Inhalt
Das Thema Log Management spielt im IT Security Kontext im Gegensatz zum Security Information and Event Management (SIEM) eine eher untergeordnete Rolle. Nicht ganz zu Recht, denn es bietet viele Vorteile, die sonst gedanklich mit dem Thema SIEM verknüpft sind. Ein professionelles Log Management System stellt das Sammeln, zentrale Aggregieren, Speichern und Aufbewahren von Logs sicher. Der zentrale Speicherort ermöglicht IT-Sicherheitsanalysten bei Bedarf den Zugriff und die Analyse von Logs. Zugleich ist das Thema Log Management für einen deutlich weiteren Personenkreis von Relevanz als SIEM, da von einer soliden Log Management Lösung auch die operative IT sehr profitieren kann.
Wofür brauchen Sie Log Management?
Log-Daten protokollieren Aktivitäten und Leistungen von IT-Systemen, Anwendungen und Usern. Die Quellen von Log-Daten sind vielfältig, typisch sind beispielsweise:
- Serverseitige Betriebssysteme (Windows Server, Linux & UNIXoide)
- Endpoint Betriebssysteme (Windows & Mac OS X)
- Netzwerkinfrastruktur (Switche, WLAN APs, Router, Firewalls, Load Balancer)
- Security Appliances (Layer 7 Firewalls, IDS, IPS, Spam Filter)
- Blackbox & IoT Geräte (Drucker, Thermo-Sensoren,…)
Selbst in kleineren Unternehmen fallen so mühelos Millionen von Log-Daten an – Tag für Tag. Hinzu kommt: Bedingt durch die digitale Transformation, einem starken Anstieg von Mitarbeiter*innen im Home-Office im Zuge der Corona-Pandemie und immer mehr eingesetzten IoT-Geräten ist in vielen Unternehmen eine relevante Zunahme an Log-Daten zu verzeichnen.
In Hinblick auf eine effiziente IT Security bedarf es der Datenüberwachung sowie der Durchführung von Fehler- und Performance-Analysen, wofür die Log-Daten zwar eine relevante Informationsbasis sind, eine direkte Analyse der Logs auf den Systemen ist jedoch nicht praktikabel. Hier kommen Log Management-Systeme zum Tragen, mit deren Hilfe protokollierte Daten an einem zentralen Ort gesammelt, gespeichert, effizient durchsucht und analysiert werden können.
Log Management in Zeiten der digitalen Transformation
Die digitale Transformation macht Arbeitsabläufe effizienter, Lieferketten zuverlässiger und Verwaltungsprozesse schlanker. Zukünftig werden vor allen die Firmen erfolgreich am Markt agieren, die auf Digitalisierung setzten, dabei aber nicht ihre IT-Sicherheit vernachlässigen.
- Unternehmen, die ihre Geschäftsprozesse nicht digitalisieren, werden früher oder später nicht mehr konkurrenzfähig sein und aus dem Markt verschwinden.
- Unternehmen, die bei der Digitalisierung ihre IT-Sicherheit vernachlässigen, werden hohe Verluste durch erfolgreiche Cyberangriffe erleiden und ebenfalls aus dem Markt verschwinden.
Aus der Vergangenheit wissen wir, dass es keine 100% Sicherheit geben kann. Oder anders ausgedrückt, nicht jeder Cyberangriff kann erfolgreich abgewehrt werden. Je weiter die Digitalisierung voranschreitet, um so größer wird die Angriffsfläche für Cyberkriminelle und feindselige staatliche Akteure. Wir müssen uns von der Vorstellung verabschieden, dass wir Cyberangriffe immer verhindern können. Es wird nicht funktionieren. Ziel muss es sein, einerseits Cyberangriffe zu verlangsamen und andererseits deren Erkennung und Abwehr zu beschleunigen. Damit IT-Sicherheitsteams überhaupt eine Chance haben, Cyberangriffe zu verlangsamen und deren Erkennung und Abwehr zu beschleunigen, ist Transparenz zwingend notwendig.
Ein wichtiger Ansatz, der in diesem Zusammenhang die benötigte Transparenz liefern kann, ist das zentrale Log Management. Es bildet neben einem funktionierenden Asset Management eine der zwingend notwendigen Grundlagen für den effektiven Einsatz weiterführender Cyber Defense Technologien wie SIEM, Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Security Orchestration Automation and Response (SOAR).
Welche 5 wichtigsten Vorteile bringt ein zentrales Log Management?
Ein zentrales Log Management bietet zahlreiche Vorteile.
Die wichtigsten aus Sicht unseres Cyber Defense Experten Teams sind die folgenden:
- Nachvollziehbarkeit: Zentral verarbeitete Logdaten zeigen in kürzester Zeit, wo Probleme bestehen oder Systeme ausgefallen sind – Zeit und Kosten werden so deutlich eingespart.
- Sichtbarkeit: Durch ein strukturiertes Log Management erreichen Unternehmen eine gründliche Kenntnis der eigenen IT-Landschaft.
- Sicherheit: Ein zentralisiertes Log Management schützt vor Löschung, Verschlüsselung oder Manipulation von lokalen Logdaten.
- Reaktionsfähigkeit: Wenn ein Security Incident aufgetreten ist, dient eine Log Management-Lösung als wertvolle Grundlage für eine zuverlässige Beurteilung des Vorfalls durch IT-Forensiker.
- Ressourcenbindung: Die Investitionskosten sowie benötigte Manpower für Einführung und Betrieb sind als überschaubar einzustufen.
Ist Ihr Log Management Compliance-sicher aufgestellt?
Von besonderer Relevanz ist der Schutz der Log-Daten gegen Löschung, Verschlüsselung oder Manipulation nach einem stattgefundenen Cyberangriff. Aus diesem Grund wurde die zentralisierte Speicherung der Log-Daten als eine zu erfüllende Erfordernis in Compliance Regelwerke wie ISO 27001 aufgenommen.
Und auch die EU-DSGVO, PCI DSS (Payment Card Industry Data Security Standard) oder unternehmensinterne Richtlinien stellen einen rechtlichen und regulatorischen Rahmen zur Aufbewahrung und Löschung von Logdaten-Einträgen. Für Unternehmen bedeuten die strengen Datenschutzregeln, dass die Logs wie alle personenbezogenen Daten verschlüsselt und sicher aufbewahrt werden müssen. Ein Log Management ermöglicht die Festlegung granularer Richtlinien für den Umgang mit Log-Daten, was beispielsweise den Zeitraum der Aufbewahrung oder die Verschlüsselung von spezifischen Angaben anbelangt. Flexible Lösungen im Bereich des Log Management sichern den fortwährenden Besitz der Daten, eine individuelle Speicherung über unterschiedliche Zeiträume hinweg und den Schutz sensibler Personendaten – und das mit der Option, die Daten bei Bedarf auf Anomalien durchsuchen zu können. Das Log Management lässt Compliance-Beauftragte eines Unternehmens ruhiger schlafen und gewährleistet ein sicheres Datenhandling entsprechend der Compliance-Richtlinien eines Unternehmens.
Vom Log Management zum vollumfänglichen SIEM
Wer sich im Bereich Cyber Security langfristig weiterentwickeln will oder gar plant, ein konzernweites CDC / SOC aufzubauen, kann gut mit einer Log Management-Lösung einsteigen und diese später zu einer vollwertigen SIEM-Lösung ausbauen.
Log Management ermöglicht einen umfassenden Einblick in die IT-Architekturen eines Unternehmens. Ein SIEM ist darauf ausgelegt, Warnungen zu bestehenden IT-Sicherheitsproblemen zu erzeugen. Nur in Kombination von SIEM und einem zentralen Log Management erhält die IT-Security daher die benötigte Funktionalität, um Bedrohungsszenarien zu erkennen, zu analysieren und zu visualisieren. Durch eine zentralisierte Erfassung von Protokollinformationen aus allen im Unternehmen verwendeten Systemen kann die Form einer Bedrohung detailliert sichtbar gemacht werden – und entsprechende Gegenmaßnahmen rechtzeitig eingeleitet werden.
Hervorzuheben ist auch die Planungssicherheit, die man durch die Implementierung einer Log Management-Lösung erlangt. Denn die Kosten einer SIEM-Implementierung hängen letztlich auch vom Volumen der erfassten Eventlogs ab, welches dem Betreiber einer Log Management-Lösung ja bereits bekannt ist.
Weitere Informationen in unserem TechTalk Beitrag: Was ist Log Management?
Was können wir für Ihre IT Security tun?
Bei SECUINFRA basiert IT Security auf dem PPT Framework: „People, Processes & Technology“. Konkret bedeutet das, dass unsere IT-Sicherheitslösungen nicht nur aus leistungsstarken Technologien bestehen, sondern auch die dazugehörigen Prozesse und die Kompetenz unserer Experten für Ihre zuverlässige Cyber Defense sorgen. Schließlich nützt die beste technologische Lösung nur wenig, wenn die Verantwortlichen in einem Unternehmen nicht mit ihr umzugehen wissen. So sind wir auch für Sie da, wenn es um die Planung, Einführung und Nutzung einer Log Management Lösung geht. Ob unsere Cyber Defense Experten dabei nur einen Teil der Aufgaben übernehmen oder das Log Management als Komplettservice durchführen, besprechen wir am besten in einem persönlichen Gespräch.
Nehmen Sie gerne Kontakt mit uns auf und lassen Sie sich von unseren Cyber Defense Experten unverbindlich und kompetent beraten!