Anbieter von Managed Detection and Response (MDR) wie ForeNova setzen im Rahmen ihrer verwalteten Angebote eine Vielzahl von Funktionen ein, um Kunden bei der Verwaltung ihrer umfangreichen Protokolldatenbestände zu unterstützen und wertvolle Telemetriedaten zu extrahieren. Ziel ist es, aktuelle und zukünftige Cyberangriffe zu verhindern.
Die in den Protokolldateien eingebetteten Telemetriedaten liefern wertvolle Informationen über Netzwerkverbindungen, Anwendungsport- und Protokollkommunikation sowie Elemente eines Cyberangriffs. Die Protokollverwaltung spielt eine entscheidende Rolle für die Cybersicherheit, insbesondere bei der Erkennung von Ransomware-Angriffen oder Hackeraktivitäten in ihren frühen Stadien. Dadurch können potenzielle Schwachstellen identifiziert werden, bevor es zu einem größeren Schaden kommt.
Unternehmen, die den größtmöglichen Nutzen aus der Sammlung ihrer Protokolldateien ziehen möchten, sollten in eine Lösung investieren, die die Protokolldaten aufnimmt und in eine verwertbare Form umwandelt.
Suchabfragen sind im SIEM-Tool weniger effizient als in Protokollverwaltungslösungen. Bedrohungsjäger müssen mit ihren Suchanfragen schneller reagieren, insbesondere während eines Zero-Day-Angriffs.
Protokollverwaltungslösungen und traditionelle SIEM-Lösungen (Security Information Event Management) weisen eine hohe Überschneidung ihrer Funktionalitäten auf. Allerdings gibt es auch einige entscheidende Unterschiede zwischen den beiden Lösungen. SIEM-Lösungen sammeln Daten von verschiedenen Geräten, analysieren die Telemetriedaten und geben dann Warnmeldungen an verschiedene Beteiligte weiter, darunter SecOps, IT-Operationen und Governance-, Risiko- und Compliance-Teams (GRC).
Auch die Protokollverwaltung sammelt Telemetriedaten, ähnlich wie ein SIEM. Der Fokus dieser Lösungen liegt auf dem Sammeln, Parsen und Rationalisieren von Daten, um eine bessere Suche zu ermöglichen. Protokollverwaltungssysteme unterstützen zudem die Einordnung der Daten in spezifische Kategorien, wodurch der Datenfluss in eine SIEM-Lösung optimiert wird.
Die Datenrationalisierung ist von entscheidender Bedeutung, um wertvolle Telemetriedaten von weniger wichtigen Elementen zu trennen. SIEM-Lösungen, die gefilterte und rationalisierte Daten von einem Protokollverwaltungssystem erhalten, können dadurch die Anzahl der erforderlichen Analysevorgänge reduzieren. Die Effizienzsteigerung im Bereich der Telemetrie ermöglicht es dem SIEM, zeitnaher und präziser Benachrichtigungen an die relevanten Stellen zu generieren.
SecOps-Teams, die regelmäßig Audits und Berichte zur Einhaltung von Vorschriften erstellen, müssen Zugriff auf den gefilterten und unstrukturierten Telemetrie-Feed erhalten. Die in den Protokolldateien eingebetteten Quelldaten werden häufig als Beweismaterial für Gerichtsverfahren und strafrechtliche Ermittlungen herangezogen, insbesondere wenn das Unternehmen Opfer eines Cyberangriffs wird.
Das FBI, die Homeland Security sowie die Strafverfolgungsbehörden der Europäischen Union verfügen über Cybersicherheit-Experten, die mit der Bearbeitung solcher Fälle betraut sind. Das Sammeln von Protokolldaten von der Verwaltungsplattform stellt in einigen Fällen von Cyber-Ermittlungen eine Priorität dar. Die eigentlichen Rohdaten gewinnen schnell an Bedeutung als Quelle der Wahrheit innerhalb der Beweiskette und müssen aufbewahrt werden, einschließlich der Aufbewahrungskette.
Bei einer Beweiskette, die auf Protokolldatenprozessen innerhalb des SIEM basiert, kann es zu einer Reduzierung der Beweiskraft kommen. Dies ist darauf zurückzuführen, dass ein Großteil der Informationen lediglich die ursprünglichen Rohdaten darstellt, sofern das Unternehmen das SIEM für sämtliche Protokollverwaltungsfunktionen 100% nutzt.
SOAR-Automatisierung und -Warnungen
Protokollverwaltungssysteme, die einem SIEM ähneln, bieten angemessene Warnungen und Benachrichtigungen, oft in Echtzeit.
SIEM-Lösungen bieten zudem eine größere Auswahl an Workflows, einschließlich Security Orchestration Automation and Response (SOAR).
SOAR-Workflows erstellen Fälle entweder auf der Grundlage eines einzelnen Beweismaterials, einschließlich Protokolldateien, oder kritischer Informationen, die aus vielen Quellen gesammelt wurden. Ein weiterer wertvoller Punkt der SOAR-Funktionalität ist die Fähigkeit des SIEM, Spielbücher zu erstellen und zu verteilen, die auf spezifischen Angriffsvektoren basieren. Diese Bücher helfen den Beteiligten, ihre Rolle und die Schritte zu verstehen, die jedes Mitglied ausführen muss, um die Ausbreitung des Angriffs zu stoppen.
Unternehmen, die ihre Investitionen in die Protokollverwaltung für die Cybersicherheit maximieren möchten, sollten ihre Strategie sorgfältig planen, bevor sie den Prozess der Datentelemetrieerfassung aktivieren.
Im Folgenden finden Sie eine Liste mit Fragen, die alle CISOs und CIOs vor der Einführung der Protokollverwaltung im Unternehmen berücksichtigen müssen.
Die Speicherung von Protokollen ist mit einem hohen Bedarf an digitalem Speicherplatz verbunden. Das Parsen und Rationalisieren von Protokolldateien ist mit einem hohen Bedarf an Rechen-, Speicher- und I/O-Ressourcen verbunden. Die Entscheidung, welche Ereignisse zu Zwecken der Cybersicherheit und Compliance gesammelt werden sollen, obliegt dem Unternehmen.
Das SecOps-Team sammelt eine Reihe von Daten, die für die alltägliche Nutzung relevant sind. Dazu gehören:
Unabhängig davon obliegt es den CIOs, einen ähnlichen Umfang festzulegen, welche Ereignisse in Anwendungen, Datenbanken und Endbenutzergeräten erfasst werden müssen.
Der Zugriff auf Protokolldateien sollte klar definiert sein, ähnlich wie bei Regierungsmitarbeitern, die mit Verschlusssachen arbeiten. Die Personen, die Zugriff auf die Protokolldateien beantragen, müssen über die erforderlichen Kenntnisse verfügen, um die Informationen, die sie abrufen müssen, sowie die externen Systeme und wichtigen Beteiligten, an die sie diese exportieren dürfen, zu identifizieren. Die Aktivierung einer rollenbasierten Zugriffskontrolle (RBAC) ist für Unternehmen zur Wahrung der Datenintegrität unerlässlich, insbesondere im Hinblick auf die Verhinderung der Verwahrkette von Protokolldateien. Diese Daten sind für das Unternehmen von großem Wert, insbesondere nach der Abwehr eines Zero-Day-Cyberangriffs. Später greifen Threat-Intelligence-Systeme auf diese wertvollen Daten zu, die von den Unternehmen bereitgestellt werden. Die Gewährung von Zugriff auf die Telemetriedaten an Hacker könnte zu künftigen Angriffen führen.
Diese Fragestellung sollte zwischen dem CISO und dem CIO erörtert werden. Die Verwaltung der Protokolle für Cybersicherheits- und Anwendungsdienste kann als vollständige Umgebungsansicht nebeneinander existieren. Anwendungsdienste, bei denen Anzeichen dafür vorliegen, dass sie ausgenutzt werden, sind als Cybersicherheitsangriff zu melden.
Weitere Protokollinformationen, darunter eine erhöhte CPU-Auslastung, ein Speicherleck und gesättigte Protokolldateien, weisen auf potenzielle Systemausbeutungen hin.
Ein zentralisiertes Protokollverwaltungssystem mit rollenbasierter Zugriffskontrolle (RBAC) wäre für die meisten Unternehmen die optimale Lösung, um den Zugriff auf die Rohdaten, die Datums- und Zeiteinstellungen und den Speicherort zu beschränken.
Unternehmen, die Protokolldateien über einen Zeitraum von sechs Jahren aufbewahren, sind verpflichtet, eine geeignete Speicherstrategie zu entwickeln. Dabei kann es sich um eine Mischung aus lokalen, Cloud- und Wechselspeichermedien handeln. Es ist davon auszugehen, dass die meisten Unternehmen mehrstufige Speicherstrategien einsetzen werden. Bei einer mehrstufigen Speicherung werden weniger häufig genutzte Protokolldateien von teuren Tier-1-Geräten in eine kostengünstigere Umgebung verschoben.
Es ist erforderlich, eine einheitliche Regelung zu schaffen, die die Aufbewahrungsdauer von Cybersicherheitsprotokollen festlegt. Unternehmen, die in regulierten Branchen wie dem Finanzwesen, der Regierung, der Forschung, der Automobilindustrie und dem Gesundheitswesen tätig sind, bewahren die Protokolle üblicherweise mehrere Jahre lang auf.
Im Folgenden finden Sie ein Beispiel für einige Compliance- und Datenschutzvorschriften, die die Aufbewahrungsfristen für Protokolldateien bestimmen:
„Basel II-Vereinbarung: Diese internationale Bankenverordnung schreibt vor, dass Finanzinstitute Protokolldateien drei bis fünf Jahre lang aufbewahren müssen." Darüber hinaus ist sicherzustellen, dass die Dateien im Falle eines Rechtsstreits unbegrenzt aufbewahrt werden können.“
„HIPAA:Nach dem Health Insurance Portability and Accountability Act müssen Organisationen, die im Gesundheitswesen tätig sind, Protokolldateien sechs Jahre lang aufbewahren.“
„ISO 27001: Der ISO 27001-Konformitätsrahmen schreibt vor, dass Unternehmen Datenprotokolle mindestens drei Jahre lang aufbewahren müssen.sind Organisationen dazu verpflichtet, Datenprotokolle mindestens drei Jahre lang aufzubewahren.“
„GDPR: Gemäß Artikel 5 (1) (e) der Datenschutz-Grundverordnung ist die Aufbewahrung personenbezogener Daten nur so lange zulässig, wie dies für den jeweiligen Zweck erforderlich ist. Die zulässige Dauer der Aufbewahrung ist dabei abhängig von der Art der erfassten Protokolldaten.“
„Der Trusted Information Security Assessment Exchange 5.2.4 erfordert die Sammlung von Ereignisprotokollen zur Verfolgung von Vorfällen.“
Gemäß den Richtlinien zur Bewertung der Informationssicherheit (ISA) sind Automobilhersteller, -händler und -zulieferer, die eine TISAX-Zertifizierung anstreben, verpflichtet, die folgenden Protokolle zu sammeln und aufzubewahren:
Unternehmen, die eine TISAX-Bewertungsstufe anstreben, müssen gegenüber externen Prüfern den Nachweis erbringen, dass ihre Protokollverwaltungsstrategie und -funktionen den Anforderungen genügen.