×
Dieses Buch ist interessant für alle Leser, die bereits mit Cybercrime in Berührung gekommen sind oder sich in Zukunft damit beschäftigen werden.
Im Mittelpunkt der Publikation steht die steigende Relevanz der Implementierung einer Security Information und Event Management (SIEM) Lösung für viele Unternehmen.
Die Effizienz von Security Monitoring und Log Management
IT-Systeme und -Dienste unter Beschuss
von Rukhsar KhanAuszug
Dieser Testbericht zeigt auf, wie verdächtige Ereignisse (Suspicious Events), insbesondere, wenn sie in großen Datenmengen (Big Data) vergraben sind, durch den konsequenten und effzienten Einsatz von Security Monitoring und Log Management aufgedeckt werden können. Ohne den Einsatz einer solchen Lösung bleiben bösartige Aktivitäten (Malicious Activities ) in einem Netzwerk meistens unbemerkt.Immer wieder wird deutlich, dass die eigentliche Schwierigkeit heute nicht in der Eliminierung von Schadsoftware liegt, sondern eher darin, diese überhaupt zu entdecken. So habe ich im Laufe der letzten Zeit folgende Aussagen aus dem Classifed-Bereich gesammelt:
2. Rootkits werden heute von Hackern unbemerkt im Flash-Speicher von Grafikkarten abgelegt. Eine Neuinstallation des Betriebssystems wirkt sich nicht auf das Rootkit aus.
3. Virenscanner werden gerne und oft missbraucht, um die Kontrolle über Systeme zu übernehmen.
So schreibt das US-amerikanische Department of Defense in seinem Bericht „Department of Defense Strategy for Operating in Cyberspace (July 2011)“: „We recognize that there may be malicious activities on DoD networks and systems that we have not yet detected“.
Dies sind nur ein paar wenige Beispiele, aus denen die Wichtigkeit und Notwendigkeit von Security Monitoring und Log Management, d. h. einer konsequenten IT-Sicherheitsüberwachung, klar hervorgeht. Mit Security Monitoring meine ich in dieser Publikation das proaktive Überwachen von verdächtigen Sicherheitsereignissen mit einer Real-Time-Komponente. Log Management bedeutet die reaktive Recherche von Sicherheitsereignissen in der Log-Datenbank. Weiterhin behandle ich die Begriffe Security Monitoring/Log Management, Überwachungssystem und Security Information and Event Management (SIEM)-System synonym zueinander.
Ein Überwachungssystem stellt zwar eine wesentliche Komponente in einem Sicherheitssystem dar, jedoch muss es mit Sicherheitsintelligenz (Security Intelligence) und Sicherheitsfeatures von Firewalls, Intrusion Detection and Prevention (IDP)-Systemen, Anti Virus (AV)-Systemen und vielen weiteren Methoden gefüttert werden.
Aufbauend auf diese Informationen und begleitet durch eine eigene Security Intelligence steht dem Security Analyst durch ein SIEM-System eine moderne Überwachungskomponente zur Verfügung. Aufgrund unserer strategischen Partnerschaft mit dem amerikanischen SIEM-Hersteller Sensage (www. sensage. com) zeige ich in diesem Testbericht alle Facetten der Sicherheitsüberwachung auf einem Sensage-System. Der Bereich Firewalls, IDP- und AV-Systeme bezieht sich auf Produkte der Hersteller Cisco Systems und Juniper Networks, auf die wir seit Jahren durch das Trainings- und Projektgeschäft spezialisiert sind.
Um die Sicherheitsintelligenz bereitzustellen, greife ich insbesondere durch den Einsatz von IDP- und AV-Systemen auf Signatur-basierte Lösungen zurück. Diese Lösungen allein sind allerdings nicht ausreichend, um verdächtiges Verhalten aufzuspüren. Daher kombiniere ich sie mit heuristischen Methoden auf Grundlage eines pragmatischen Ansatzes.