Zentrales Logging zur Erkennung von Sicherheitsvorfällen

Trotz vielfältiger Schutzmechansimen sind heutige IT-Infastrukturen nach wie vor anfällig für Attacken verschiedenster Art. Viele Sicherheitskomponenten liefern wertvolle Loginformationen, die Hinweise auf Sicherheitsvorfälle geben können. Eine Logging-Strategie unter Einsatz entsprechender Auswertungswerkzeuge kann diese Information analysieren und wichtige Ereignisse erkennen. Dadurch wird dies zusehens zu einem zentralen Thema der Sicherheitsarchitektur und des Sicherheitsmanagements.

Schon in einem mässig umfangreichen Netzwerk wird ständig eine grosse Menge an Logdaten generiert. Der Aufwand welcher nötig wäre, um diese Daten "von Hand" zeitnah auf Anomalien hin zu untersuchen, übersteigt regelmässig das verfügbare Zeitbudget der meisten Sicherheitsverantwortlichen. Verantwortlich dafür ist zum einen die Schwierigkeit zu erkennen, welche Informationen auf eine Anomalie hindeuten. Zum anderen bereitet auch die verteilte Lage der Logdateien auf verschiedenen Systemen konkrete technische Probleme beim Versuch, sie analysieren zu wollen.

Als Folge hiervon wird die Sichtung von Logdateien - wenn überhaupt - nur stichprobenartig vorgenommen oder - im schlimmsten Fall - das Logging auf ein Minimum reduziert.

Dilemma vieler Systemadministratoren: Flut an Loginformationen

Zentralisierung der Loginformationen
Eine erfolgreiche Lösung zur Verbesserung dieser Situation kann durch die Zentralisierung, Vereinheitlichung und Filterung der Informationen erreicht werden. Bevor eine Verdichtung der Informationen überhaupt vorgenommen werden kann, sind Use-Cases zu definieren. Diese bestimmen ein Ereignis und definieren, von welchen Systemmeldungen dieses hergeleitet werden kann. Ein typisches Beispiel ist die Erkennung von nicht erfolgreichen Loginversuchen auf einem Server für einen bestimmten Benutzer. Dabei wird definiert, wie oft und in welchem Zeitraum aus einzelnen Meldungen (z.B. "FAILED login for root") ein Ereignis entsteht. Wenn nun solche Ereignisse sehr oft und in regelmässigen Abständen vorkommen, so könnte es sich um eine Brute-Force Attacke handeln, welche einen Alarm und eine entsprechende Reaktion auslösen muss.

Verdichtung der Ereignisse
Der Kern einer solchen Lösung bildet ein zentraler Loghost, der in der Lage ist, die standardisierten Logeinträge der vorhanden Systeme zu empfangen und abzulegen. Bei der Uebermittlung und der Ablage ist vor allem auf die Vollständigkeit und Integrität der Einträge zu achten und entsprechende technische und organisatorische Massnahmen vorzusehen. Anschliessend stehen die Daten für die Weiterverarbeitung, d.h. die Analyse gemäss Use-Case Definition zur Verfügung. Mittels einem graphischen Webinterface lassen sich die Ereignisse und Alarme visualisieren und verwalten. Suchmethoden erlauben zudem, die Daten manuell analysieren zu können und so neue Use-Cases zu definieren. Um die Flut der Information zusätzlich verkleinern zu können, kann die Verarbeitung auf hierarchisch unterschiedlichen Stufen vorgenommen werden. Ereignisse werden auf einem Proxy vorverarbeitet, bevor diese an eine übergeordnete 'Zentrale' weitergeleitet werden.

Verdichtung von Loginformation durch mehrstufige Verarbeitung

Resultat
Mit einer solchen Log-Infrastruktur wird jeder Sicherheitsverantwortliche in der Lage sein, auch ohne grössere Investitionen in neue Sicherheitsprodukte, seine bestehenden Logs effizient auszuwerten und für ihn wichtige Ereignisse automatisch zu erkennen. Zudem bietet dieser Ansatz die Möglichkeit, auch neue Informationsquellen, wie z.B. Intrusion Detection Systeme schnell und günstig integrieren zu können.

Zufriendener Systemadminstrator dank zentralem Logging

Loggen
Mit dem Ausdruck Loggen (aus dem Englischen "to log", protokollieren) wird in der Informatik die Aufzeichnung von verschiedenen Ereignissen während der Laufzeit einer Anwednung bezeichnet. Solche Einträge werden üblicherweise sequentiell in Dateien (Logfile) abgelegt. Inhalt, Format und Wichtigkeit der Einträge sind nicht standardisiert und deshalb schwierig verarbeitbar.