Sicherheitsnotfälle treten nie geplant auf, und die Reaktion auf solche Notfälle muss umgehend, wirksam und sorgfältig erfolgen. Ein erster Schritt bei der Reaktion auf einen Vorfall ist die Ersteinschätzung. Während der Ersteinschätzung beurteilt ein für die Gefahrenabwehr zuständiger IT-Sicherheitsspezialist die Situation und bestimmt den Umfang und den Schweregrad des Vorfalls. In dieser frühen Phase zählen Minuten, und es ist sehr wichtig, dass den IT-Sicherheitsspezialisten die besten Informationen zur Verfügung stehen, um grundlegende Entscheidungen über die weitere Vorgehensweise zu treffen. Diese Informationen werden häufig über Sicherheits- und IT-Dashboards ausgegeben, die den Zustand und den Betriebszustand des Netzwerks und der Geräte darstellen. Daraus werden detaillierte Geräte- und Host-Protokollinformationen abgerufen. Wenn die Reaktion auf den Vorfall von der Ersteinschätzung in die Untersuchung übergeht, erweitern die IT-Sicherheitsspezialisten ihre Analyse auf alle Systeme, die Hinweise auf die Quelle, den Grund oder das Ausmaß des Vorfalls liefern könnten. Anwendungs- und Systemprotokolle spielen während der verschiedenen Phase einer Sicherheitsuntersuchung eine entscheidende Rolle. Als Anwendungsentwickler oder Systemadministrator können Sie diesen IT-Sicherheitsspezialisten helfen, indem Sie Ihre Systeme so konfigurieren, dass sie möglichst hilfreiche Protokolldaten ausgeben, die diese Bemühungen unterstützen.
Die meisten modernen Betriebssysteme, Anwendungen und Geräte sind in der Lage, Ereignisse in Protokolldateien zu schreiben, die dann an einen zentralen Protokollserver weitergeleitet werden. Diese Ereignisse beschreiben häufig wichtige Ereignisse, die vom System ausgelöst werden, etwa das Hochfahren und Herunterfahren, Fehler oder interessante Benutzeraktivitäten. Durch das Weiterleiten der Protokolle an zentrale Server wird sichergestellt, dass die Protokolle verfügbar bleiben und nicht verfälscht werden, wenn es zu einer Kompromittierung des Host-Systems oder Gerätes kommt. In einem zentralen Protokollspeicher können die IT-Sicherheitsspezialisten Abfragen über Geräte aus der gesamten Systemumgebung ausführen, wodurch sie Zeit und Aufwand sparen. Die Größe und Komplexität Ihrer Systemumgebung sind ausschlaggebend dafür, welche Lösungen für die Implementierung und Verwaltung eines zentralen Protokollservers oder einer Protokollplattform geeignet sind. Die Konfiguration eines sehr einfachen Syslog-Servers ist eine schnelle Möglichkeit, Ihre Protokolle zu zentralisieren. Ein weitergehender Ansatz wäre eine Plattform oder ein Framework für Ereignismanagement – etwa Elasticsearch von Elastic Stack, Logstash und Kibana. Dadurch stehen Ihnen neben der zentralisierten Protokollierung auch Analysefunktionen zur Verfügung, die es durch Datenreduzierung, -Parsen und -visualisierung erleichtern, relevante Daten zu finden. Ein Framework und eine Business Intelligence-Engine helfen dabei, Protokollrohdaten zu analysieren und sinnvoll darzustellen. Dies kann für die IT-Sicherheitsspezialisten eine erhebliche Unterstützung sein, weil sie die Menge der Protokolldaten reduzieren und Ereignisinformationen in praktisch verwertbare Alarme umwandeln. Als Grundlage für die Analysen sind solide, hochwertige Protokolldaten erforderlich.
Es kann eine Gratwanderung sein zu entscheiden, welche Daten protokolliert werden sollen. Protokollieren Sie zu wenige Informationen, reicht die Detailtiefe der Informationen möglicherweise nicht aus, um eine Sicherheitsuntersuchung durchzuführen. Werden zu viele Informationen protokolliert, kann dies Systeme und Systembediener überfordern.
In vielen Anwendungen können Sie festlegen, wie ausführlich Protokolle sein sollen und Ihre Ereignisse mit Metadaten kennzeichnen, die den Schweregrad des Ereignisses beschreiben. Ein Beispiel wäre die Unterscheidung zwischen dem Absturz eines wichtigen Programms und einer neuen Verbindung zu einem Webserver. Beides mag interessant sein, aber die Kritikalität der Vorgänge ist unterschiedlich. Schnellere Netzwerkverbindungen, günstigerer Speicher und fortschrittlichere Analyseprogramme führen dazu, dass Unternehmen mehr Ereignisarten protokollieren können. Allerdings müssen Sie vorsichtig sein und dürfen Ihr System nicht mit potenziellem Rauschen fluten, da dies die Erkennung der wertvollen Informationen erschwert. In größeren Umgebungen muss außerdem geprüft werden, welche Arten von Protokollen durch welche Geräte und Produkte ausgelöst werden, um das Gesamtprotokollvolumen und die Brauchbarkeit der Ereignisse sorgfältig abzuwägen.
Ein gut strukturiertes protokolliertes Ereignis sollte folgende Informationen umfassen:
Ein von allen Herstellern unterstützter Protokollstandard existiert nicht, und auch die jeweiligen Ereignisdatensatz-Schemata unterscheiden sich voneinander. Dies ist einer der Gründe dafür, dass SIEM-Systeme (Security Information Event Management) so populär geworden sind. SIEM-Systeme versuchen, Ereignisse herstellerübergreifend zu normalisieren, um die Ersteinschätzung zu unterstützen. Diese Systeme bieten oftmals eine zentrale Dashboard-Ansicht und eine zentrale Alarmausgabe, die Protokolldaten aus vielen verschiedenen Quellen aufnimmt und korreliert. Fragen Sie als Anwendungsentwickler die für Abwehr- und Notfallmaßnahmen zuständigen IT-Sicherheitsspezialisten in Ihrem Unternehmen, welche Ereignisse und Metadaten in Verbindung mit diesen Ereignissen besonders hilfreich sind oder sich gut in ihr Reaktions-Framework und ihre Programm einfügen würden. Finden Sie dann heraus, ob Sie die Geräte in Ihrer Umgebung so konfigurieren können, dass sie diese Informationen bereitstellen.
Der Textkörper des Ereignisses enthält die Hauptmeldung, in der beschrieben wird, was vorgefallen ist. Nehmen wir als Beispiel ein Benutzer-Anmeldeereignis. Dieses Ereignis sollte ausreichende Informationen enthalten, um die Aktivität zu der Person zurückverfolgen zu können, die das Ereignis ausgelöst hat. Im Ereignis sollte angegeben sein, ob die Identität gerätespezifisch ist oder ob es sich um Domänen-Zugangsdaten oder eine föderierte Identität handelt. Bei komplexeren Szenarien wie föderierten oder zentralen Identitätsmanagement-Plattformen muss abgesichert sein, dass ein Benutzerereignis auf einem bestimmten Gerät über diese verbundenen Systeme hinweg zu einer bestimmten Person rückverfolgbar ist. In der Krisensituation eines Sicherheitsvorfalls stehen die IT-Sicherheitsspezialisten unter Zeitdruck. Mithilfe von Übungsdurchläufen oder Planübungen kann bestimmt werden, wie schnell und effizient sich Ereignisdaten analysieren lassen und Daten mit Handlungen korreliert werden können. Berücksichtigen Sie als Anwendungsentwickler, dass Sie den Ereignistextkörper so formatieren, dass das maschinelle Auslesen durch Skript-Automatisierung möglich ist. Ziel ist es, dass andere Systeme die Ereignismeldung dann direkt aufnehmen können.
Stellen Sie über den Meldungstext hinaus sicher, dass Ihre Anwendungsdatensätze korrekt sind und nützliche Metadaten zum Ereignis enthalten. Sichern Sie beispielsweise ab, dass Datum und Uhrzeit korrekt und mittels eines NTP-Servers (Network Time Protocol) über alle Geräte hinweg synchronisiert werden und dass Sie die IP-Adresse und den Hostnamen bis zu einem konkreten Gerät, System oder Benutzer zurückverfolgen können. Da viele IP-Adressen dynamisch sind – oder in verschiedenen Niederlassungen, Clouds oder Rechenzentren wiederverwendet werden – sollten Sie in Betracht ziehen, Standortdaten zum Ereignis hinzuzufügen oder mit ihm zu verknüpfen. Eine DNS-/Host-Namenskonvention kann in solchen Fällen hilfreich sein. So könnte beispielsweise ein Ereignis, das den Metadaten-Hostnamen sea1DC01 mit der IP-Adresse 172.16.0.10 enthält, als erster Domänen-Controller im Hauptrechenzentrum in Seattle mit der dazugehörigen privaten RFC 1918-IP-Adresse 172.16.0.10 dekodiert werden. Nehmen Sie IP-Adressreservierungen für alle Server und anderen kritischen Geräte vor, um nicht nur sicherzustellen, dass sich ihre IP-Adressen nicht ändern – oder einem anderen Gerät zugeordnet werden – sondern auch, um einen weiteren Datenspeicher bereitzustellen, auf den IT-Sicherheitsspezialisten im Rahmen seiner Untersuchung zurückgreifen können. Ziehen Sie auch eine IP-Lookup-Datenbank in Betracht, die Sie Ihren IT-Sicherheitsspezialisten zur Verfügung stellen können, sodass sie eine IP-Adresse in einem Protokoll schnell einem System oder Eigentümer zuordnen können.
Welche Ereignisse für die Protokollierung ausgewählt werden, hängt von Ihrer Systemumgebung und Ihrem Unternehmen ab. Auf einigen Geräten können Sie lediglich den Schweregrad der zu protokollierenden Ereignisse auswählen, der von „kritisch“ bis „nur zur Information“ reichen kann. Auf anderen Plattformen ist ein hohes Maß an Anpassungen möglich. Über die Gruppenrichtlinien von Microsoft Windows können Objektadministratoren in großem Umfang konfigurieren, welche Ereignisse in ihrer Windows Active Directory-Umgebung protokolliert werden sollen. Verschiedene Cloud-Anbieter, darunter auch SaaS-Anwendungen (Software-as-a-Service) bieten unterschiedliche Stufen der Protokollgenauigkeit und -steuerung an. Überprüfen Sie also, was verfügbar ist. Wenn Sie selbst Anwendungen entwickeln, sind Sie natürlich sehr viel flexibler und können genau auswählen, was Ihre Anwendung in einem Ereignisprotokoll festhält. Versetzen Sie sich in jeder dieser Situationen in die Lage der IT-Sicherheitsspezialisten, die auf einen Sicherheitsvorfall reagieren müssen und fragen Sie sich, welche Informationen für eine Sicherheitsuntersuchung nützlich sein würden. Beispiele für nützliche Ereignisse:
Diese Beispiele sollen lediglich als Ansatzpunkt für Ihre Überlegungen dienen, wenn Sie Ihre eigene Ereignisprotokoll-Strategie entwickeln. Versetzen Sie sich, ob nun als Administrator oder Anwendungsentwickler, in die Lage der IT-Sicherheitsspezialisten und fragen Sie sich, wie die einzelnen Ereignisse, die Sie aktivieren oder erstellen, bei der Behebung eines Sicherheitsvorfalls helfen können. Allein diese einfache Rollenspielübung kann helfen, Daten oder Prozesslücken zu ermitteln, die Sie methodisch abarbeiten können, bevor tatsächlich eine Krisensituation eintritt.
Jeff Fellinge hat 25 Jahre Erfahrung in unterschiedlichen Fachbereichen, vom Maschinenbau bis hin zur Informationssicherheit. Er leitete die Programme im Bereich Informationssicherheit eines großen Cloud-Anbieters mit dem Ziel, Risiken zu mindern und die Effektivität der Sicherheitsmaßnahmen in einem der größten Rechenzentren der Welt zu verbessern. Fellinge recherchiert und bewertet mit Begeisterung Technologien, mit denen sich die Sicherheit von Unternehmen und Infrastrukturen verbessern lassen. Er besitzt und betreibt auch eine kleine Werkstatt für Metallherstellung.