Risiko Mitarbeiter – 10 Tipps für mehr Datensicherheit
Tipp 7 – Wie Audit-Tools die forensische Analyse erleichtern
10.02.2010 | Autor / Redakteur: Brian Contos / Stephan Augsten
Reports und Log-Analysen im Rahmen der forensischen Aufklärung von Sicherheitsvorfällen besitzen zweifelsohne ihre Daseinsberechtigung. Forensische Untersuchungen erfordern allerdings ein höheres Maß an Flexibilität: Nur wer nicht auf die Analyse bekannter Aktivitäten und Bereiche beschränkt ist, kann Zugriffsverletzungen und andere Sicherheitsvorfälle umfassend aufdecken.
Lange Zeit haben Unternehmen ihre Log-Dateien mithilfe von Textanalyse-Tools nach charakteristischen Aktionen durchsucht. Beispiele hierfür sind Unix-Tools wie grep (global search for a regular expression and print out matched lines), sed (Stream Editor) und die Skriptsprache awk.
Doch die Tage, in denen man sämtliche Datenbank-Logs nach möglichen Zugriffsverletzungen durchforstet hat, sind gezählt. Ein derartiges Vorgehen ist nicht skalierbar und kann darüber hinaus keine undefinierten Aktivitäten aufdecken.
Im Rahmen von Audit-Prozessen ist ein Abbild der Gefahrenlage mehr Wert, als Millionen von Logs. Durch eine visuelle Auseinandersetzung mit Audit-Daten erkennt man kausale Zusammenhänge, die ohne entsprechende Visualisierungs-Tools in der Regel unentdeckt bleiben.
Ein Beispiel: Im Rahmen seiner Ermittlung holt ein Analyst zunächst einmal weit aus und beschafft sich Informationen über Seitenaufrufe, Nutzer, Logins und die überwachten Systeme (bspw. Server). Erst auf dieser Grundlage kann er seine Untersuchung auf bislang unidentifizierte Bereiche ausdehnen.
Bei der Analyse von Zugriffsverletzungen müssen folgende drei Fragen beantwortet werden: Was hat der Verantwortliche noch getan? Über welchen Zeitraum haben die Aktivitäten stattgefunden? Wer könnte in diese oder ähnliche Sicherheitsvorfälle verstrickt sein?
Gehen wir doch einmal exemplarisch eine Sicherheitsermittlung durch:
- Es werden SQL-Fehler registriert, doch nicht alle stammen von innerhalb der Produktivumgebung.
- Der Ermittler muss herausfinden, welche Quellen auf die Produktivumgebung zugreifen wollten.
- Auf dieser Grundlage lässt sich bestimmen, welche Anwender eindeutig mit den SQL-Fehlern in Beziehung stehen.
- Ein bestimmter Nutzer verursacht deutlich mehr Fehler, als andere Mitarbeiter.
- Dieser Nutzer ist als Entwickler beschäftigt; da die betroffenen Systeme in der Produktivumgebung stehen, handelt es sich um einen eindeutigen Verstoß gegen die Funktionstrennung (Segregation of Duties).
- Bei einer detaillierten Durchsicht der Zugriffsinformationen stellt sich heraus, dass der Entwickler auf Kreditkartendaten und Gehaltslisten zugreifen wollte.
- Der Ermittler versucht herauszufinden, wie oft die Zugriffsversuche des Anwenders Erfolg hatten oder gescheitert sind.
- Anhand von Trend-Reports lässt sich nachverfolgen, wie lange die Zugriffsversuche bereits stattfinden und wer in ähnliche Aktivitäten verwickelt ist.
Sofern ein Sicherheitsvorfall überhaupt entdeckt wird, kann eine manuelle Analyse in dieser Form tage- oder gar wochenlang dauern. Visuell gestützte Audit-Lösungen erlauben es, dieselben Erkenntnisse innerhalb von Minuten zu gewinnen. Denn man kann die komplexen, heterogenen Audit-Daten on-the-fly filtern und sich per Mausklick weitere Details zu einem Log-Eintrag anzeigen lassen.
Brian Contos ist Chief Security Strategist bei Imperva.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043291)
