Sicherheitsmanagement
Wie Log-Management IT-Sicherheit verbessert
Fortsetzung des Artikels von Teil 2
Schutz vor Zero-Day-Attacken
Selbst der beste Update-Prozess von Anti-Trojaner- und Anti-Wurm-Lösungen kann Zero-Day-Attacken nicht verhindern. Typischerweise versucht dabei Malware, benachbarte Systeme anzugreifen. Das erfolgt mithilfe von Vervielfältigung und Infektionen, die beim Aufbau von Verbindungen zu anderen Systemen starten – manchmal unter Angabe von Random-Hosts auf Random-Ports und unter Zuhilfenahme von Mechanismen für IP-Spoofing.
Solche Angriffe sind oft in legitimem Traffic versteckt, indem beispielsweise schädliche Codesegmente über Port 80 oder DNS-Ports getunnelt werden. Das einzige auffällige beobachtbare Verhalten dieser Angriffe ist ein Peak in der Zahl der erfolgten Netzwerkverbindungen und zurückgewiesenen Verbindungen von Endgeräten - oder aber von akzeptierten Verbindungen, gefolgt von Modifikation auf Systemfile-Ebene.
Eine Log-Management-Lösung warnt, wenn die Zahl der Logs im Vergleich zur Normalsituation innerhalb einer Zeitspanne um einen bestimmten Prozentsatz erhöht ist. Wichtig dabei: Ein Log-Management ersetzt keine IT-Sicherheitssoftware, sondern ergänzt diese.
Spyware schädigt still und leise, indem sie Client-Rechner, Server und Datenbanken nach Informationen von Wert durchsucht. Ihre gute Tarnung basiert oft darauf, dass sie legitime ausführbare Dateien ersetzt. Das System zeigt in diesem Fall nichts Ungewöhnliches: Die Liste der laufenden Prozesse enthält keine Anomalien und auch die Performance wird nicht beeinträchtigt.
Eine Abwehrstrategie, welche eine Anti-Spyware ergänzt, basiert darauf, dass Spyware in kritische System-Directories entweder neue ausführbare Dateien einbaut oder privilegierte ausführbare Dateien modifiziert. Diese Ereignisse können so konfiguriert werden, dass sie Logs generieren. Das wiederum kann von der Log-Management-Lösung erfasst und gemeldet werden.
Die Grundidee von SIEM ist die Korrelation von unterschiedlichen Ereignissen in der IT-Infrastruktur, um Sicherheitsvorfälle zu erkennen. Loggt sich beispielsweise ein Anwender zur gleichen Zeit von unterschiedlichen Orten aus in ein Unternehmenssystem ein, ist offensichtlich etwas nicht in Ordnung.
Allerdings muss zum einem klar sein, welche Szenarien als »Problem« gemeldet werden sollen. Zum anderen müssen genau diejenigen Logs zur Verfügung stehen, die bestimmte Verhaltensweisen oder kritische Szenarien anzeigen können.
Der erste Schritt für eine leistungsfähige Korrelation ist folglich die lückenlose Sammlung und zentrale Erfassung aller Logs. Danach übergibt eine Log-Management-Lösung alle interessanten Logs an die Korrelations-Engine. Deshalb sind Log-Management und SIEM komplementär: Ersteres bildet den kompletten Heuhaufen, letzteres findet darin in Echtzeit die Nadel.
Je mehr das SIEM durch die Vorsortierung bestimmter Log-Typen unterstützt wird, desto effizienter kann es relevante Logs und Ereignisse korrelieren und individuell definierte Szenarien berücksichtigen.
Als Gesamtlösung bieten Log-Management und SIEM übergreifende Kontrollfunktionen für alle Arten von einzelnen Sicherheitslösungen. Diese Kombination ist daher nicht ein Teil der Security-Trickkiste, sondern kann mit seiner universellen Kontrollfunktion die entscheidende Barriere für drohende Katastrophen sein.
Der Autor: Gorka Sadowsk ist Security Architect bei Loglogic.
- Wie Log-Management IT-Sicherheit verbessert
- Firewalls und VPN zwischen Wunsch und Wirklichkeit
- Schutz vor Zero-Day-Attacken
Lesen Sie mehr zum Thema
