Praxis: Log-Management
Anwendungsbeispiel: Wie Log-Management IT-Risiken vermindert
Fortsetzung des Artikels von Teil 1
Die Grundlage: Lückelose Log-Sammlung
Die strategische Nutzung von Log-Daten setzt zunächst ihre lückenlose und zentrale Sammlung voraus. Nur dann führen Analysen zu verlässlichen Ergebnissen, anhand derer sich unternehmensübergreifende Maßnahmen definieren und durchsetzen lassen – Problemstellen werden identifizierbar und im Kontext zu unternehmerischen Prozessen lösbar.
Laut der SANS Studie von 2008 stufte allerdings mehr als die Hälfte der Befragten die Sammlung von Log-Daten als größte Herausforderung im Log-Management ein, gefolgt von Suchfunktionen und Berichterstellung, Verteilung sowie Verwaltung der Kontrollinformationskette von Log-Daten.
Damit war auch die Lavego AG konfrontiert, ein vom ZKA (Zentraler Kreditausschuss) zertifizierter Spezialist für Lösungen und Infrastrukturen für den Zahlungsverkehr mit EC- und Kreditkarten. »Sicherheit und Konformität mit Richtlinien, gesetzlichen Verordnungen und Vorgaben, wie sie insbesondere der PCI-DSS-Standard vorschreibt, haben für uns höchste Priorität«, erklärt Florian Gohlke, Vorsitzender des Vorstands der Lavego AG.
Der Payment-Card-Industry-Data-Security-Standard (PCI DSS) wurde vor einigen Jahren von Visa International, Mastercard, American Express, JCB und Discover entwickelt. Er stellt unter anderem Anforderungen an das Sicherheitsmanagement, an Richtlinien, Abläufe, Netzwerkarchitektur und das Software-Design. PCI DSS ist verpflichtend für Banken, Prozessoren, Payment-Service-Provider und Händler, die Karteninhaberdaten für eigene Zwecke oder im Namen anderer Organisationen speichern, verarbeiten oder übermitteln.
»In enger Zusammenarbeit mit unserem Auditor Acertigo AG haben wir die Maßnahmen für die Einhaltung von PCI DSS definiert«, sagt Florian Gohlke. Schließlich ziehen die zwölf Regeln von PCI DSS eine Vielzahl an IT-Sicherheitsvorkehrungen nach sich. »Auf unsere Frage, was seiner Erfahrung nach die wichtigste Herausforderung ist, war die Antwort: zentrales Log-Management, das heißt die zentrale Sammlung und Echtzeit-Auswertung aller Log-Files, die von den Systemen unseres Netzwerks bei jeder Aktion erzeugt werden«, so Gohlke weiter.
Im Zuge der Suche nach einer geeigneten Log-Management-Lösung installierte die Lavego AG eine Teststellung der MX-Appliance von Loglogic in der PCI-Edition, die speziell für kleine und mittlere Unternehmen konzipiert ist. Diese Lösung kann rund 1000 Log-Quellen und 1000 Log-Messages pro Sekunde verarbeiten.
»Erstaunt hat uns die Einfachheit der Bedienung. Innerhalb von nur drei Stunden wurden die Log-Management-Lösung und alle relevanten Netzkomponenten angebunden«, erläutert Florian Gohlke. Auch die Schulung des zuständigen Mitarbeiters war darin eingeschlossen.
Auf die Frage, in welchem Zeitraum sich die MX-Appliance mit PCI-Compliance-Suite amortisiert hat, ist die Antwort klar: »Im Vergleich zum Aufwand, der ohne die automatisierte Log-Daten-Verarbeitung für die erforderliche Sicherheit und PCI-Compliance nötig wäre, hat sich für uns ein Return on Investment von deutlich weniger als sechs Monaten ergeben.«
Bei Lavego zeigte sich aber noch ein weiterer Effekt: »Sobald wir mit der Loglogic-Appliance zum ersten Mal im Detail und in Echtzeit sehen konnten, welche Prozesse genau in unserem Netzwerk ablaufen, hat uns das verstärkt für Sicherheitsfragen sensibilisiert«, so der Lavego-Manager. »Wir konnten unsere IT-Sicherheitsvorkehrungen noch präziser auf unsere Anforderungen anpassen. Ein hilfreicher Nebeneffekt von zentralem Log-Management ist zudem, dass wir damit Störungen im Netz oder Fehler viel schneller und einfacher identifizieren können.«
Angesichts dieser Kundenerfahrungen treibt Loglogic die Entwicklung seiner Lösungen voran. Grundlage dafür bilden die Appliances für die Sammlung von 100 Prozent der Log-Daten aller im Unternehmensnetz vorhandenen Hardware- und Software-Komponenten. Die offene Architektur der Log-Management-Lösung vereinfacht deren Integration in bestehende Systeme für IT-Sicherheit und -Management sowie Event- und Trouble-Ticketing.
Zudem lassen sich durch das vollständig integrierte Log-Daten-Warehouse auf Basis der verteilten, offenen Plattform Log-Silos vermeiden, was die Skalierbarkeit und die Benutzerfreundlichkeit verbessert.
Die Archivierung der Log-Daten kann über Onboard-Speicher sowie über bestehende Speicherinfrastrukturen wie SANs (Storage Area Networks), NAS (Network Attached Storage) oder WORM-Systeme (Write Once Read Many) erfolgen.
- Anwendungsbeispiel: Wie Log-Management IT-Risiken vermindert
- Die Grundlage: Lückelose Log-Sammlung
- Management-Plattform für intelligente Analysen
Lesen Sie mehr zum Thema
