:quality(80)/p7i.vogel.de/wcms/08/c4/08c4c1acaf47f600691dd605db5cd35b/0114958433.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/32/af/32af68c76bfa25c440c69253ca98ce41/0114109630.jpeg "Storage-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9f/50/9f50450053b9299006535757db4bc1f2/0115455615.jpeg "Backup-Risiken auf dem Radar: NovaStor will Potentiale zur Verbesserung aufzeigen. (Bild: ©Petrovich9, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/d0/6b/d06bf2782c5dd258595ff4784cb74289/0115364251.jpeg "Storage-Insider befragte den neuen Geschäftsführer der Synology GmbH Chad Chiang zu seinen ersten Maßnahmen. (Bild: Synology)")
:quality(80)/p7i.vogel.de/wcms/28/00/28006286f1790aae61f9c6125893ed96/0115206741.jpeg "Die Freeware AOMEI Backupper Standard ist ein wertvolles Tool für die Datensicherung. (Bild: ©kutubQ, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/56/c156324750f322441f874f59f3b2661d/0115441750.jpeg "Die NVMe SSD 990 von Samsung kommt nun in einer Variante mit 4 TB Speicherkapazität und massivem Kühlkörper. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/b6/25/b625430b1e917458e40b6f3fbea04b79/0115202785.jpeg "PassMark DiskCheckup überwacht Datenträger – auch in Echtzeit. (Bild: ©kyoshino, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/5a/d3/5ad3f1f7f8b365374305dc8be779bcac/0115058690.jpeg "Eine große Menge an Daten kann schnell für Chaos sorgen. Datenmanagement hilft. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/1b/39/1b3971271ef27421143467f1c108f071/0115120954.jpeg "Morgenröte für Qumulo in der Cloud: Die neueste Version von Azure Native Qumulo soll besser skalierbar und um 80 Prozent günstiger sein als vergleichbare Storage-Services für große Datenmengen. Die Untergrenze liegt bei 100 TB. (Bild: Marco Attano - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/4b/164bd3bd83c8acd66837402a78d850fe/0115441221.jpeg "Mit Mediaflux Universal Data System will Arcitecta den Kunden ein Datenmanagement ohne Standortbeschränkungen und Hardware-Vorgaben ermöglichen. (Bild: ©Rick_Jo, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b4/70/b470cac74125bad3f3dbbe396090c277/0113763718.jpeg "Durch den umfangreichen Einsatz hybrider Clouds werden vermehrt Faktoren wie einfaches und einheitliches Management für die Entscheidung zwischen verschiedenen Produkten, Diensten und Anbietern herangezogen. (Bild: Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/e6/7fe679fdfdcefc82a736920346c6bb85/0115294007.jpeg "Kasten K10 V6.5 bietet zahlreiche Verbesserungen in Sachen Cyberresilienz. (Bild: Kasten by Veeam)")
:quality(80)/p7i.vogel.de/wcms/ef/5c/ef5cfb3e00f62689b75c8e2126986381/0115312702.jpeg "HCI-Systeme führen die verfügbaren Ressourcen unter einer Abstraktionsschicht zusammen und verhindern Datensilos. (Bild: ©Funtap, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/34/31/343110642f327d2532ac73b95e10d9bd/0115403611.jpeg "Essenziell für Archivierungslösungen sind ein effizientes Datenmanagement und Funktionen zur Einhaltung der gültigen juristischen Vorschriften. (Bild: ©abluecup, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/38/86/388656d1f4dda41f12259d5e87aa5a48/0115097220.jpeg "Proxess will sensible Unterlagen mit seinem digitalen Geschäftsleitungsarchiv vor unberechtigten Zugriffen und Manipulationen schützen. (Bild: PROXESS)")
:quality(80)/p7i.vogel.de/wcms/51/d8/51d89a398907e76b88353ac1e3bf86e0/0114542268.jpeg "Die Kuppel des Bundestages. (© su)")
:quality(80)/p7i.vogel.de/wcms/a0/92/a09283877f03731321c73ae7058b46e9/0114141508.jpeg "Forscher des Fraunhofer IPA und Fraunhofer IME wollen einen biologischen Binder entwickeln, mit dem Holzreste mittels 3D-Druck zu neuen Naturstoffkomposit-Produkten verarbeitet werden können. (Bild: Fraunhofer IPA)")
:quality(80)/p7i.vogel.de/wcms/66/c1/66c1044e13b28975d99a6bf91ca7d25b/0115515131.jpeg "Gastkolumnistin Petra-Maria Grohs von Hitachi Vantara beschreibt, über welche Stellschrauben Unternehmen bezüglich des Energieverbrauches verfügen. (Bild: ©Savanevich Viktar via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/26/fc/26fc875f8f9c3fc15d80759c1b0c78ea/0115100533.jpeg "Nutanix hat mittels neuer Funktionen die Cyberresilienz seiner Cloud Platform erhöht. (Bild: Nutanix)")
:quality(80)/p7i.vogel.de/wcms/de/16/de16e2b16bd87ee1f6790d8a47162222/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/0a/63/0a6348b2b4fb421cada86145461d7628/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/30/f6/30f6c028ac6242df263aa7a7717da994/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/92/5c/925ca2061478637c55d098d48a279132/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/ed/ee/edee6fd952b666892bd772e7161f7c52/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/9a/ce/9ace4c7a23938049d1b1fc92f846c3b9/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
Nachhaltigkeit im IT-Umfeld Effiziente Protokollierung von Aktivitäten privilegierter Benutzer
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102100/102109/65.png "VMW_09Q3_LOGO_Corp_K.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
In vielen Normen und Anforderungen wird die Protokollierung und Überwachung von Aktivitäten privilegierter Benutzer gefordert. Zur Steigerung der Effizienz sollten nur die Tätigkeiten mit Auswirkung auf die Schutzziele der jeweiligen Anwendung protokolliert und überwacht werden.
Der Aufwand für die Protokollierung von Aktivitäten privilegierter Benutzer kann schnell ins Uferlose ausarten. Der Umfang der auszuwertenden Log- und Protokolleinträge steigt exponentiell mit der Anzahl der Anwendungen und der Menge der Aktivitäten privilegierter Benutzer. Daher sollten sowohl die Log- und Protokolleinträge als auch die Aktivitäten, die privilegierten Benutzern zugeordnet werden, auf ein Minimum reduziert werden.
Auswahl der Anwendungen und Infrastruktur
Im ersten Schritt werden nur die Anwendungen berücksichtigt, für die in mindestens einem Schutzziel ein erhöhter Schutzbedarf definiert ist. Anwendungen, für die ausschließlich niedrigere Schutzbedarfe definiert sind, können in eine langfristige Planung aufgenommen werden, oder sie werden im Risikobericht mit Risikoakzeptanz ausgewiesen.
Neben der Anwendung ist auch die von der Anwendung genutzte Infrastruktur wie zum Beispiel Middleware, Datenbank, Server-Betriebssystem, Storage, Netzwerk et cetera zu bewerten. Es müssen Systeme und Komponenten berücksichtigt werden, deren Infrastrukturbenutzer Einfluss auf relevante Schutzziele der Anwendung haben. Beispiel: Backup- und Archivsysteme sind zu berücksichtigen, wenn die Anwendung im Schutzziel Vertraulichkeit einen erhöhten Schutzbedarf aufweist. Netzwerkkomponenten sind zu berücksichtigen, wenn das Schutzziel der Verfügbarkeit für die Anwendung erhöht ist.
Aktivitäten privilegierter Benutzer
Privilegierter Aktivitäten sind mit kritischen Berechtigungen in den Anwendungen verbunden. Kritische Berechtigungen sind Berechtigungen, die dem Benutzer befähigen, negativen Einfluss auf ein relevantes Schutzziel der Anwendung auszuüben. Jedoch ist zudem der Kontext, in dem die Berechtigung ausgeführt werden kann, für die Bewertung relevant. Kann die Berechtigung ausschließlich im Rahmen eines Geschäftsprozesses, in dem angemessene Kontrollen implementiert sind, eingesetzt werden, ist diese Berechtigung nicht als kritisch einzustufen. Kritische Berechtigungen sind im Berechtigungskonzept der Anwendung zu dokumentieren.
Anschließend werden Aktivitäten den Benutzern zugeordnet. Der Scope der privilegierten Benutzer kann über das Identity-&-Access-Management nachvollzogen werden. Privilegierte Benutzer sind Benutzer mit kritischen Berechtigungen.
Um die Protokollierung und Überwachung zu vereinfachen, ist es sinnvoll, spezielle Accounts für privilegierte Benutzer zu erstellen und ausschließlich diesen Benutzerkonten kritische Berechtigungen zuzuweisen. Die Accounts sind personalisiert auszugestalten. Sie sollten eine Syntax aufweisen, die sie eindeutig von den normalen Benutzer-Accounts unterscheidet. Beispiel: normaler Benutzer-Account: x35128, Account für kritische Berechtigungen: a35128 oder x35128_adm.
Protokollierung
Durch die Protokollierung wird die lückenlose Nachvollziehbarkeit aller Aktivitäten privilegierter Benutzer sichergestellt. Die Protokollierung privilegierter Aktivitäten kann mittels folgender Verfahren sichergestellt werden:
- Logfiles der Anwendungen,
- Session-Monitoring.
Die Vor- und Nachteile werden im Folgenden dargestellt.
Logfiles der Anwendungen
Voraussetzung: Bei diesem Verfahren werden die privilegierten Aktivitäten in den Logfiles der Anwendung dokumentiert. Die Anwendung bietet die Option, alle privilegierten Aktivitäten mit mindestens folgenden Informationen in Logfiles zu protokollieren:
- ausführender Benutzer,
- Aktivität,
- Zeitpunkt der Ausführung.
Die Logfiles können ausreichend gegen Manipulation geschützt werden. Ist kein ausreichender Schutz möglich, sollte geprüft werden, ob das Logfile vor einer möglichen Manipulation archiviert werden kann. Im Monitoring-Umfeld sind oft bereits Syslog-Server im Einsatz. Diese können genutzt werden, um die Logmeldungen in Echtzeit in ein zentrales Repository zu archivieren und damit gegen Manipulationen zu schützen.
Vorteile:
- Kann mit überschaubarem Aufwand in eine bestehende Anwendungslandschaft integriert werden.
- Syslog-Server als zentraler Sammelpunkt für alle Logfiles.
Nachteile:
- Die Auswertung der protokollierten Informationen setzt teilweise spezifisches Fachwissen voraus.
- Gerade auf Infrastrukturebene sind Loginformationen nicht durchgängig ausreichend präzise.
Session-Monitoring
Bei diesem Verfahren werden der ganze Bildschirm oder einzelne Anwendungsfenster aufgezeichnet. Es gibt Lösungen, die den Bildschirminhalt als Video aufzeichnen und diese zentral abspeichern. Andere Lösungen zeichnen auf Protokollebene auf. Hierbei wird eine begrenzte Auswahl von Protokollen als Stream aufgezeichnet und in einem eigenen Format abgespeichert. Über spezielle Player können die Streams wie eine Videoaufzeichnung wiedergegeben werden. Die Aufzeichnungen können bei einigen Lösungen um weitere Informationen wie Tastatureingaben oder Mausbewegungen angereichert werden.
Voraussetzung: Session-Monitoring-Lösungen müssen meist im Netzwerk zwischen dem Arbeitsplatz des privilegierten Benutzers und dem System, auf dem die privilegierten Aktivitäten stattfinden, platziert werden. Daher ist eine entsprechende Netzwerksegmentierung notwendig.
Vorteile:
- Das Bewusstsein, dass jede Aktivität aufgezeichnet wird, wirkt abschreckend auf Innentäter.
- Zentrale und manipulationssichere Ablage der protokollierten Informationen.
Nachteile:
- Session-Monitoring-Lösungen sind kostenintensiv (initiale und laufende Kosten).
- Hohes Datenvolumen für die Protokollierung.
- Gegebenenfalls ist ein aufwendiger Umbau der Netzwerk-Strukturen notwendig.
- Die Protokollierung kann umgangen werden, zum Beispiel durch das verdeckte Ausführen von Skripten oder Verschieben von Fenstern mit brisanten Inhalten aus dem aufgezeichneten Bildschirm heraus.
- Protokollaufzeichnungen müssen vor Missbrauch (zum Beispiel Mitarbeiterüberwachung, Passwortspionage) geschützt werden.
- Einzelne Aktivitäten können nur eingeschränkt automatisiert aus den Protokollaufzeichnungen selektiert werden.
Effizienzsteigerung
Folgende Maßnahmen steigern die Effizienz der Protokollierung von Aktivitäten privilegierter Benutzer:
- Protokollierung nur für Anwendungen mit erhöhten Schutzbedarf umsetzen.
- Privilegierte Aktivitäten von dem Einfluss auf die Schutzziele der Anwendung herleiten.
- Kritische Berechtigungen ausschließlich separaten Admin-Accounts zuweisen.
- Möglichst auf ein Session-Monitoring verzichten.
- Die privilegierten Aktivitäten in Logfiles protokollieren.
- Monitoring-Tools für die Protokollierung nutzen.
*Über den Autor: Jörg Thurau ist Managing Consultant Information Security bei ARCA-Consult. Über 20 Jahre Erfahrung auf den Gebieten Information-Security, IT-Security und IT-Betrieb zeichnen ihn als Spezialisten aus. Einer seiner fachlichen Schwerpunkte befasst sich mit dem Identity-&-Access-Management in stark regulierten Umgebungen.
(ID:46802832)
:quality(80)/p7i.vogel.de/wcms/ff/de/ffdec8b059d07b217ece103574cc83e6/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/54/8e/548eec33cb17c74f217a88550dd51b6e/0109453168.jpeg "Die App „File Station“ erlaubt es, auf Synology-NAS-Systemen eigene Berechtigungen für jeden Ordner festzulegen. (Bild: frei lizenziert)")