Standpunkt: Richtiger Umgang mit unternehmensweiten Log-Daten
Log-Daten: Durchgängige Absicherung ist Pflicht
Es gibt gute Gründe, die im Unternehmen anfallenden Log-Daten zentral zu sammeln und zu speichern. In einigen Branchen schreiben Compliance-Vorgaben ein solches Vorgehen sogar zwingend vor. Damit sich der Aufwand auch lohnt, sollten Unternehmen jedoch einige Dinge beachten.
Jede Sekunde erzeugen in einem Unternehmen Server, Netzwerkkomponenten und Anwendungen unzählige Meldungen über bestimmte Ereignisse, wie beispielsweise Benutzeranmeldungen oder die Verletzung von Sicherheitsregeln. Wer diese Daten systematisch mit Hilfe des dafür entwickelten Syslog-Standards zentral sammelt und speichert, erschließt sich dadurch einige Möglichkeiten.
So kann beispielsweise Software für das Security-Information-und-Event-Management (SIEM) durch die Korrelation von Ereignissen auf verschiedenen Systemen Angriffe erkennen, die einer Firewall allein verborgen blieben. Eine zentrale Log-Analyse hilft zudem bei der Fehlersuche, dem Aufdecken von Regelverletzungen oder beim Monitoring von IT-Komponenten.
Unternehmen in regulierten Branchen, etwa dem Gesundheitswesen oder in der Finanzindustrie, müssen bestimmte Log-Daten sogar zentral sammeln, regelmäßig auswerten und über eine längere Zeit archivieren. Dies fordern unter anderem Basel II, der Health Insurance Portability and Accountability Act (HIPAA) oder der Payment Card Industry Data Security Standard (PCI-DSS).
Sicher übertragen und ablegen
Damit Angreifer ihre Taten durch die Manipulation von Log-Informationen nicht vertuschen können, müssen Unternehmen den sicheren Transport dieser Daten von der Quelle bis zum Ziel sicherstellen. Die hier unter anderem vom PCI-DSS geforderte Vertraulichkeit lässt sich bei Syslog durch eine SSL-verschlüsselte Übertragung erreichen.
Die Authentizität eines Syslog-Senders und Empfängers garantieren wiederum X.509-Zertifikate. Dass Syslog-Quellen und -Relays keine Daten verwerfen, wenn eine Netzwerkverbindung ausfällt, können Syslog-Implementationen durch festplattenbasierte Zwischenspeicher erreichen.
Auch im zentralen Syslog-Speicher müssen die Log-Daten vor Manipulation geschützt und zudem hoch verfügbar abgespeichert sein. Digitale Signaturen und eine Verschlüsselung der Daten können hier sicherstellen, dass nur autorisierte Personen Zugriff auf die Informationen erhalten.
Eine hierarchische Syslog-Infrastruktur mit einer hochverfügbar und performant ausgelegten zentralen Syslog-Appliance kann zudem dafür sorgen, dass jederzeit sowohl genügend Rechenleistung zur Annahme der Meldungen und als auch Speicherkapazität für deren Ablage zur Verfügung steht.
Fazit
Die Übertragung von Syslog-Meldungen von ihrer Quelle bis zum zentralen Speicher ist wie eine Kette. Und auch hier gilt, dass diese nur so stark ist wie ihr schwächstes Glied.
Nur wenn sichergestellt ist, dass alle relevanten Log-Daten ohne Verlust und Manipulation einerseits am Zentralspeicher ankommen und dann dort (revisions)sicher und jederzeit verfügbar sind, lassen sich die eingangs genannten Vorteile einer Syslog-Infrastruktur sinnvoll nutzen. Regulierte Branchen haben dazu fast keine Alternative.
Der Autor: Enikö Visky ist Regional Director Deutschland, Österreich und Schweiz (DACH) bei Balabit IT Security in München. Das Unternehmen entwickelt unter anderem die Open-Source-Syslog-Software Syslog-ng.
Lesen Sie mehr zum Thema
