Blog

Was ist Log Management und warum es für die Cybersicherheit wichtig ist

Geschrieben von ForeNova | Oktober 9, 2024

 

Die Sammlung wertvoller Informationen von den verschiedenen Netzwerkgeräten, Hosts, Anwendungen und Endgeräten ist von entscheidender Bedeutung und wird zudem von mehreren Datenschutz- und Compliance-Vorschriften gefordert, beispielsweise von GPDR und TISAX für die deutsche Automobilindustrie.

Anbieter von Managed Detection and Response (MDR) wie ForeNova setzen im Rahmen ihrer verwalteten Angebote eine Vielzahl von Funktionen ein, um Kunden bei der Verwaltung ihrer umfangreichen Protokolldatenbestände zu unterstützen und wertvolle Telemetriedaten zu extrahieren. Ziel ist es, aktuelle und zukünftige Cyberangriffe zu verhindern.


Definition Wichtigkeit des Protokollmanagementprozesses

Die in den Protokolldateien eingebetteten Telemetriedaten liefern wertvolle Informationen über Netzwerkverbindungen, Anwendungsport- und Protokollkommunikation sowie Elemente eines Cyberangriffs. Die Protokollverwaltung spielt eine entscheidende Rolle für die Cybersicherheit, insbesondere bei der Erkennung von Ransomware-Angriffen oder Hackeraktivitäten in ihren frühen Stadien. Dadurch können potenzielle Schwachstellen identifiziert werden, bevor es zu einem größeren Schaden kommt.

Unternehmen, die den größtmöglichen Nutzen aus der Sammlung ihrer Protokolldateien ziehen möchten, sollten in eine Lösung investieren, die die Protokolldaten aufnimmt und in eine verwertbare Form umwandelt.

Protokollverwaltung entscheidend für die Bedrohungsjagd

Eine effektive Bedrohungsjagd durch das SecOps-Team erfordert eine effiziente Protokollverwaltung, um die Bereitstellung rationalisierter Daten zu gewährleisten. Bedrohungsjäger nutzen rationalisierte Daten, um schneller suchen zu können als mit ähnlichen Abfragen im SIEM.

Suchabfragen sind im SIEM-Tool weniger effizient als in Protokollverwaltungslösungen. Bedrohungsjäger müssen mit ihren Suchanfragen schneller reagieren, insbesondere während eines Zero-Day-Angriffs.

Protokollverwaltung vs. SIEM

Protokollverwaltungslösungen und traditionelle SIEM-Lösungen (Security Information Event Management) weisen eine hohe Überschneidung ihrer Funktionalitäten auf. Allerdings gibt es auch einige entscheidende Unterschiede zwischen den beiden Lösungen. SIEM-Lösungen sammeln Daten von verschiedenen Geräten, analysieren die Telemetriedaten und geben dann Warnmeldungen an verschiedene Beteiligte weiter, darunter SecOps, IT-Operationen und Governance-, Risiko- und Compliance-Teams (GRC).

Auch die Protokollverwaltung sammelt Telemetriedaten, ähnlich wie ein SIEM. Der Fokus dieser Lösungen liegt auf dem Sammeln, Parsen und Rationalisieren von Daten, um eine bessere Suche zu ermöglichen. Protokollverwaltungssysteme unterstützen zudem die Einordnung der Daten in spezifische Kategorien, wodurch der Datenfluss in eine SIEM-Lösung optimiert wird.

Die Datenrationalisierung ist von entscheidender Bedeutung, um wertvolle Telemetriedaten von weniger wichtigen Elementen zu trennen. SIEM-Lösungen, die gefilterte und rationalisierte Daten von einem Protokollverwaltungssystem erhalten, können dadurch die Anzahl der erforderlichen Analysevorgänge reduzieren. Die Effizienzsteigerung im Bereich der Telemetrie ermöglicht es dem SIEM, zeitnaher und präziser Benachrichtigungen an die relevanten Stellen zu generieren.

Der Zugriff auf Protokollinformationen für Auditing, Legal Hold und Reporting

SecOps-Teams, die regelmäßig Audits und Berichte zur Einhaltung von Vorschriften erstellen, müssen Zugriff auf den gefilterten und unstrukturierten Telemetrie-Feed erhalten. Die in den Protokolldateien eingebetteten Quelldaten werden häufig als Beweismaterial für Gerichtsverfahren und strafrechtliche Ermittlungen herangezogen, insbesondere wenn das Unternehmen Opfer eines Cyberangriffs wird.

Das FBI, die Homeland Security sowie die Strafverfolgungsbehörden der Europäischen Union verfügen über Cybersicherheit-Experten, die mit der Bearbeitung solcher Fälle betraut sind. Das Sammeln von Protokolldaten von der Verwaltungsplattform stellt in einigen Fällen von Cyber-Ermittlungen eine Priorität dar. Die eigentlichen Rohdaten gewinnen schnell an Bedeutung als Quelle der Wahrheit innerhalb der Beweiskette und müssen aufbewahrt werden, einschließlich der Aufbewahrungskette.

Bei einer Beweiskette, die auf Protokolldatenprozessen innerhalb des SIEM basiert, kann es zu einer Reduzierung der Beweiskraft kommen. Dies ist darauf zurückzuführen, dass ein Großteil der Informationen lediglich die ursprünglichen Rohdaten darstellt, sofern das Unternehmen das SIEM für sämtliche Protokollverwaltungsfunktionen 100% nutzt.

SOAR-Automatisierung und -Warnungen

Protokollverwaltungssysteme, die einem SIEM ähneln, bieten angemessene Warnungen und Benachrichtigungen, oft in Echtzeit.

SIEM-Lösungen bieten zudem eine größere Auswahl an Workflows, einschließlich Security Orchestration Automation and Response (SOAR).

SOAR-Workflows erstellen Fälle entweder auf der Grundlage eines einzelnen Beweismaterials, einschließlich Protokolldateien, oder kritischer Informationen, die aus vielen Quellen gesammelt wurden. Ein weiterer wertvoller Punkt der SOAR-Funktionalität ist die Fähigkeit des SIEM, Spielbücher zu erstellen und zu verteilen, die auf spezifischen Angriffsvektoren basieren. Diese Bücher helfen den Beteiligten, ihre Rolle und die Schritte zu verstehen, die jedes Mitglied ausführen muss, um die Ausbreitung des Angriffs zu stoppen.

Was sind einige empfohlene Ansätze für die Protokollverwaltung in der Cybersicherheit?

Unternehmen, die ihre Investitionen in die Protokollverwaltung für die Cybersicherheit maximieren möchten, sollten ihre Strategie sorgfältig planen, bevor sie den Prozess der Datentelemetrieerfassung aktivieren.

Im Folgenden finden Sie eine Liste mit Fragen, die alle CISOs und CIOs vor der Einführung der Protokollverwaltung im Unternehmen berücksichtigen müssen.

Welche Ereignisse sollten erfasst werden?

Die Speicherung von Protokollen ist mit einem hohen Bedarf an digitalem Speicherplatz verbunden. Das Parsen und Rationalisieren von Protokolldateien ist mit einem hohen Bedarf an Rechen-, Speicher- und I/O-Ressourcen verbunden. Die Entscheidung, welche Ereignisse zu Zwecken der Cybersicherheit und Compliance gesammelt werden sollen, obliegt dem Unternehmen.

Das SecOps-Team sammelt eine Reihe von Daten, die für die alltägliche Nutzung relevant sind. Dazu gehören:

  • Benutzerauthentifizierungen, einschließlich Geo-Fencing-Daten
  • Firewall-Protokolle oberhalb der Informationsebene
  • IPS-, Endpunktsicherheits- und Cloud-Sicherheitsprotokolle.

Unabhängig davon obliegt es den CIOs, einen ähnlichen Umfang festzulegen, welche Ereignisse in Anwendungen, Datenbanken und Endbenutzergeräten erfasst werden müssen.

Wer hat Zugriff auf die Protokolldateien?

Der Zugriff auf Protokolldateien sollte klar definiert sein, ähnlich wie bei Regierungsmitarbeitern, die mit Verschlusssachen arbeiten. Die Personen, die Zugriff auf die Protokolldateien beantragen, müssen über die erforderlichen Kenntnisse verfügen, um die Informationen, die sie abrufen müssen, sowie die externen Systeme und wichtigen Beteiligten, an die sie diese exportieren dürfen, zu identifizieren. Die Aktivierung einer rollenbasierten Zugriffskontrolle (RBAC) ist für Unternehmen zur Wahrung der Datenintegrität unerlässlich, insbesondere im Hinblick auf die Verhinderung der Verwahrkette von Protokolldateien. Diese Daten sind für das Unternehmen von großem Wert, insbesondere nach der Abwehr eines Zero-Day-Cyberangriffs. Später greifen Threat-Intelligence-Systeme auf diese wertvollen Daten zu, die von den Unternehmen bereitgestellt werden. Die Gewährung von Zugriff auf die Telemetriedaten an Hacker könnte zu künftigen Angriffen führen.

Sollten CIOs und CISOs die Sammlung von Cybersicherheitsprotokollen und Anwendungsprotokollen voneinander trennen?

Diese Fragestellung sollte zwischen dem CISO und dem CIO erörtert werden. Die Verwaltung der Protokolle für Cybersicherheits- und Anwendungsdienste kann als vollständige Umgebungsansicht nebeneinander existieren. Anwendungsdienste, bei denen Anzeichen dafür vorliegen, dass sie ausgenutzt werden, sind als Cybersicherheitsangriff zu melden.

Weitere Protokollinformationen, darunter eine erhöhte CPU-Auslastung, ein Speicherleck und gesättigte Protokolldateien, weisen auf potenzielle Systemausbeutungen hin.

Ein zentralisiertes Protokollverwaltungssystem mit rollenbasierter Zugriffskontrolle (RBAC) wäre für die meisten Unternehmen die optimale Lösung, um den Zugriff auf die Rohdaten, die Datums- und Zeiteinstellungen und den Speicherort zu beschränken.

Wo sollte die Organisation die Protokolldaten speichern?

Unternehmen, die Protokolldateien über einen Zeitraum von sechs Jahren aufbewahren, sind verpflichtet, eine geeignete Speicherstrategie zu entwickeln. Dabei kann es sich um eine Mischung aus lokalen, Cloud- und Wechselspeichermedien handeln. Es ist davon auszugehen, dass die meisten Unternehmen mehrstufige Speicherstrategien einsetzen werden. Bei einer mehrstufigen Speicherung werden weniger häufig genutzte Protokolldateien von teuren Tier-1-Geräten in eine kostengünstigere Umgebung verschoben.

Wie lange sollten die Protokolle aufbewahrt werden?

Es ist erforderlich, eine einheitliche Regelung zu schaffen, die die Aufbewahrungsdauer von Cybersicherheitsprotokollen festlegt. Unternehmen, die in regulierten Branchen wie dem Finanzwesen, der Regierung, der Forschung, der Automobilindustrie und dem Gesundheitswesen tätig sind, bewahren die Protokolle üblicherweise mehrere Jahre lang auf.

Im Folgenden finden Sie ein Beispiel für einige Compliance- und Datenschutzvorschriften, die die Aufbewahrungsfristen für Protokolldateien bestimmen:

Basel II-Vereinbarung: Diese internationale Bankenverordnung schreibt vor, dass Finanzinstitute Protokolldateien drei bis fünf Jahre lang aufbewahren müssen." Darüber hinaus ist sicherzustellen, dass die Dateien im Falle eines Rechtsstreits unbegrenzt aufbewahrt werden können.

HIPAA:Nach dem Health Insurance Portability and Accountability Act müssen Organisationen, die im Gesundheitswesen tätig sind, Protokolldateien sechs Jahre lang aufbewahren.

ISO 27001: Der ISO 27001-Konformitätsrahmen schreibt vor, dass Unternehmen Datenprotokolle mindestens drei Jahre lang aufbewahren müssen.sind Organisationen dazu verpflichtet, Datenprotokolle mindestens drei Jahre lang aufzubewahren.

GDPR: Gemäß Artikel 5 (1) (e) der Datenschutz-Grundverordnung ist die Aufbewahrung personenbezogener Daten nur so lange zulässig, wie dies für den jeweiligen Zweck erforderlich ist. Die zulässige Dauer der Aufbewahrung ist dabei abhängig von der Art der erfassten Protokolldaten.

Welche Anforderungen sind an die Protokollverwaltung für TISAX 5.2.4 unter ISA zu stellen?

Der Trusted Information Security Assessment Exchange 5.2.4 erfordert die Sammlung von Ereignisprotokollen zur Verfolgung von Vorfällen.

Gemäß den Richtlinien zur Bewertung der Informationssicherheit (ISA) sind Automobilhersteller, -händler und -zulieferer, die eine TISAX-Zertifizierung anstreben, verpflichtet, die folgenden Protokolle zu sammeln und aufzubewahren:

Logging Enablement im gesamten Unternehmensnetzwerk und Zugangskontrolle

  • Protokollierung von Netzwerksicherheitsaktivitäten, die von Firewalls, IPS- und Netzwerksicherheitsgeräten gemeldet werden.
  • Die Protokollierung aller Angriffsprobleme im Kontext der Cybersicherheit erfolgt auf sämtlichen Endgeräten.
  • Die Aktivierung der Protokollierung ist erforderlich, um die ordnungsgemäße Funktion aller Patching- und Abhilfedienste zu überprüfen.
  • Die Aktivierung der Protokollierung über alle Sicherheitsgeräte und -dienste hinweg ist von entscheidender Bedeutung, um Angriffe zur Datenexfiltration zu erkennen und zu verhindern.
  • Systemadministratoren, Sicherheitstechniker und Anwendungen bieten Sicherheitszugriff auf kritische Systeme und müssen ihre Aktivitäten innerhalb dieser wichtigen Host-, Geräte- und Datenbanksysteme protokollieren.
  • Es ist erforderlich, die Protokollierung für alle externen Zugriffe auf kritische Systeme zu aktivieren, einschließlich der Authentifizierungsaktivitäten beim Zugriff auf die verschiedenen Systeme.
  • Die Protokollierung muss für alle Benutzer aktiviert werden, die versuchen, auf nicht autorisierte Systeme zuzugreifen.

Log-Management-Sicherheit und Governance

  • Alle Unternehmen der Automobilindustrie, die TISAX nutzen möchten, müssen Verfahren für die Protokollierung von Daten entwickeln und beibehalten. Dies umfasst auch die Arbeitsabläufe für die Benachrichtigung der Sicherheitsabteilung, der Geschäftsleitung und anderer wichtiger Beteiligter bei schwerwiegenden Ereignissen.
  • Um Zugriffsbeschränkungen zu gewährleisten, müssen alle Unternehmen der Automobilindustrie Funktionen zum Schutz von Protokolldaten entwickeln und implementieren. Dazu zählen unter anderem Verschlüsselung, gesicherte Datenübertragung zwischen Standorten, mehrstufige Authentifizierung und RBAC.
  • Alle Unternehmen der Automobilbranche sind dazu verpflichtet, die Protokollierung für alle Systeme zu aktivieren, die mit der Bewertung und den Reifegraden des TISAX-Konformitätsrahmens verbunden sind.

Nachweis der Protokollierungsmanagementlösung zur Erfüllung der erwarteten Funktionalität

Unternehmen, die eine TISAX-Bewertungsstufe anstreben, müssen gegenüber externen Prüfern den Nachweis erbringen, dass ihre Protokollverwaltungsstrategie und -funktionen den Anforderungen genügen.

  • Sie müssen nachweisen, dass Sie durch das Sammeln, Analysieren und Rationalisieren von Protokollen Einblick in die Anfangsstadien von Cybersicherheitsvorfällen haben.
  • Nachweis, dass die mutmaßliche Kill Chain, die die Hacker gegen bestimmte, für die TISAX-Zertifizierung relevante Systeme ausgeführt haben, zurückverfolgt werden kann.
  • Nachweis, dass ihre adaptiven Cybersicherheit-Kontrollen den Cybersicherheit-Angriff durch den Prozess der Protokollerfassung gestoppt und verhindert haben.

Der TISAX-Konformitätsleitfaden

Schalten Sie jetzt einen Gang höher! Laden Sie den kostenlosen Leitfaden zur TISAX-Complianceherunter und entdecken Sie Ihren Weg zu neuen Partnerschaften!