Startseite
No. 02.2008		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheitsupdate 2009 – was bringt das nächste Jahr?

Lohnenswerte Investitionen in integrierte GRC-Lösungen

WAN-Optimierung ja, aber nur schnell und sicher

Den Sicherheits-Gau vermeiden – durch konsequente Überwachung

DLP - Möglichkeiten und Grenzen einer Technik

Der neue Kampf um eine verbesserte Client-Sicherheit
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

Den Sicherheitsgau-Gau vermeiden - durch konsequente Überwachung

Uwe Maurer, Business Development Manager, CISSP Security Operations
Security Monitoring
Wirkliche Sicherheit entsteht erst durch die Kombination präventiver Sicherheits­maßnahmen mit gezielter Über­­wachung und geeigneter Reaktion im Ernstfall. Gerade im Bereich Überwachung – dem Security Monitoring – müssen viele Unternehmen mit Blick auf Qualität und Effizienz einiges nachholen, um ein ausreichendes Leistungsniveau zu erreichen und den sich aus einer effizienten Überwachung potentiellen Nutzen für sich realisieren zu können. Leider wird die Notwendigkeit zur Einrichtung des Security Monitorings aber oft erst dann erkannt, wenn regulative Zwänge entstanden sind oder wenn, im schlimmsten Falle, bereits konkrete Sicherheits-‚Ernstfälle’ aufgetreten sind, zu deren Klärung des Ablaufs und der Ursachen Systemaufzeichnungen herangezogen werden müssen. Dabei könnten viele Sicherheitsvorfälle bereits im Vorfeld vermieden werden, hätte man entsprechende Hinweise vorher ernst genommen und in einen rechtzeitigen Alarm umgewandelt.

Unternehmen sollten bei jedem Sicherheitsvorfall immer genau prüfen, warum die ITSecurity ihn nicht verhindert hat – und diesen Über­legungen können Sicherheitsverantwortliche am besten durch den fundierten Nachweis darüber begegnen, dass die Schutzmassnahmen zielgerecht eingesetzt und ständig verbessert wurden. Echtes „Security Monitoring“ bedeutet also mehr als die Demonstration des bloßen Vorhandenseins üblicher Schutzmaßnahmen und die Vorgabe, regelmäßig die Log-Daten anzuschauen. Wirklich fachgerechtes Security Monitoring sollte verlässliche Informationen in der Weise liefern, dass auf ihrer Basis nicht nur künftige Sicherheitsvorfällen rechtzeitig verhindert, sondern auch aussagekräftige Kennzahlen formiert werden können. Anhand dieser lassen sich die Schutz­massnahmen im Unternehmen kontinuierlich und nachhaltig optimieren.

Best Practise im Security Monitoring
Was muss also für ein fachgerechtes Security Monitoring noch konkreter als üblicherweise beschrieben werden, damit ein solch umfassender Schutz erreicht werden kann? Grundsätzlich sollten Unternehmen in allen Bereichen, die das Security Monitoring berührt, auf bewährte und effiziente Verfahren zur Umsetzung setzen.

Im Einzelnen besteht die Best Practise im Security Monitoring aus folgenden Bereichen:
  • aus dem Log-Management für den zuverlässigen und wirkungsvollen Umgang mit den Systemaufzeichnungen im Unternehmen,
  • aus nachgewiesenen Sicherheits-Kennzahlen, auf deren Basis die Schutzmaßnahmen für die Sicherheit des Unternehmens konzipiert und ständig angepasst werden sowie
  • aus der Alarmierung, die schon bei ersten Hinweisen auf Sicherheitsvorfälle ‚anschlägt’ und erste geeignete De-Eskalationsmaßnahmen automatisiert einleitet.
Logmanagement
Mit einem effizienten Log-Management stellen Unternehmen sicher, dass die – z.B. oft bereits schon regulativ vorgeschriebenen - notwendigen Systemaufzeichnungen vorhanden und verwendbar sind. Eine der zentralen Forderung gesetzlich vorgeschriebenen Sicherheits­anforderungen ist hierbei, dass alle Log-Daten unverändert vorliegen müssen. Solange ein hochprivilegierter Zugriff auf die Logdaten möglich ist, kann dieser Anforderung nur mit einem sehr hohen Aufwand entsprochen werden. Eine einfache und kosten­günstige Maßnahme besteht darin, dass Unternehmen diese Daten möglichst schnell („in Echtzeit“) auf ein getrenntes System, einen sogenannte „Log-host“ kopieren. Auf dem Log-host kann zusätzlich nicht nur der Eingang der Log-Daten regelmäßig kontrolliert werden, sondern auch alle Änderungen an der Log-Konfiguration. Darüber hinaus wird auf beiden Systemem auch jeder Zugriff auf die Log-Daten ge­nauestens protokolliert. Bei der Archivierung der Log-Daten muss zusätzlich sichergestellt werden, dass sie auch nach einem „Retrieval“ wieder verwendbar sind. Deshalb sollte die ordnungs­gemäße Archivierung der Log-Daten einfacherweise ebenfalls getrennt mittels eines Log-host erfolgen.

Sicherheitskennzahlen und Richtlinienkontrolle
Die Richtlinienkontrolle sowie die Überwachung der wichtigsten technischen Schutzmaßnahmen spielen eine wesentliche Rolle für das Security Monitoring. Im folgenden werden beispielhaft einige Möglichkeiten zur Überwachung genannt:
  • der Einsatz von Firewalls in Bezug auf ihre Effektivität und Komplexität ihre zugrunde liegenden Regelwerke
  • die Abdeckung durch einen mehrstufigen Virenschutz mit Blick auf dessen Wirksamkeit und Aktualität
  • die Konfigurationsüberwachung aller Systeme sowie die Einhaltung sicherheitskritischer Korrekturzeiten
  • die Überwachung von Ausnahmeregelungen sowie Richtlinien­verstößen bei Clients und Usern
  • die Anzahl von „Eil-Change“-Anträgen
  • die Überwachung anonymer Admin- und Service-Accounts sowie von Accounts für Entwickler oder Fremdfirmen
  • die Konsistenz aller Benutzergruppen sowie der Directories.

Die richtige Sicherheitsalarmierung
Ein effizientes Security Monitoring muss immer auch eine rechtzeitige Alarmierung bei Hinweisen auf mögliche Sicherheitsvorfälle integrieren. Solche Hinweise können u.a. sein:
  • Auffälligkeiten beim Verbindungsaufbau von innen nach außen
  • Bestimmte Angriffsmuster in Systemen der Netzwerk-DMZ ("Demilitarized Zone"), besonders wenn andere auffällige Aktivitäten vorausgegangen sind (z. B. Port- oder Application-Scans) oder folgen (z. B. Anomalien bei SQL-Abfragen)
  • Unautorisierte Scan-Aktivitäten bzw. wurmähnliches Verhalten oder Hinweise auf Malware
  • Viren in ausgehenden Mails oder nach Anschluss eines (USB-)Devices
  • Login-Fehler mit anschließendem erfolgreichen Login und Datentransfer
  • Zugriffsversuche von einem System mit Fremdfirmen-Zugang
  • Nicht angemeldete Änderungen an Berechtigungs-Systemen
  • Ungewöhnliche Admin-Zugriffe auf Mailboxen, Anwendungen und Datenbanken

Umsetzung der Best Practise
Um ein wirkungsvolles Security Monitoring im Unternehmen zu imple­mentieren, bedarf es der vollen Unterstützung aller Beteiligten, vor allem des Managements. Aus Gründen der Datenverwendbarkeit gilt für das Security Monitoring besonders die Einhaltung des Prinzips der Pflichten­trennung („Separation of Duties“) und es muss einer lauf­enden Priorisierung und Vervollständigung der Überwachung unterzogen werden. Auftretende Alarmierungen sollten auf ein sinnvoll zu bewältigendes Ausmaß reduziert werden, was aber nicht heißt, Alarme einfach auszu­filtern, sondern durch bestimmte Zusatz­bedingungen nur die tatsächlich dringenden Fälle heraus­zuarbeiten. Ganz grundsätzlich müssen Unternehmen alle Ein­richtungen für das geordnete Erzeugen, die überwachte Konsolidierung, die korrekte Analyse sowie die Archivierung regelmäßigen Tests und Reviews unterziehen, und das gilt vor allem für die Mechanismen zur Selbst­überprüfung der Integrität des Security Monitorings und seiner gesamten Daten.

Nach heutigem Standard ist ein effizientes Security Monitoring ohne die Unterstützung geeigneter technischer Systeme nicht zweckmäßig umsetzbar. Solche Systeme automatisieren zuverlässig und weit­gehend etwa sowohl das Log-Management als auch die not­wendigen Aus­wertungen und Alarmierungen. Die Anschaffungskosten für geeignete Systeme sind mittlerweile auch durchaus verträglich geworden. Alternativ können sich Unternehmen natürlich auch für einen Managed Security-Service entscheiden, der nachweisbar eine tiefe Analyse der System­aufzeichnungen durchführt. Dieser Service überlässt die letzte Bewertung dann Spezialisten, die nur bei wirklich wichtigen Sicherheits­vorfällen dringende Gegenmaßnahmen einleiten.
Bei einem konzeptionell sauberen Vorgehen wird der Aufwand für den Aufbau eines fachgerechten Security Monitorings immer in ein vernünftiges Verhältnis zum Nutzen gebracht. Unternehmen sollten sich vor Augen führen, dass die versteckten Kosten durch fehlende Transparenz in Sicherheitsdingen normalerweise wesentlich höher sind und eine fehlende und unzuverlässige Überwachung den gesamten Aufwand, den ein Unternehmen für präventive Schutzmaßnahmen treibt, in Frage stellen kann.


E-Mail an den Autor     Artikel weiterempfehlen