Logdaten-Analyse-System
Ziel
Logdaten sind in jedem Netzwerk eine wesentliche Informationsquelle, wenn es darum geht, Hard- und Softwareprobleme, sowie Ressourcenengpässe zu lokalisieren. Aber auch Sicherheitsprobleme und Angriffe auf die betriebenen Dienste lassen sich an Logdaten ablesen. Neben dem hohen Aufwand, dessen es bedarf, um eine umfassende Logging-Infrastruktur aufzubauen, sind die sensiblen Information wie IP-Adressen und Benutzernamen, die in Logdaten enthalten sein können, ein entscheidender Grund dafür, dass Logdaten so selten in die Sicherheitskonzepte der einzelnen Unternehmen integriert werden. Mit dem Logdaten-Analyse-System (LAS) stellt das if(is) ein Konzept vor, das diese datenschutzrechtlichen Bedenken gegenüber Logdaten zerstreuen soll, so dass bestehende Sicherheitskonzepte um die Stärken der Logdatenanalyse erweitert werden können.
Vorgehensweise
Die grundlegende Idee des LAS ist, dass die gesamte Kommunikation mit einem Dienst in Logdaten aufgezeichnet wird, also auch die mit einem potentiellen Angreifer. Da das Verhalten eines Angreifers aber deutlich vom normalen Nutzerverhalten abweicht, hinterlassen die Angriffe in den Protokollen signifikante Muster. Die Logdaten der überwachten Systeme und Dienste werden als Live-Datenstrom an einem zentralen Log-Host zusammengeführt (vgl. Abb. 1), um die Übersichtlichkeit zu erhöhen und die Korrelation der Daten sowie eine leichtere Weiterverarbeitung zu ermöglichen. Der Live-Datenstrom wird am zentralen Log-Host mit Hilfe zweier verschiedener Analysetechniken untersucht.
Anonymisierte Langzeitanalyse
Bei der anonymisierten Langzeitanalyse kommt, wie auch beim IAS, das Prinzip der Deskriptoren zum Einsatz. Dazu werden in den Logdaten Ereignisse definiert, deren Auftreten in zeitlichen Intervallen gezählt wird, so dass sich die zeitlichen Häufigkeitsverläufe dieser Ereignisse grafisch darstellen lassen. Auf diese Weise werden die Logdaten anonymisiert und können dann mit den Daten anderer Netzwerke zu einer globalen Sichtweise zusammengefügt und statistisch ausgewertet werden. Dieses Verfahren ermöglicht somit, Angriffssituationen und Anomalien zu erkennen, Verhaltensmuster und -profile zu erstellen und einen Überblick über den aktuellen Zustand des Internets zu erlangen.
Echtzeitanalyse mit Alarmierung
Bei der Echtzeitanalyse wird der Live-Datenstrom der Logdaten in nahezu Echtzeit regelbasiert auf Angriffe hin überprüft. Zu diesem Zweck wird einerseits eine Signaturerkennung eingesetzt, um bekannte Angriffsmuster präzise zu erkennen, andererseits wird aber auch eine Anomalieerkennung durchgeführt, in der mit Hilfe von Schwellenwertanalysen und dem Einsatz von Heuristiken auch unbekannte Angriffe identifiziert werden können. Sobald ein Angriff festgestellt wurde, wird ein Alarm ausgelöst. Dadurch ist eine zeitnahe Reaktion auf den Angriff in Form des Ergreifens von Schutzmaßnahmen gegen diese konkrete Bedrohung möglich, wodurch ein drohender Schaden minimiert werden kann. Die Logdaten, an Hand derer der Angriff detektiert wurde, und nur diese, werden im Schadszenario mit dem EagleX-Analysis-Client dargestellt und lassen sich als Grundlage zur Forensik und juristischen Verfolgung der Angreifer einsetzen. Alle sicherheitstechnisch irrelevanten Logdaten bleiben dem Analysten verborgen und werden nicht persistent gemacht.