Die heutige IT-Sicherheit ist damit konfrontiert, den Menschen als potenziell schwächstes Glied der Sicherheitskette und somit beliebtes Angriffsziel für Cyber-Kriminelle zu schützen. Denn Cyber-Kriminelle wenden immer mehr ausgefeilte Social Engineering-Methoden an. Wie Logging, Auditing und Monitoring als effiziente Mittel eingesetzt werden können, erfahren Sie in diesem Blog.
Ob Spionage oder Social Engineering, die Bedeutung und der Zweck sind die Gleichen geblieben: der Mensch als potenziell schwächstes Glied in der Sicherheitskette schafft Zugang zu IT-Infrastrukturen. Cyber-Kriminelle können so Sicherheitsbarrieren in Organisationen umgehen.
Meist ist es nur die Speerspitze eines raffinierten Verschleierungssystems, mit dem Ziel, die Sicherheitsmassnahmen möglichst effektiv und unbemerkt zu umgehen. Angriffe auf Sicherheitssysteme werden heute immer häufiger durch aufwändige Softwaretools unterstützt, die längst nicht nur staatlichen Sicherheitsorganen zur Verfügung stehen, sondern auch versierten Hackern.
Die Peripherie wird meist weniger gut geschützt und als weniger kritisch eingestuft, oft haben die Cyber-Angriffe dort ihre Ursprünge, um auf komplexen Wegen schlussendlich an das eigentliche Ziel zu gelangen. Beliebte Ziele für Social Engineering-Attacken sind vor allem staatliche Stellen, aber auch zunehmend strategisch wichtige Infrastrukturen wie z.B. Kraftwerke, neuralgische Telekommunikationsknoten, Transportinfrastrukturen etc. Die Angriffe auf gut geschützte Stellen sind oft sehr komplex und mit herkömmlichen Sicherheitsmassnahmen, wie Firewall oder Schadsoftware-Detektion, nicht ausreichend detektierbar.
Dies führt in vielen Fällen dazu, dass der Angriff über lange Zeit unerkannt bleibt. Um solche Cyber-Attacken zu detektieren, Gegenmassnahmen einzuleiten oder mittels forensischer Datenanalyse das Schadensausmass und die Schwachstellen zu benennen, bedarf es eines guten Security Log Managements. Denn das Logging bildet die Basis für eine erfolgreiche Ursachenanalyse. Sogar wenn ein Angriff bereits erfolgreich war und beispielsweise Daten abgeflossen sind, bleiben oft nur noch die Logs als letzte Verteidigungslinie für eine professionelle Ursachenanalyse, um die Schwachstellen und eventuell den Verantwortlichen zu identifizieren und damit bei einer Wiederherstellung des normalen Betriebes eine gleiche Cyber-Attacke zu unterbinden.
Ein gutes Logging ist aber viel mehr als nur die letzte Verteidigungslinie, wenn ein Angriff bereits stattgefunden hat. Die Logs sind die äussersten Fühler eines Systems, welche in Echtzeit wertvolle Informationen liefern. Diese Informationen erlauben einem Security Operation Center (SOC), eine Übersicht über den aktuellen Gesundheitszustand eines IT-Systems zu erstellen und die Gefahrenlage einzuschätzen. Der eingangs erwähnte Faktor Mensch ist oft bei erfolgreichen Cyber- Angriffen mitverantwortlich. Lückenloses Logging und automatisiertes Monitoring sind dabei effektive Massnahmen, um diesem Risiko in einem komplexen IT-Umfeld zu begegnen.
Die Logging-Aufgaben, um die sich Netzwerk-Administratoren und -Betreiber kümmern müssen, umfassen unterschiedliche Tätigkeiten: Logs werden geschrieben, ausgewertet und zur automatischen Analyse weitergereicht. Dies ist nicht immer einfach, da viele unterschiedliche Geräte in einem inhomogenen System zeitgleich zusammenarbeiten müssen. Für einen gut und stabil funktionierenden Betrieb ist es schliesslich entscheidend, rasch auf veränderte Netzwerk-Topologien und Benutzerbedürfnisse reagieren zu können, ohne dass Benutzer von den Anpassungen etwas merken. Je nach Systemaufbau und Betriebsmodell müssen heute die Log-Daten mit unterschiedlichen Services und Tools geteilt werden, manchmal auch mit Drittfirmen.
In einem komplexen IT-Umfeld ist es unabdingbar, den Überblick zu bewahren. Die operative Führung braucht dringend ein differenziertes und möglichst vollständiges Systemabbild. Zum einen, um einen möglichst stabilen Betrieb des Systems zu gewährleisten, zum anderen aber auch, um die Risiken und Gefahren so früh als möglich auf dem Radar zu sehen. Hierzu bedarf es eines Security Log Managements, das durchgängig geplant und konsequent betrieben wird. Die Grundpfeiler des Security Log Managements sind die Datenintegrität, Vertraulichkeit und deren sicherer Zugang: Eine Meldung, der man nicht vertrauen kann, ist wertlos, wenn nicht sogar schädlich.
Was ist nun der Nutzen eines effektiven Security Log Managements und wo liegen die Herausforderungen? Und wie kann das Security Log Management der CyOne Security Sie unterstützen? Mehr dazu im Whitepaper «Logging, Auditing und Monitoring – Frontfühler der IT-Sicherheit».