entdeckt wird, können SIEM-Systeme Warnmeldungen erzeugen und möglicherweise zusätzliche Sicherheitsmechanismen aktivieren. Sie können regelbasiert sein und verwenden häufig eine statistische Korrelationsmaschine, um Beziehungen zwischen Ereignisprotokolleinträgen herzustellen. Fortgeschrittene Systeme stützen sich auch auf Analysen des Benutzer- und Entitätsverhaltens sowie auf Tools für die Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR, Security Orchestration, Automation and Response).

Was bei der Auswahl eines Tools zur Log-Verwaltung zu beachten ist

Viele Sicherheitsteams kaufen ein Werkzeug zur Protokollverwaltung, bevor sie vollständig geprüft haben, wie es in ihr Sicherheitsprogramm passt und wie es ihren Anforderungen entspricht. Das kann zu Problemen führen.

Dieser Artikel hat zwar mehrere potenziell komplexe Aspekte behandelt, die vor dem Kauf zu berücksichtigen sind, doch sollten Sie vor der Auswahl eines bestimmten Werkzeugsatzes auch Folgendes prüfen:

• Cloud, lokal oder hybrid. Bewerten Sie das bevorzugte Bereitstellungsmodell des Unternehmens: reine Cloud-Dienste, lokal gehostete oder hybride Dienste. Berücksichtigen Sie dabei die Anschaffungskosten für das Tool oder den Dienst sowie mögliche Zusatzkosten, beispielsweise für Bandbreite, Rechenleistung, Speicherplatz etc.
• Bereitstellungsmodell und Speicherort. Die Zeiten, in denen man ein statisches SIEM-Tool kaufte und es einfach ins Netzwerk einfügte, sind für viele Unternehmen und die meisten Anwendungsfälle vorbei. Überlegen Sie stattdessen, welche Informationen Sie sammeln möchten, aus welchen Ressourcen, in welchen Umgebungen und welchen Weg die Daten zurücklegen müssen, um dorthin zu gelangen. Verschiedene Produkte und Dienste haben unterschiedliche Methoden zum Aggregieren und Weiterleiten von Protokollinformationen. Sprechen Sie direkt mit den Anbietern über die Anforderungen Ihres Unternehmens im Vergleich zur Funktionsweise ihres Produkts.
• Datenvolumen (Übertragung). Viele Anbieter und Dienstleister berechnen ihre Gebühren auf Basis des Ereignisvolumens, zum Beispiel Ereignisse pro Sekunde, Datenvolumen pro Sekunde und so weiter. Planen Sie diese Kosten im Voraus ein. Sprechen Sie mit anderen Teams – Netzwerk, Cloud, DevOps –, um zu besprechen, wie das aktuelle Volumen gemessen werden kann, um diese Schätzungen zu erstellen.
• Datenvolumen (Speicherplatz). Die Nutzung von Cloud-Ressourcen für die Speicherung kann sinnvoll sein, um Gebühren für den Datenausgang aus Cloud-Umgebungen zu vermeiden, aber das kann mit gewissen Kosten verbunden sein. Schätzen Sie den Speicherbedarf und die Kosten. Bitten Sie Fachexperten aus dem gesamten Unternehmen um Hilfe und besprechen Sie die Speicherkosten und -anforderungen mit den Anbietern.
• Zugriffskontrollen. Bewerten Sie, wer aus betrieblichen Gründen und aus Datenschutzaspekten, wie beispielsweise SOC, Threat Hunter und so weiter, für Verwaltungszwecke oder aus anderen Gründen Zugriff auf die Tools benötigt oder haben darf. Stellen Sie sicher, dass das Tool ein Zugriffskontrollmodell mit ausreichender Flexibilität unterstützt, um die identifizierten Anwendungsfälle abzudecken.
• Integrität und Vertraulichkeit. Prüfen Sie, wie Daten geschützt werden und welche Mechanismen zur Gewährleistung der Integrität von Protokolldaten vorhanden sind. Achten Sie auf die Fähigkeit der Tools, bestimmte erforderliche Anwendungsfälle zu unterstützen, beispielsweise integrierte oder anpassbare reguläre Ausdrücke, mit denen bestimmte Daten gefunden werden können. Berücksichtigen Sie diese Faktoren bei der Auswahl und beim Kauf.

Dies sind jedoch nicht die einzigen Faktoren, die es zu berücksichtigen gilt. Wie so oft beeinflussen spezifische organisatorische Anforderungen, was für Ihr Unternehmen am wichtigsten ist. Legen Sie in jedem Fall die Anforderungen im Voraus fest, um sicherzustellen, dass das ausgewählte Tool den aktuellen und zukünftigen Anforderungen Ihres Unternehmens gerecht wird.