Unzureichende Protokollierung und Überwachung

Protokollierung und Überwachung werden oft erst dann in Erwägung gezogen, wenn bereits etwas schief gelaufen ist, aber in Wirklichkeit kann ein Versäumnis bei der ordnungsgemäßen Protokollierung und Überwachung sehr kostspielig sein. 

Einerseits ist es bei einem Vorfall (ob sicherheitsrelevant oder nicht) unmöglich, mit wenigen oder gar keinen Protokollen herauszufinden, was tatsächlich passiert ist. Auf der anderen Seite kann die Aufzeichnung von zu vielen Daten zu Datenschutzproblemen führen, die wiederum Probleme mit den Aufsichtsbehörden nach sich ziehen können.

Im Folgenden gehen wir auf einige bewährte Verfahren ein, die Ihnen zu einer besseren Protokollierung und Überwachung verhelfen können. 

Bewährte Praktiken

Werfen wir einen Blick auf einige bewährte Verfahren für eine gute Protokollierung und Überwachung.

Audit-Protokollierung für sensible Funktionen

Es ist wichtig, Audit-Protokolle für sensible Ereignisse wie Anmeldeversuche (unabhängig davon, ob die Versuche erfolgreich waren oder nicht), Änderungen von Benutzerkonten, Zugriff auf/Änderung von sensiblen Daten und andere ähnliche Vorfälle zu erstellen. Dies gilt sowohl für den Zugriff durch allgemeine Benutzer als auch für interne/administrative Benutzer. 

Die Protokollierung dieser Vorgänge ist besonders wichtig, wenn der Verdacht besteht, dass ein unbefugter Zugriff stattgefunden hat, unabhängig davon, ob es sich um einen Insider oder einen Außenstehenden handelt. 

Wenn ein solches Ereignis eintritt, ist es von entscheidender Bedeutung, nachvollziehen zu können, wer auf welche Daten zugegriffen hat, um das Ausmaß und den Umfang des Ereignisses zu verstehen.

Fehlerprotokollierung

Das Vorhandensein von Fehler- und Warnprotokollen ist nicht nur ein allgemeines technisches Best-Practice-Verfahren zur Überwachung des Zustands der Anwendung, sondern kann auch als Warnhinweis dienen. 

Wenn ein Angreifer dabei ist, eine Schwachstelle zu entdecken, generiert er häufig eine große Anzahl von Fehlern und Warnungen, die Ihnen einen Hinweis darauf geben, dass ein Angreifer eine Schwachstelle in Ihrer Anwendung gefunden haben könnte.

Speicherung von Protokollen an einem zentralen Ort

Protokolle sollten immer in Echtzeit übertragen und an einem zentralen Ort gespeichert werden. Damit wird zum einen sichergestellt, dass die Protokolle sofort für die Analyse durch ein SIEM zur Verfügung stehen, und zum anderen wird verhindert, dass ein Angreifer, der einen Server kompromittiert hat, Protokolle ändern oder löschen kann. 

Aufbewahrung von Protokollen für eine bestimmte Zeitspanne

Die bedauerliche Realität ist, dass die meisten Sicherheitsverletzungen erst nach Tagen entdeckt werden, und bei 20 % der Sicherheitsverletzungen dauert es sogar Monate, bis sie entdeckt werden. Wenn die Zeit von der Verletzung bis zur Entdeckung so lange dauert, können Protokolle oft die einzige Datenquelle sein, die zur Verfügung steht, um festzustellen, was passiert sein könnte.

Daher ist die Speicherung von Protokollen über einen genau definierten Zeitraum besonders wichtig. Standards wie PCI schreiben vor, dass Protokolle, die 3 Monate zurückreichen, mit geringer oder gar keiner Verzögerung zugänglich sein müssen, während Protokolle, die 12 Monate zurückreichen, auf Anfrage wiederhergestellt werden können müssen. 

Dieser Ansatz schafft ein gutes Gleichgewicht zwischen der Möglichkeit, einen potenziellen Vorfall schnell zu untersuchen, und der Kostenkontrolle durch die kalte Lagerung von Protokollen. 

Regelmäßige Prüfung von Protokollen auf PII

Protokolle eignen sich hervorragend für die Untersuchung potenzieller Vorfälle, aber die Realität sieht so aus, dass die Protokolle selbst auch einen Vorfall verursachen können. 

Es ist ein schmaler Grat zwischen der Aufnahme von Informationen, die für die Untersuchung von Vorfällen erforderlich sind, und der Erfassung von zu vielen Daten. Es ist recht einfach, versehentlich personenbezogene Daten in die Protokolle aufzunehmen, was zu Problemen mit den Datenschutzbestimmungen führen kann.

Es ist wichtig, die Protokolle regelmäßig auf personenbezogene Daten zu überprüfen und sicherzustellen, dass diese entfernt werden.

‍