Strategisches Log-Management Erst die Korrelation von Event-Logs dient der Netzwerk-Sicherheit

Autor / Redakteur: Gisela Knabl / Stephan Augsten

Log-Daten sind in Netzwerken die wesentliche Informationsquelle, um Hard- und Software-Probleme sowie Ressourcen-Engpässe zu lokalisieren oder um Risiken und Angriffe insbesondere im Vorfeld zu identifizieren. Jede IT-Komponente von Router, Firewall und Datenbank über das Betriebssystem bis hin zur Anwendung liefert Log-Files zu jeder Aktion. Einen wirklichen Mehrwert bieten die Daten aber erst dann, wenn sie miteinander in Beziehung gebracht werden.

Event-Logging zahlt sich erst dann aus, wenn alle wichtigen Mitarbeiter und Ressourcen auf eine zentrale Plattform zugreifen können.
Event-Logging zahlt sich erst dann aus, wenn alle wichtigen Mitarbeiter und Ressourcen auf eine zentrale Plattform zugreifen können.
( Archiv: Vogel Business Media )

Eine korrelierende Analyse von Log-Daten und gesetzten Richtlinien erlaubt es, anhand von Mustern drohende Probleme zu erkennen. Diesen Vorteil gilt es zu nutzen – das heißt, aus den Roh-Informationen der Log-Files schnell strategisch verwertbare Erkenntnisse zu gewinnen.

Schritt eins dazu ist die lückenlose Sammlung und Normierung aller Log-Daten. Nur dann sind Zusammenhänge auch präzise erkennbar. Im zweiten Schritt gilt es, Daten für beschleunigte Suchen und Basisanalysen zu indexieren, um zeitnah Maßnahmen gegen drohende Probleme ergreifen zu können. Angesichts der schieren Massen an Log-Daten – allein eine E-Mail erzeugt etwa vier Log-Files – ist dazu ein hoher Automatisierungsgrad mit ausgefeilten Algorithmen erforderlich.

Im dritten Schritt folgt eine integrierte Auswertung der Log-Daten anhand spezifischer Unternehmensziele. Während die einen Unternehmen vordergründig auf die Konformität mit gesetzlichen und industriellen Vorgaben (Compliance) abzielen, stehen bei anderen eher Sicherheitsaspekte oder hohe Anforderungen an die IT-Performance mit schneller Fehleridentifizierung im Fokus.

Strategisches Log-Management gewinnt an Bedeutung

Die meisten Unternehmen sammeln die Log-Daten einzelner Netzkomponenten. Bei Problemen können sie in diesen Log-Silos zumindest manuell nach Fehlerquellen suchen – als letzte Maßnahme, sofern keine andere Lösung gefunden wurde.

Inwieweit Unternehmen bereits dazu übergegangen sind, aus ihrem brachliegenden Datengrab an Log-Files geschäftliche Vorteile zu ziehen, untersucht regelmäßig das SANS-Institut. Diese Organisation ist die weltweit größte für Trainings und Zertifizierungen im Bereich Informationssicherheit.

Der 2008 gemeinsam mit dem Log-Management-Spezialisten LogLogic herausgegebene Markt-Report zeigt, dass der Anteil der Unternehmen mit Log-Servern kontinuierlich von 38 Prozent in 2006 auf 75 Prozent in 2008 gestiegen ist. 80 Prozent der Unternehmen sammeln Log-Daten, 67 Prozent archivieren sie.

Seite 2: Log-Management gehört laut SANS-Studie zu Best Practices

Log-Management gehört laut SANS-Studie zu Best Practices

Für die Studie wurden IT-Spezialisten aus Großunternehmen der Global 2000 bis hin zu kleinen Unternehmen mit weniger als 50 Mitarbeitern befragt. Dabei zeigte sich, dass Log-Management auch seinen Alibi-Status verliert.

In der Studie von 2007 gaben noch 59 Prozent der Befragten zu den Gründen von Log-Management an: ‚Ich weiß nicht genau, wir sehen uns Log-Daten bei Bedarf oder bei Störfällen an’. In 2008 sinkt der Anteil dieser Antwort auf 14 Prozent, was auf ein deutlich gewachsenes Bewusstsein für die Bedeutung von Log-Management hinweist.

Generell nutzen Unternehmen ihre Log-Daten dazu, um Sicherheits- und Performance-Störungen zu erfassen und zu analysieren, Ausfallzeiten zu minimieren, Compliance-Berichte zu erstellen und forensische Analysen durchzuführen.

Darüber hinaus zeigte die SANS-Studie, dass mittelständische Unternehmen den Global-2000-Unternehmen nur wenig darin nachstehen, wenn es um den Einsatz von Log-Servern geht. Auch die Beweggründe für die Einführung von Log-Management sind ähnlich. Allerdings setzen größere Unternehmen ihren Schwerpunkt eher auf Compliance, mittelständische Unternehmen haben mehr die automatisierte Fehlerbehandlung im Blick.

Die SANS-Studie bestätigt somit, dass Log-Management nicht nur aufgrund gesetzlicher Regularien an Bedeutung gewinnt. Vielmehr wurde Log-Management zur Best Practice für Sicherheits- und Performance-Management quer durch alle Global-2000- und mittelständischen Unternehmen.

Grundlage: Lückelose Log-Sammlung mit offener Architektur

Laut der SANS-Studie stuften mehr als die Hälfte der Befragten die Sammlung von Log-Daten als größte Herausforderung im Log-Management ein. Nicht umsonst konzentrieren sich Spezialisten wie LogLogic darauf, Lösungen für die hundertprozentige Sammlung von Log-Files zu entwickeln. Sie nutzen für die unterschiedlichen Systeme in heterogenen IT-Netzen spezifische Methoden zur Erfassung aller Log-Daten, wobei allerdings schon aus Performance-Gründen die Daten nicht physikalisch an einem zentralen Ort vorgehalten werden müssen.

Für Windows-Umgebungen, deren Log-Daten bislang nur mit Hilfe von individuell zu erstellenden Agenten gesammelt werden konnten, hat LogLogic mit Lasso Enterprise 2.0 ein zentrales Gateway entwickelt, das ohne Agenten auskommt. Das beschleunigt und vereinfacht die Log-Daten-Erfassung aus den unterschiedlichen Windows-Plattformen und reduziert die Kosten.

Neben Kosten ist es das Ziel von IT-Abteilungen, die Komplexität der IT-Infrastrukturen zu reduzieren. Je weniger Monitoring-Systeme für reibungslose IT-Prozesse kontrolliert werden müssen, desto einfacher und damit sicherer ist es. Deshalb sind offene, Service-orientierte Architekturen für Log-Management-Lösungen von Vorteil, die bei Bedarf direkt in bestehende Systeme für IT-Sicherheit und -Management sowie Event- und Trouble-Ticketing integriert werden können.

Seite 3: Spezifische Analysen – schnell und Ressourcen-schonend

Spezifische Analysen – schnell und Ressourcen-schonend

Für die individuellen Anforderungen von Unternehmen bedarf es spezifischer Analyse-Software, die anhand vorgegebener Richtlinien Log-Daten auswerten und entsprechende Warnmeldungen oder Maßnahmen auslösen. Wichtig ist hierbei, dass diese Lösungen miteinander integriert sind und auf einen zentralen Log-Daten-Pool zugreifen.

Der erste Aspekt ist entscheidend, um Zusammenhänge erkennen zu können. Beispielsweise kann eine Verletzung der Zugriffsrechte auf eine Datenbank in Verbindung mit weiteren Sicherheitsvorfällen eine sehr viel größere Tragweite implizieren, als die Vorfälle einzeln betrachtet zunächst andeuten. Und wenn alle Analysetools auf eine Datenbasis zugreifen, die 100 Prozent aller Log-Files sammelt, reduziert dies Speicherkapazitäten und erlaubt beschleunigte Auswertungsverfahren.

Integrierte Analysen für korrelierendes Monitoring

Aus diesem Grund hat LogLogic auf Basis seiner Log-Management-Lösungen mit lückenloser Log-Daten-Sammlung integrierte Lösungen entwickelt, die den drei zentralen Herausforderungen in Unternehmen begegnen: Compliance Management, Database Activity Monitoring und Security Event Management.

Letztere Lösung entstand in Zusammenarbeit mit dem Partner Exaprotect, der auf Security Information und Event Management spezialisiert ist. Dazu der Kommentar von Nick Selby, Vice President und Research Director des Analystenhauses The 451 Group „Enterprise Log-Management ist eine zentrale Komponente, um die wachsenden Anforderungen gesetzlicher Regularien zu erfüllen“.

Derzeit zeige sich ein klarer Trend zur Konvergenz von Lösungen für Log-Management, Enterprise Security Information Management und Security Event Monitoring. „Wir sind davon überzeugt, dass die Integration von LogLogics Log-Management-Lösungen und Exaprotects Lösungen für Security Information und Event Management die Grundlage eines leistungsfähigen Produkts bietet“, meint Selby.

Über eine Echtzeit-Analyse tausender Events bei Sicherheitskomponenten, Betriebssystemen, Datenbanken und Anwendungen identifiziert der Security Event Manager unternehmenskritische Vorfälle und wertet sie aus. Mit Hilfe komplexer Event-Korrelationen erkennt die Lösung Angriffe und unterstützt Workflows im Sicherheitsmanagement für eine umfassende Sicherheitsstrategie in Unternehmen.

Integriert verarbeitet der Security Event Manager zudem Ereignisse des LogLogic Database Security Managers. Dieser automatisiert die Überwachung privilegierter Useraktivitäten und schützt Daten innerhalb eines Datenbanksystems durch seine Host-basierte Sensor-Technologie, Richtlinien-basierte Kontrollen und integrierte Prävention.

Virtuelle Patch-Funktionalitäten in Echtzeit sorgen dafür, dass die Lösung übergreifend und automatisch auf dem neuesten Stand gehalten wird, was die Sicherheit erhöht und Administrationskosten senkt. Datenbank-Events können für regelmäßige Kontrollen zudem an den LogLogic Compliance Manager übergeben werden.

Der Compliance Manager automatisiert zum einen den Vergleich von Compliance-Berichten aus Log-Daten mit vorgegebenen Unternehmensrichtlinien. Zum anderen beschleunigt die Lösung die Geschäftsprozesse, die mit Compliance-Kontrollen beziehungsweise Audits verbunden sind.

Die meist inhaltlich und zeitlich komplexen Compliance-Vorgaben werden automatisch überwacht, wobei eine Benutzeroberfläche auf einen Blick den Stand der Richtlinien-Konformität im Unternehmen anzeigt. Die Nutzung von Log-Daten für Compliance erlaubt es zudem, historische und forensische Zusammenhänge zu analysieren.

Fazit

Unter Einsatz intelligenter Technologien kann das Potenzial von Log-Daten als umfassender Informationspool aller Vorgänge im Unternehmen effizient genutzt werden. Vorteile bringt dies nicht nur aus technischer Sicht. Vielmehr ist es auch für das Unternehmensmanagement von zentraler Bedeutung zu wissen, dass Richtlinien und Prozesse tatsächlich umgesetzt und kontrolliert werden in einer Weise, die bei Bedarf auch Audits und rechtlichen Fragestellungen standhält.

(ID:2020537)