IPS und SEM allein machen einsam
Nicht allen Anwendern ist bewusst, wie viele Möglichkeiten sie haben, sicherheitsrelevante Vorfälle zu identifizieren respektive zu verhindern. Sie ziehen nur die Auswertung der Netzwerk-Logs in Betracht und setzen dafür mehr schlecht als recht implementierte IDS und IPS ein (Intrusion Detection und Intrusion Prevention Systeme). Ein zusätzliches SEM-System auf Basis von Firewall-Logs ist zwar ebenso verbreitet, erzeugt in den meisten Fällen aber lediglich gefühlte Sicherheit. Der Grund: Alle Systeme erfahren wenig Beachtung und noch weniger kontinuierliche Pflege.
IT-Performance überwachen
Modernes Log Management ist mehr als das: Innerhalb einer IT-Infrastruktur fallen sehr viele Log-Daten an - seien es Geräteinformationen, Betriebssystem-Logs oder Applikations-Interna. Wer diese Daten sorgfältig und umfassend verwaltet, kann viele Sicherheits- und Performancefragen schneller beantworten. Das betrifft nicht nur die Einhaltung von Compliance-Vorgaben, sondern auch die Verbesserung der Leistung von Systemen und internen wie externen Mitarbeitern.
Foto: LogLogic
Das revisionssichere Management von Service Level Agreements (SLAs) gehört zu den Kernaufgaben eines zeitgemäßen Log Managements. Fällt ein Netz aus, kann ein Unternehmen nachvollziehen, ob, wann und wie lange ein bestimmtes System nicht erreichbar war. Hilfreich ist auch die Analyse, welche Transaktionen während des Ausfalls ausgeführt wurden und ob diese nachverfolgt werden müssen. Im Hinblick auf die Fehlerbehebung lässt sich aus der Log-Analyse einfach feststellen, welche Systemkomponenten den Ausfall verursacht haben: War es ein kompletter Server, ein virtualisiertes System, eine einzelne Applikation oder eine Datenbank? Als Dienstleister kann der Gegenbeweis geführt werden, dass die Systeme zur angegebenen Zeit erreichbar und Anwender produktiv waren. Ebenso ist zweifellos darzustellen, ob die Probleme in der vertraglich vereinbarten Zeit behoben wurden. Eine anschließende Fehler- respektive Prozessbewertung anhand der Log-Daten sorgt dafür, dass solch ein Vorfall künftig nicht mehr auftritt. Dadurch leistet das Log Management auch einen Beitrag zur Qualitätssicherung in den IT-Systemen.
Schneller reagieren können
Rollenbasierte Dashboards, die heutige Log-Management-Lösungen anbieten, unterstützen zudem den IT-Service Desk. Dieser kann aufkommende Probleme bereits im First und Second Level Support analysieren, bewerten und vielleicht auch lösen. Aber auch im Bereich IT-Operations haben die Lösungen ihre Stärken, weil sie genau ermitteln können, welche Prozesse welche Systeme wie stark auslasten.
- Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern. - Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden. - Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten. - Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden. - Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen? - IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.