terreActive
HomeUnser AngebotKundenNewsÜber terreActive  
   
News / Publikationen

Zentrales Logging zur Erkennung von Sicherheitsvorfällen

Trotz vielfältiger Schutzmechansimen sind heutige IT-Infastrukturen nach wie vor anfällig für Attacken verschiedenster Art. Viele Sicherheitskomponenten liefern wertvolle Loginformationen, die Hinweise auf Sicherheitsvorfälle geben können. Eine Logging-Strategie unter Einsatz entsprechender Auswertungswerkzeuge kann diese Information analysieren und wichtige Ereignisse erkennen. Dadurch wird dies zusehens zu einem zentralen Thema der Sicherheitsarchitektur und des Sicherheitsmanagements.
Schon in einem mässig umfangreichen Netzwerk wird ständig eine grosse Menge an Logdaten generiert. Der Aufwand welcher nötig wäre, um diese Daten "von Hand" zeitnah auf Anomalien hin zu untersuchen, übersteigt regelmässig das verfügbare Zeitbudget der meisten Sicherheitsverantwortlichen. Verantwortlich dafür ist zum einen die Schwierigkeit zu erkennen, welche Informationen auf eine Anomalie hindeuten. Zum anderen bereitet auch die verteilte Lage der Logdateien auf verschiedenen Systemen konkrete technische Probleme beim Versuch, sie analysieren zu wollen.
Als Folge hiervon wird die Sichtung von Logdateien - wenn überhaupt - nur stichprobenartig vorgenommen oder - im schlimmsten Fall - das Logging auf ein Minimum reduziert.
Dilemma vieler Systemadministratoren: Flut an Loginformationen
Zentralisierung der Loginformationen
Eine erfolgreiche Lösung zur Verbesserung dieser Situation kann durch die Zentralisierung, Vereinheitlichung und Filterung der Informationen erreicht werden. Bevor eine Verdichtung der Informationen überhaupt vorgenommen werden kann, sind Use-Cases zu definieren. Diese bestimmen ein Ereignis und definieren, von welchen Systemmeldungen dieses hergeleitet werden kann. Ein typisches Beispiel ist die Erkennung von nicht erfolgreichen Loginversuchen auf einem Server für einen bestimmten Benutzer. Dabei wird definiert, wie oft und in welchem Zeitraum aus einzelnen Meldungen (z.B. "FAILED login for root") ein Ereignis entsteht. Wenn nun solche Ereignisse sehr oft und in regelmässigen Abständen vorkommen, so könnte es sich um eine Brute-Force Attacke handeln, welche einen Alarm und eine entsprechende Reaktion auslösen muss.

Verdichtung der Ereignisse
Der Kern einer solchen Lösung bildet ein zentraler Loghost, der in der Lage ist, die standardisierten Logeinträge der vorhanden Systeme zu empfangen und abzulegen. Bei der Uebermittlung und der Ablage ist vor allem auf die Vollständigkeit und Integrität der Einträge zu achten und entsprechende technische und organisatorische Massnahmen vorzusehen. Anschliessend stehen die Daten für die Weiterverarbeitung, d.h. die Analyse gemäss Use-Case Definition zur Verfügung. Mittels einem graphischen Webinterface lassen sich die Ereignisse und Alarme visualisieren und verwalten. Suchmethoden erlauben zudem, die Daten manuell analysieren zu können und so neue Use-Cases zu definieren. Um die Flut der Information zusätzlich verkleinern zu können, kann die Verarbeitung auf hierarchisch unterschiedlichen Stufen vorgenommen werden. Ereignisse werden auf einem Proxy vorverarbeitet, bevor diese an eine übergeordnete 'Zentrale' weitergeleitet werden.
Verdichtung von Loginformation durch mehrstufige Verarbeitung
Resultat
Mit einer solchen Log-Infrastruktur wird jeder Sicherheitsverantwortliche in der Lage sein, auch ohne grössere Investitionen in neue Sicherheitsprodukte, seine bestehenden Logs effizient auszuwerten und für ihn wichtige Ereignisse automatisch zu erkennen. Zudem bietet dieser Ansatz die Möglichkeit, auch neue Informationsquellen, wie z.B. Intrusion Detection Systeme schnell und günstig integrieren zu können.
Zufriendener Systemadminstrator dank zentralem Logging
Loggen
Mit dem Ausdruck Loggen (aus dem Englischen "to log", protokollieren) wird in der Informatik die Aufzeichnung von verschiedenen Ereignissen während der Laufzeit einer Anwednung bezeichnet. Solche Einträge werden üblicherweise sequentiell in Dateien (Logfile) abgelegt. Inhalt, Format und Wichtigkeit der Einträge sind nicht standardisiert und deshalb schwierig verarbeitbar.
Autor

Urs Rufer (rufer at terreActive.ch)
Head of Consulting&Projects
terreActive AG


Urs Rufer ist Partner der terreActive AG und dort als Consultant und Projektleiter für umfangreiche IT-Security Projekte zuständig. terreActive ist seit 1996 im Bereich der IT-Security tätig und hat sich auf Beratung, Integration und Betrieb von Firewall und VPN (Managed Security Services) spezialisiert. Zu den Kunden von terreActive zählen grosse und mittlere Unternehmen aus dem Finanzsektor, der Industrie und der öffentlichen Verwaltung. Ihnen gemeinsam sind hohe Sicherheitsansprüche, welche terreActive mit ihren Lösungen und Dienstleistungen optimal abdecken kann.



SitemapKontaktRechtlichesEnglish Version

Suchen:

Partnerschaft mit HP
terreActive erweitert ihr Angebot mit HP-Servern

splunk Partnerschaft
Unser Angebot.
Unsere nächsten Trainings 1./2. September 2010.


tacLOG-Trainings
nächster Termin: Mittwoch, 8. September & Donnerstag, 9. September 2010
Hier erfahren Sie mehr.

Security Breakfast Zürich, 9. September 2010
Splunk - Listen to your Logs - Erfahrung aus der Praxis, Lösungsansätze, Live-Demo

Kanton Aargau, Stadt Aarau & Ringier AG
Interviews >>

Wir suchen Verstärkung!
Unsere offenen Stellen.

Managed Security Services
Wir sorgen für den reibungslosen Betrieb.
 
zurückdrucken
  copyright 2010 terreActive Webdesign by MySign