Suchen

Nachhaltigkeit im IT-Umfeld Effiziente Protokollierung von Aktivitäten privilegierter Benutzer

| Autor / Redakteur: Jörg Thurau* / Peter Schmitz

In vielen Normen und Anforderungen wird die Protokollierung und Überwachung von Aktivitäten privilegierter Benutzer gefordert. Zur Steigerung der Effizienz sollten nur die Tätigkeiten mit Auswirkung auf die Schutzziele der jeweiligen Anwendung protokolliert und überwacht werden.

Die Protokollierung von Aktivitäten privilegierter Benutzer ist ein wichtiger Schritt zur Systemsicherheit, wenn sie korrekt durchgeführt wird.
Die Protokollierung von Aktivitäten privilegierter Benutzer ist ein wichtiger Schritt zur Systemsicherheit, wenn sie korrekt durchgeführt wird.
(Bild: gemeinfrei / Pixabay )

Der Aufwand für die Protokollierung von Aktivitäten privilegierter Benutzer kann schnell ins Uferlose ausarten. Der Umfang der auszuwertenden Log- und Protokolleinträge steigt exponentiell mit der Anzahl der Anwendungen und der Menge der Aktivitäten privilegierter Benutzer. Daher sollten sowohl die Log- und Protokolleinträge als auch die Aktivitäten, die privilegierten Benutzern zugeordnet werden, auf ein Minimum reduziert werden.

Auswahl der Anwendungen und Infrastruktur

Beispiel für die Auswahl der Anwendungen anhand der Schutzziele.
Beispiel für die Auswahl der Anwendungen anhand der Schutzziele.
(Bild: Jörg Thurau - ARCA-Consult)

Im ersten Schritt werden nur die Anwendungen berücksichtigt, für die in mindestens einem Schutzziel ein erhöhter Schutzbedarf definiert ist. Anwendungen, für die ausschließlich niedrigere Schutzbedarfe definiert sind, können in eine langfristige Planung aufgenommen werden, oder sie werden im Risikobericht mit Risikoakzeptanz ausgewiesen.

Neben der Anwendung muss auch die von der Anwendung genutzte Infrastruktur berücksichtigt werden.
Neben der Anwendung muss auch die von der Anwendung genutzte Infrastruktur berücksichtigt werden.
(Bild: Jörg Thurau - ARCA-Consult)

Neben der Anwendung ist auch die von der Anwendung genutzte Infrastruktur wie zum Beispiel Middleware, Datenbank, Server-Betriebssystem, Storage, Netzwerk et cetera zu bewerten. Es müssen Systeme und Komponenten berücksichtigt werden, deren Infrastrukturbenutzer Einfluss auf relevante Schutzziele der Anwendung haben. Beispiel: Backup- und Archivsysteme sind zu berücksichtigen, wenn die Anwendung im Schutzziel Vertraulichkeit einen erhöhten Schutzbedarf aufweist. Netzwerkkomponenten sind zu berücksichtigen, wenn das Schutzziel der Verfügbarkeit für die Anwendung erhöht ist.

Aktivitäten privilegierter Benutzer

Privilegierter Aktivitäten sind mit kritischen Berechtigungen in den Anwendungen verbunden. Kritische Berechtigungen sind Berechtigungen, die dem Benutzer befähigen, negativen Einfluss auf ein relevantes Schutzziel der Anwendung auszuüben. Jedoch ist zudem der Kontext, in dem die Berechtigung ausgeführt werden kann, für die Bewertung relevant. Kann die Berechtigung ausschließlich im Rahmen eines Geschäftsprozesses, in dem angemessene Kontrollen implementiert sind, eingesetzt werden, ist diese Berechtigung nicht als kritisch einzustufen. Kritische Berechtigungen sind im Berechtigungskonzept der Anwendung zu dokumentieren.

Anschließend werden Aktivitäten den Benutzern zugeordnet. Der Scope der privilegierten Benutzer kann über das Identity-&-Access-Management nachvollzogen werden. Privilegierte Benutzer sind Benutzer mit kritischen Berechtigungen.

Um die Protokollierung und Überwachung zu vereinfachen, ist es sinnvoll, spezielle Accounts für privilegierte Benutzer zu erstellen und ausschließlich diesen Benutzerkonten kritische Berechtigungen zuzuweisen. Die Accounts sind personalisiert auszugestalten. Sie sollten eine Syntax aufweisen, die sie eindeutig von den normalen Benutzer-Accounts unterscheidet. Beispiel: normaler Benutzer-Account: x35128, Account für kritische Berechtigungen: a35128 oder x35128_adm.

Protokollierung

Durch die Protokollierung wird die lückenlose Nachvollziehbarkeit aller Aktivitäten privilegierter Benutzer sichergestellt. Die Protokollierung privilegierter Aktivitäten kann mittels folgender Verfahren sichergestellt werden:

  • Logfiles der Anwendungen,
  • Session-Monitoring.

Die Vor- und Nachteile werden im Folgenden dargestellt.

Logfiles der Anwendungen

Voraussetzung: Bei diesem Verfahren werden die privilegierten Aktivitäten in den Logfiles der Anwendung dokumentiert. Die Anwendung bietet die Option, alle privilegierten Aktivitäten mit mindestens folgenden Informationen in Logfiles zu protokollieren:

  • ausführender Benutzer,
  • Aktivität,
  • Zeitpunkt der Ausführung.

Die Logfiles können ausreichend gegen Manipulation geschützt werden. Ist kein ausreichender Schutz möglich, sollte geprüft werden, ob das Logfile vor einer möglichen Manipulation archiviert werden kann. Im Monitoring-Umfeld sind oft bereits Syslog-Server im Einsatz. Diese können genutzt werden, um die Logmeldungen in Echtzeit in ein zentrales Repository zu archivieren und damit gegen Manipulationen zu schützen.

Gegen Manipulation der Logeinträge schützt die Archivierung in einem zentralen Repository.
Gegen Manipulation der Logeinträge schützt die Archivierung in einem zentralen Repository.
(Bild: Jörg Thurau - ARCA-Consult)

Vorteile:

  • Kann mit überschaubarem Aufwand in eine bestehende Anwendungslandschaft integriert werden.
  • Syslog-Server als zentraler Sammelpunkt für alle Logfiles.

Nachteile:

  • Die Auswertung der protokollierten Informationen setzt teilweise spezifisches Fachwissen voraus.
  • Gerade auf Infrastrukturebene sind Loginformationen nicht durchgängig ausreichend präzise.

Session-Monitoring

Session-Monitoring als zentrale Protokollierung privilegierter Aktivitäten auf Protokollebene.
Session-Monitoring als zentrale Protokollierung privilegierter Aktivitäten auf Protokollebene.
(Bild: Jörg Thurau - ARCA-Consult)

Bei diesem Verfahren werden der ganze Bildschirm oder einzelne Anwendungsfenster aufgezeichnet. Es gibt Lösungen, die den Bildschirminhalt als Video aufzeichnen und diese zentral abspeichern. Andere Lösungen zeichnen auf Protokollebene auf. Hierbei wird eine begrenzte Auswahl von Protokollen als Stream aufgezeichnet und in einem eigenen Format abgespeichert. Über spezielle Player können die Streams wie eine Videoaufzeichnung wiedergegeben werden. Die Aufzeichnungen können bei einigen Lösungen um weitere Informationen wie Tastatureingaben oder Mausbewegungen angereichert werden.

Voraussetzung: Session-Monitoring-Lösungen müssen meist im Netzwerk zwischen dem Arbeitsplatz des privilegierten Benutzers und dem System, auf dem die privilegierten Aktivitäten stattfinden, platziert werden. Daher ist eine entsprechende Netzwerksegmentierung notwendig.

Vorteile:

  • Das Bewusstsein, dass jede Aktivität aufgezeichnet wird, wirkt abschreckend auf Innentäter.
  • Zentrale und manipulationssichere Ablage der protokollierten Informationen.

Nachteile:

  • Session-Monitoring-Lösungen sind kostenintensiv (initiale und laufende Kosten).
  • Hohes Datenvolumen für die Protokollierung.
  • Gegebenenfalls ist ein aufwendiger Umbau der Netzwerk-Strukturen notwendig.
  • Die Protokollierung kann umgangen werden, zum Beispiel durch das verdeckte Ausführen von Skripten oder Verschieben von Fenstern mit brisanten Inhalten aus dem aufgezeichneten Bildschirm heraus.
  • Protokollaufzeichnungen müssen vor Missbrauch (zum Beispiel Mitarbeiterüberwachung, Passwortspionage) geschützt werden.
  • Einzelne Aktivitäten können nur eingeschränkt automatisiert aus den Protokollaufzeichnungen selektiert werden.

Effizienzsteigerung

Folgende Maßnahmen steigern die Effizienz der Protokollierung von Aktivitäten privilegierter Benutzer:

  • Protokollierung nur für Anwendungen mit erhöhten Schutzbedarf umsetzen.
  • Privilegierte Aktivitäten von dem Einfluss auf die Schutzziele der Anwendung herleiten.
  • Kritische Berechtigungen ausschließlich separaten Admin-Accounts zuweisen.
  • Möglichst auf ein Session-Monitoring verzichten.
  • Die privilegierten Aktivitäten in Logfiles protokollieren.
  • Monitoring-Tools für die Protokollierung nutzen.

*Über den Autor: Jörg Thurau ist Managing Consultant Information Security bei ARCA-Consult. Über 20 Jahre Erfahrung auf den Gebieten Information-Security, IT-Security und IT-Betrieb zeichnen ihn als Spezialisten aus. Einer seiner fachlichen Schwerpunkte befasst sich mit dem Identity-&-Access-Management in stark regulierten Umgebungen.

(ID:46802832)