Die Effizienz von Security Monitoring und Log Management

Auszug

Dieser Testbericht zeigt auf, wie verdächtige Ereignisse (Suspicious Events), insbesondere, wenn sie in großen Datenmengen (Big Data) vergraben sind, durch den konsequenten und effzienten Einsatz von Security Monitoring und Log Management aufgedeckt werden können. Ohne den Einsatz einer solchen Lösung bleiben bösartige Aktivitäten (Malicious Activities ) in einem Netzwerk meistens unbemerkt.
Immer wieder wird deutlich, dass die eigentliche Schwierigkeit heute nicht in der Eliminierung von Schadsoftware liegt, sondern eher darin, diese überhaupt zu entdecken. So habe ich im Laufe der letzten Zeit folgende Aussagen aus dem Classifed-Bereich gesammelt:

- Es ist keine Seltenheit, dass auf Rechnern von Geheimdiensten Trojaner ein halbes Jahr lang unbemerkt bleiben.
2. Rootkits werden heute von Hackern unbemerkt im Flash-Speicher von Grafikkarten abgelegt. Eine Neuinstallation des Betriebssystems wirkt sich nicht auf das Rootkit aus.
3. Virenscanner werden gerne und oft missbraucht, um die Kontrolle über Systeme zu übernehmen.
So schreibt das US-amerikanische Department of Defense in seinem Bericht „Department of Defense Strategy for Operating in Cyberspace (July 2011)“: „We recognize that there may be malicious activities on DoD networks and systems that we have not yet detected“.
Dies sind nur ein paar wenige Beispiele, aus denen die Wichtigkeit und Notwendigkeit von Security Monitoring und Log Management, d. h. einer konsequenten IT-Sicherheitsüberwachung, klar hervorgeht. Mit Security Monitoring meine ich in dieser Publikation das proaktive Überwachen von verdächtigen Sicherheitsereignissen mit einer Real-Time-Komponente. Log Management bedeutet die reaktive Recherche von Sicherheitsereignissen in der Log-Datenbank. Weiterhin behandle ich die Begriffe Security Monitoring/Log Management, Überwachungssystem und Security Information and Event Management (SIEM)-System synonym zueinander.
Ein Überwachungssystem stellt zwar eine wesentliche Komponente in einem Sicherheitssystem dar, jedoch muss es mit Sicherheitsintelligenz (Security Intelligence) und Sicherheitsfeatures von Firewalls, Intrusion Detection and Prevention (IDP)-Systemen, Anti Virus (AV)-Systemen und vielen weiteren Methoden gefüttert werden.
Aufbauend auf diese Informationen und begleitet durch eine eigene Security Intelligence steht dem Security Analyst durch ein SIEM-System eine moderne Überwachungskomponente zur Verfügung. Aufgrund unserer strategischen Partnerschaft mit dem amerikanischen SIEM-Hersteller Sensage (www. sensage. com) zeige ich in diesem Testbericht alle Facetten der Sicherheitsüberwachung auf einem Sensage-System. Der Bereich Firewalls, IDP- und AV-Systeme bezieht sich auf Produkte der Hersteller Cisco Systems und Juniper Networks, auf die wir seit Jahren durch das Trainings- und Projektgeschäft spezialisiert sind.
Um die Sicherheitsintelligenz bereitzustellen, greife ich insbesondere durch den Einsatz von IDP- und AV-Systemen auf Signatur-basierte Lösungen zurück. Diese Lösungen allein sind allerdings nicht ausreichend, um verdächtiges Verhalten aufzuspüren. Daher kombiniere ich sie mit heuristischen Methoden auf Grundlage eines pragmatischen Ansatzes.