Digitale Transformation ad hoc Log-Management in Zeiten von COVID-19
Anbieter zum Thema
Remote Working hat in Sachen digitale Transformation vieles verändert. Bis auf die Logs, sie werden weiter gesammelt, egal ob der User im Wohnzimmer oder im Büro sitzt. Allerdings sind Logs nicht gleich Logs. Einige von ihnen fallen inzwischen unter die Definition personenbezogener Daten und müssen entsprechend gesichert werden. Erst recht jetzt, wo dramatisch mehr Logs anfallen, reicht es nicht mehr, sie quasi im SIEM zu verstauen.

Die digitale Transformation der letzten Monate war für die meisten Firmen nicht unbedingt freiwillig. Praktisch über Nacht mussten Unternehmen sich auf eine für viele völlig neue Arbeitsweise einstellen. Für die einen hieß das deutlich mehr Remote Working als bisher, für die anderen war damit eine komplett neue Arbeitsform verbunden. Ganze IT-Abteilungen waren damit beschäftigt Richtlinien und Technologien einzuführen, um die notwendigen Voraussetzungen zu schaffen. Sämtliche Tools, auf die Mitarbeiter üblicherweise innerhalb des Unternehmensnetzwerks zugreifen, mussten jetzt von außen zugänglich sein. Firmen setzen dabei entweder auf bewährte VPN-Lösungen, auf SSL-verschlüsselte Verbindungen zu Web-Applikationen oder auf Citrix-Farmen. Nur eines hat sich bei all dem nicht verändert: die Logs. Sie werden weiterhin gesammelt, unabhängig davon, ob ein Nutzer innerhalb des Netzwerkperimeters oder im eigenen Wohnzimmer sitzt.
Warum Log-Management so wichtig ist
In den Logs befinden sich Daten, die über Aktivitäten und Leistung von Anwendungen, Systemen und Benutzern Auskunft geben. Das ist aus Sicherheitsgründen wichtig, aber auch um die Gesamtleistung bestimmter Anwendungen und Tools zu überwachen. Normalerweise werden Logs in das Security Information and Event Management (SIEM) des Unternehmens eingespeist. Dadurch lassen sich letztendlich Aktivitäten identifizieren, die auf eine mögliche Kompromittierung hinweisen oder aus anderen Gründen von der Norm abweichen. Interessanterweise archivieren die meisten Unternehmen nicht alle Logs, sondern nur die "wichtigen". Dazu zählen gewöhnlich Server-Logs, Remote-Logs, Multi-User-Systemlogs, Security-Logs und Web Application Logs. Diese im SIEM gesammelten Logs werden für Analysen in Echtzeit verwendet.
Wenn Firmen sich bei der Archivierung auf die wichtigeren Logs beschränken, hat das einen guten Grund. Es trägt dazu bei, die Kosten von SIEM-Anbietern wie etwa Splunk, zu kontrollieren. Das Modell hat sich bewährt. Gerade wenn man bedenkt, dass der Preis für die Wartung einer SIEM-Lösung in der Regel auf der Gigabyte-Zahl an Logs pro Tag oder der Menge an verbrauchtem Speicherplatz basiert.
Die digitale Transformation hat die Karten neu gemischt
Wenn ein Unternehmen allerdings gezwungen ist, innerhalb weniger Wochen von 50 auf 5.000 Remote-Mitarbeiter umzustellen, ändern sich die Dinge drastisch. Zu den Logs, die an eine SIEM-Lösung gesendet werden, zählen solche von externen Zugriffspunkten wie Remote-Rechner, Serverlogs, aber auch Daten von Terminaldiensten, aus Citrix-Anwendungen sowie die Logs aus den Anwendungen.
Während des Lockdowns ist Folgendes passiert. Unternehmen, in denen zuvor nur ein Bruchteil der Belegschaft Logs für den Remote-Zugriff produziert hat, sahen sich plötzlich mit einem exponentiell höheren Log-Volumen konfrontiert. Logs, die alle in die SIEM-Lösung des jeweiligen Unternehmens eingespeist werden. Dieser Teil der digitalen Transformation hat bekanntermaßen nicht schrittweise stattgefunden, sondern für die meisten ad hoc. Sicherheitsmaßnahmen für externe Mitarbeiter sukzessive hochzufahren war kaum mehr möglich. Selbst Firmen in der Größenordnung von Microsoft oder von Netzwerkprovidern haben Probleme, wenn dermaßen viele Änderungen gleichzeitig stattfinden.
Die Arbeitsweise von Unternehmen ist aber nicht das Einzige, das sich verändert hat. Auch die Datenschutzgesetzgebung hat sich verfeinert, um bestimmte Logs in die Definition personenbezogener Daten aufzunehmen. Da Logs nun zu den personenbezogenen Daten zählen, müssen sie verschlüsselt und entsprechend sicher aufbewahrt werden.
Ein zentrales Log-Management – die Lösung?
Das Konzept des Log-Managements ist zu einem Gutteil in Vergessenheit geraten. Gerade in jüngster Zeit tendieren Unternehmen dazu, ihre Logs quasi im SIEM zu verstauen und die Arbeit damit als erledigt zu betrachten. Dieser Ansatz ist aber durch den immensen Anstieg gesammelter Logs untauglich geworden.
Um das Problem zu lösen, bietet es sich an, ein zentrales Log-Management (CLM) in Betracht zu ziehen. Hier werden alle Log-Daten konsolidiert und auf einen zentrale Datenhighway geschoben. Der führt alle Logs zusammen und leitet sie dorthin, wo sie gebraucht werden. Im Wesentlichen ist ein zentrales Log-Management (CLM) dazu da, Unternehmen das Leben leichter zu machen und die nicht unerheblichen SIEM-Kosten zu senken. Umso mehr als SIEM-Lösungen für das Log-Management nicht besonders effizient sind.
Wenn man sämtliche Logs in einem SIEM ablegt, können sie teilweise fragmentiert oder unvollständig sein. Das wirkt sich direkt darauf aus, wie gut man die Sicherheitslage überwachen kann und darauf, wie effektiv die Incident Response funktioniert. Mit einem zentralen Log-Management entfällt ein Großteil der Last, die damit verbunden ist, zusätzliches Personal einzustellen, Schulungen durchzuführen oder eine SIEM-Lösung einzuführen und zu betreiben. Zudem spart man zusätzliche SIEM-Kosten und die SIEM-Infrastruktur ist besser geschützt, weil dort keine Logs landen, die nicht ordnungsgemäß verwaltetet worden sind.
Aus einer bisher fragmentierten wird dadurch eine einheitliche Datenerfassung. Wenn eine SIEM-Infrastruktur aufgrund der riesigen Datenmenge an ihre Grenzen kommt, empfiehlt es sich, die Daten zu filtern und nur die Informationen an die SIEM-Lösung weiterzuleiten, die wirklich notwendig sind. Damit adressiert man gleichzeitig eine uralte Strategie. Nämlich, dass IT-Teams nur eine eigene Datenquelle zur Verfügung haben. Stattdessen nutzen sie die Datenautobahn eines zentralen Log-Managements, mit dem die Informationen direkt an das entsprechende Team weitergeleitet werden.
Daten bereinigen
Nach dem Loggen müssen die Daten geparst werden. Beim Parsen wird eine Datenfolge analysiert oder es werden bestimmte Elemente herausgezogen. In der Datenverarbeitung verwendet man Parsen, um die gewünschte Datenstruktur aufzubauen. Damit lässt sich einiges bewerkstelligen, und vor allem werden Sicherheitsteams bei der aktuellen Form der digitalen Transformation unterstützt. Bevor man mit dem Parsen der gewünschten Elemente beginnt, sollte man überflüssige herausfiltern. Mit diesem Ansatz lassen sich unnötige und unerwünschte Informationen aus den Logs entfernen, die schlussendlich an das SIEM gesendet werden sollen. Mittels Parsen ist es möglich, ein Log zu nehmen, überflüssige Informationen zu entfernen und das Log im laufenden Betrieb neu zu schreiben, um den üblicherweise benötigten Speicherplatz zu verringern. Nebenbei erhöht man mit dieser Methode den Nutzwert der Daten.
Welche Informationen aber sind überflüssig? Ein Beispiel ist die zeitliche Markierung, die viele Anwendungen in das Log ihres Systems einfügen, um anzuzeigen, dass sie online sind. Wenn ein Auditor nicht zwingend auf diese Art von Informationen angewiesen ist, gibt es keinen Grund, warum ein Unternehmen dafür zahlen sollte, sie im SIEM abzuspeichern. Diese Vorgehensweise empfiehlt sich, wenn Unternehmen nach einer Methode suchen, mit der sie ihre Kosten vergleichsweise schnell und einfach senken können. Man kann den kompletten überflüssigen Text herausfiltern, der im Log landet, oder sich die Mühe machen, und die Logs von bestimmten Ereignissen parsen.
Parsen, Filtern, Ausblenden und andere Transformationstechniken in einem CLM helfen Datenschutzprobleme beim Log-Management in den Griff zu bekommen und personenbezogene Daten herauszufiltern. Spezifische personenbezogene Daten können mit einem Muster abgeglichen und entfernt werden, bevor das betreffende Log an das SIEM gesendet wird. Solche Daten lassen sich auch ausblenden oder anonymisieren. Das ist nicht ganz unwichtig, wenn mehr und mehr personenbezogene Daten gesammelt und gleichzeitig die Datenschutzgesetze strenger werden.
Effiziente Datenspeicherung in effizienten Teams
Auch wenn es in vielerlei Hinsicht für die digitale Transformation nicht unmittelbar entscheidend ist, sollte man im Auge behalten, dass nicht jeder, der die Logs überprüft, auch das SIEM verwendet oder so hoch qualifiziert ist wie ein Linux- oder UNIX-Administrator. Vielleicht reicht Ihnen ganz einfach eine grafische Benutzeroberfläche. Anders ausgedrückt, ein Team sollte in der Lage sein, den Datenhighway auch befahren zu können.
Bauen Sie eine Datenautobahn!
Im Idealfall optimieren Sie ihre SIEM-Lösung so, dass Sie gleichzeitig die Wahrscheinlichkeit erhöhen, Compliance-Anforderungen zu erfüllen. Es ist problemlos möglich, von mehreren Orten aus zu loggen und diese Logs zu durchsuchen. Mit einem derart verschlüsselten Datenspeicher schläft vermutlich selbst der Compliance-Beauftragte ruhiger. Über das SIEM hinaus kann man die Daten überallhin senden, wie beispielsweise an kafka, mongodb, sämtliche Datenbanken, Big Data-Systeme oder jeden anderen beliebigen Speicherort. Man sollte sich beim Optimieren aber nicht auf die SIEM-Lösung beschränken, sondern besser gleich eine Datenautobahn aufbauen. Innerhalb eines zentralen Log-Managements sammeln Sie alle Logs nur einmal und geben Sie sie genau dorthin weiter, wo sie gebraucht werden.
Wenn Unternehmen sich für neue Technologien im Rahmen der digitalen Transformation entscheiden, sollten sie nicht außer Acht lassen, wie wichtig ein effektives Log-Management ist. SIEM-Kosten haben tendenziell die Neigung aus dem Ruder zu laufen. Sie lassen sich aber über ein zentrales Log-Management verwalten und sogar senken, ohne an Effektivität zu verlieren.
Über den Autor: Zoltan Bakos ist Senior Privileged Solutions Architect bei One Identity.
(ID:46973484)