Suchen

Log- und Protokolleinträge im Griff Effiziente Protokollierung von Aktivitäten privilegierter Benutzer

| Autor / Redakteur: Jörg Thurau* / Peter Schmitz

In vielen Normen und Anforderungen wird die Protokollierung und Überwachung von Aktivitäten privilegierter Benutzer gefordert. Zur Steigerung der Effizienz sollten nur die Tätigkeiten mit Auswirkung auf die Schutzziele der jeweiligen Anwendung protokolliert und überwacht werden.

Firmen zum Thema

Die Protokollierung von Aktivitäten privilegierter Benutzer ist ein wichtiger Schritt zur Systemsicherheit, wenn sie korrekt durchgeführt wird.
Die Protokollierung von Aktivitäten privilegierter Benutzer ist ein wichtiger Schritt zur Systemsicherheit, wenn sie korrekt durchgeführt wird.
(Bild: gemeinfrei / Pixabay )

Der Aufwand für die Protokollierung von Aktivitäten privilegierter Benutzer kann schnell ins Uferlose ausarten. Der Umfang der auszuwertenden Log- und Protokolleinträge steigt exponentiell mit der Anzahl der Anwendungen und der Menge der Aktivitäten privilegierter Benutzer. Daher sollten sowohl die Log- und Protokolleinträge als auch die Aktivitäten, die privilegierten Benutzern zugeordnet werden, auf ein Minimum reduziert werden.

Auswahl der Anwendungen und Infrastruktur

Beispiel für die Auswahl der Anwendungen anhand der Schutzziele.
Beispiel für die Auswahl der Anwendungen anhand der Schutzziele.
(Bild: Jörg Thurau - ARCA-Consult)

Im ersten Schritt werden nur die Anwendungen berücksichtigt, für die in mindestens einem Schutzziel ein erhöhter Schutzbedarf definiert ist. Anwendungen für die ausschließlich niedrigere Schutzbedarfe definiert sind können in eine langfristige Planung aufgenommen werden, oder sie werden im Risikobericht mit Risiko-Akzeptanz ausgewiesen.

Neben der Anwendung muss auch die von der Anwendung genutzte Infrastruktur berücksichtigt werden.
Neben der Anwendung muss auch die von der Anwendung genutzte Infrastruktur berücksichtigt werden.
(Bild: Jörg Thurau - ARCA-Consult)

Neben der Anwendung ist auch die von der Anwendung genutzte Infrastruktur wie: Middleware, Datenbank, Server-Betriebssystem, Storage und Netzwerk zu bewerten. Es müssen Systeme und Komponenten berücksichtigt werden, deren Infrastruktur-Benutzer Einfluss auf relevante Schutzziele der Anwendung haben.

Beispiel: Backup- und Archivsysteme sind zu berücksichtigen, wenn die Anwendung im Schutzziel Vertraulichkeit einen erhöhten Schutzbedarf aufweist. Netzwerkkomponenten sind zu berücksichtigen, wenn das Schutzziel der Verfügbarkeit für die Anwendung erhöht ist.

Aktivitäten privilegierter Benutzer

Privilegierter Aktivitäten sind mit kritischen Berechtigungen in den Anwendungen verbunden. Kritische Berechtigungen sind Berechtigungen, die dem Benutzer befähigen, negativen Einfluss auf ein relevantes Schutzziel der Anwendung auszuüben. Jedoch ist zudem der Kontext, in dem die Berechtigung ausgeführt werden kann, für die Bewertung relevant.

Kann die Berechtigung ausschließlich im Rahmen eines Geschäftsprozesses, in dem angemessene Kontrollen implementiert sind, eingesetzt werden, ist diese Berechtigung nicht als kritisch einzustufen. Kritische Berechtigungen sind im Berechtigungskonzept der Anwendung zu dokumentieren.

Anschließend werden Aktivitäten den Benutzern zugeordnet. Der Scope der privilegierten Benutzer kann über das Identity & Access Management nachvollzogen werden. Privilegierte Benutzer sind Benutzer mit kritischen Berechtigungen.

Um die Protokollierung und Überwachung zu vereinfachen, ist es sinnvoll, spezielle Accounts für privilegierte Benutzer zu erstellen und ausschließlich diesen Benutzerkonten kritische Berechtigungen zuzuweisen. Die Accounts sind personalisiert auszugestalten. Sie sollten eine Syntax aufweisen, die sie eindeutig von den normalen Benutzer Accounts unterscheidet.

Beispiel: normaler Benutzer-Account: x35128, Account für kritische Berechtigungen: a35128 oder x35128_adm.

Protokollierung

Durch die Protokollierung wird die lückenlose Nachvollziehbarkeit aller Aktivitäten von privilegierten Benutzern sichergestellt. Die Protokollierung privilegierter Aktivitäten kann mittels folgender Verfahren sichergestellt werden:

  • Logfiles der Anwendungen
  • Session-Monitoring

Die Vor- und Nachteile werden im Folgenden dargestellt.

Logfiles der Anwendungen

Voraussetzung: Bei diesem Verfahren werden die privilegierten Aktivitäten in den Logfiles der Anwendung dokumentiert. Die Anwendung bietet die Option alle privilegierten Aktivitäten mit mindestens folgenden Informationen in Logfiles zu protokollieren:

  • ausführender Benutzer
  • Aktivität
  • Zeitpunkt der Ausführung

Die Logfiles können ausreichend gegen Manipulation geschützt werden. Ist kein ausreichender Schutz möglich, sollte geprüft werden, ob das Logfile vor einer möglichen Manipulation archiviert werden kann. Im Monitoring-Umfeld sind oft bereits Syslog Server im Einsatz. Dieser kann genutzt werden, um die Log-Meldungen in Echtzeit in ein zentrales Repository zu archivieren und damit gegen Manipulationen zu schützen.

Gegen Manipulation der Logeinträge schützt die Archivierung in einem zentralen Repository.
Gegen Manipulation der Logeinträge schützt die Archivierung in einem zentralen Repository.
(Bild: Jörg Thurau - ARCA-Consult)

Vorteile:

  • Kann mit überschaubarem Aufwand in eine bestehende Anwendungslandschaft integriert werden.
  • Syslog Server als zentraler Sammelpunkt für alle Logfiles.

Nachteile:

  • Die Auswertung der protokollierten Informationen setzt teilweise spezifisches Fachwissen voraus.
  • Gerade auf Infrastrukturebene sind Log-Informationen nicht durchgängig ausreichend präzise.

Session-Monitoring

Session Monitoring als zentrale Protokollierung privilegierter Aktivitäten auf Protokollebene.
Session Monitoring als zentrale Protokollierung privilegierter Aktivitäten auf Protokollebene.
(Bild: Jörg Thurau - ARCA-Consult)

Bei diesem Verfahren wird der ganze Bildschirm oder einzelne Anwendungsfenster aufgezeichnet. Es gibt Lösungen, die den Bildschirminhalt als Video aufzeichnen und diese zentral abspeichern. Andere Lösungen zeichnen auf Protokollebene auf.

Hierbei wird eine begrenzte Auswahl von Protokollen als Stream aufgezeichnet und in einem eigenen Format abgespeichert. Über spezielle Player können die Streams wie eine Video-Aufzeichnung wiedergegeben werden. Die Aufzeichnungen können bei einigen Lösungen um weitere Informationen wie Tastatureingaben oder Mausbewegungen angereichert werden.

Voraussetzung: Session-Monitoring Lösungen müssen meist im Netzwerk zwischen dem Arbeitsplatz des privilegierten Benutzers und dem System, auf dem die privilegierten Aktivitäten stattfinden, platziert werden. Daher ist eine entsprechende Netzwerksegmentierung notwendig.

Vorteile:

  • Das Bewusstsein, dass jede Aktivität aufgezeichnet wird, wirkt abschreckend auf Innentäter.
  • Zentrale und manipulationssichere Ablage der protokollierten Informationen.

Nachteile:

  • Session-Monitoring-Lösungen sind kostenintensiv (initiale und laufende Kosten).
  • Hohes Datenvolumen für die Protokollierung.
  • Gegebenenfalls ist ein aufwendiger Umbau der Netzwerk-Strukturen notwendig.
  • Die Protokollierung kann umgangen werden, zum Beispiel durch das verdeckte Ausführen von Skripten oder Verschieben von Fenstern mit brisanten Inhalten aus dem aufgezeichneten Bildschirm heraus.
  • Protokollaufzeichnungen müssen vor Missbrauch, beispielsweise Mitarbeiterüberwachung und Passwortspionage, geschützt werden.
  • Einzelne Aktivitäten lassen sich nur eingeschränkt automatisiert aus den Protokollaufzeichnungen selektieren.

Effizienzsteigerung

Folgende Maßnahmen steigern die Effizienz der Protokollierung von Aktivitäten privilegierter Benutzer:

  • Protokollierung nur für Anwendungen mit erhöhten Schutzbedarf umsetzen
  • privilegierten Aktivitäten von dem Einfluss auf die Schutzziele der Anwendung herleiten
  • Kritische Berechtigungen ausschließlich separaten Admin-Accounts zuweisen
  • Möglichst auf ein Session-Monitoring verzichten. Die privilegierten Aktivitäten in Logfiles protokollieren
  • Monitoring Tools für die Protokollierung nutzen

Über den Autor: Jörg Thurau ist Managing Consultant Information Security bei ARCA-Consult. Über 20 Jahre Erfahrung auf den Gebieten Information-Security, IT-Security und IT-Betrieb zeichnen ihn als Spezialisten aus. Einer seiner fachlichen Schwerpunkte befasst sich mit dem Identity & Access Management in stark regulierten Umgebungen.

(ID:46754041)