Arcsight Logger 4

Weitere Magazine

Empfehlungen

Info

White Paper: ArcSight Logger 4 Überblick Angestellte, Kunden, Auftragnehmer, Partner oder auch Eindringlinge hinterlassen digitale Fingerabdrücke, wenn sie Systeme des Unternehmens, Datenbanken, Webseiten, Applikationen oder die physikalische Sicherheitsinfrastruktur benutzen. Diese digitalen Fingerabdrücke, gemeinhin als Ereignisse oder Logs bekannt, können genutzt werden: • zur Bekämpfung von Cyberkriminalität mittels vereinheitlichter Analyse zur kriminaltechnischen Untersuchung über alle Daten hinweg • zum nachweis der Einhaltung von Regularien dank der Datensammlung und -aufbewahrung in auditfähiger Qualität • zur Rationalisierung von It-Arbeitsabläufen, indem operationelle Daten untersucht werden können, die für das Change Management, das Netzwerkmanagement oder das Management der Applikationen benötigt werden Trotz der eindeutigen Vorteile des Log-Managements haben Organisationen mit dem Volumen an sowie dem Zugriff auf Log-Daten im laufenden Betrieb zu kämpfen. Bis heute gab es keine einzige Lösung, die die unterschiedlichen Ansprüche der Sicherheits-, Audit- und IT-Teams in sich vereinte. Typischerweise werden in Unternehmen verschiedene Produkte eingesetzt, um die genannten Anforderungen abzudecken, was wiederum eine fragmentierte Analyse, zu hohe IT-Ausgaben und erhöhte Geschäftsrisiken zur Folge hat. Dieses White Paper diskutiert die Anforderungen an eine universelle Log-Management-Lösung und beschreibt detailliert, wie ArcSight Logger 4 diese Anforderungen erfüllt. Ein kürzlich bei der Boeing Corporation aufgetretener Computerspionagefall wird als ein Beispiel aufgeführt. Die Notwendigkeit einer umfassenden Log-Management-Lösung Computersysteme und Applikations-Logs gibt es schon lange und letztere sind älter als das Internet, älter als die erste Firewall der Welt und im Wesentlichen so alt wie das älteste Computersystem. Seit jeher werden sie für das Troubleshooting benutzt. Bedingt durch die höhere Komplexität der Netzwerke, hat man es heute mit höheren Datenvolumina, mit mehr Transaktionen und Online- Anwendern zu tun. Regierungen und Unternehmen werden weltweit zunehmend angreifbarer durch Cyberkrieg, Cyberdiebstahl, Cyberbetrug und Cyberspionage durch Hacker, durch schädliche Programme und böswillige Insider. Auf dieser Evolutionsstufe des Cyberspace können Logs nun genutzt werden, um forensische Analysen zu allen Arten von Cybersicherheitsvorfällen durchzuführen. Das Sammeln, das zentrale Speichern und die schnelle Analyse aller Cybersicherheitsvorfälle über verschiedene Geräte und Anwendungen hinweg sind die Schlüsselanforderungen. Eine von der U.S. Cyber Consequences Unit kürzlich erstellte Untersuchung besagt, dass eine einzelne Welle von Computerattacken auf kritische Infrastrukturen einen Schaden von mehr als 700 Milliarden USD zur Folge haben könnte, etwa soviel Schaden, wie 50 große Hurrikans anrichten würden, die gleichzeitig über Amerika hereinbrächen. Das wirkliche Problem ist, dass mehr als 75 Prozent der kritischen Infrastruktur dem privaten Sektor gehören und dereguliert sind (laut Homeland Security Presidential Directive-7). Dieses Beispiel verdeutlicht, wie und warum die Sicherheit und die Erfüllung der Regularien Hand in Hand gehen. Den meisten Unternehmen entstehen Kosten und Aufwände, da sie zahlreiche Industrie-, staatliche oder nationale Verordnungen erfüllen müssen, wie Sarbanes-Oxley, HIPAA, FISMA, GLBA, PCI, BASEL, die NERC CIP Standards, internationale Datenschutzgesetze und viele mehr. Die meisten dieser Regularien verlangen die Aufbewahrung verschiedener Daten Regularium Aufbewahrungsfrist* SOX 7 Jahre PCI 1 Jahr GLBA 6 Jahre EU-DR-RIChtLInIE 2 Jahre BASEL II 7 Jahre hIPAA 6/7 Jahre vOn nERC CIP-002 BIS CIP-009 3 Jahre FISMA 3 Jahre Bild 1 Fristen zur Aufbewahrung regulierter Daten *Nach Auslegung von ArcSight. ArcSight 1
White Paper: ArcSight Logger 4 über viele Jahre, wie in Bild 1 gezeigt. Effektives und effizientes Log-Management kann gleichzeitig dazu dienen, die verschiedenen Regularien zu erfüllen sowie Zeit und Kosten bei Regulariumaudits einzusparen. Wie dem auch sei, genau so wichtig wie für die Sicherheit und für die Einhaltung von Regularien ist das Log-Management für die IT-Prozessabläufe. Laut der Gartner Group, einem führenden Unternehmen im Bereich Marktforschung und Analyse, liegen bei lediglich 20 Prozent der auftragskritischen Systemausfallzeiten (umwelt-)technisches Versagen oder Naturkatastrophen zu Grunde. Die anderen 80 Prozent werden durch menschliches Versagen oder fehlerhafte Prozessabläufe verursacht; so musste beispielsweise ein Kernkraftwerk im U.S.-Bundesstaat Georgia für 48 Stunden notabgeschaltet werden, nachdem ein Softwareupdate fehlgeschlagen war (Quelle: Washington Post, 2008). Ein Teil dieser 80 Prozent könnte auf Cybersicherheitsaspekte zurückzuführen sein, aber der große Rest beruht schlicht und einfach auf mangelhaftem Change- und Applikationsmanagement. Da Logs ein Protokoll zu allen Veränderungen erstellen, die an den verschiedenen Systemen vorgenommen worden sind, können Logs bei kriminaltechnischen Untersuchungen oder bei der schnellen Lösung von Problemen mit IT-Abläufen immens hilfreich sein. SICHERHEIT Downloads schädigender Software CPU-Überlastspitzen IT-PROZESSE Datendiebe REGELKON- FORMITÄT Bild 2. Sicherheit, Regelkonformität sowie IT-Prozesse hängen zusammen Die passende Log-Management-Lösung auswählen Eine ideale Log-Management-Lösung muss gleichzeitig die Anforderungen der Sicherheits-, Compliance- und IT-Prozessteams erfüllen können. Sie muss in der Lage sein, alle Log-Daten innerhalb des Unternehmens zu sammeln und zu speichern. Aber nicht alle Log-Management-Lösungen sind gleich konzipiert; manche behandeln Symptome isoliert und setzen so das Unternehmen größeren Risiken aus. Die Marktbedingungen verlangen nach einem einzigem Log- Management-Tool, das folgende Voraussetzungen erfüllt, um jedes Ereignis innerhalb der Unternehmung verarbeiten zu können. Voraussetzung Nr. 1: Alles überwachen Logs werden in verschiedenen Formaten erzeugt, siehe Bild 3, und können strukturiert (geparst und in Felder abgeglichen) oder unstrukturiert (Rohtext) gesammelt werden. Die sich rasant verändernde Cyberwelt erfordert die Sammlung und die ultraschnelle Analyse aller Arten von Daten durch „ein einziges Fenster“. Bezüglich des Sammelns sollten Log-Managementlösungen alle möglichen Methoden unterstützen, einschließlich Push- und Pull-Mechanismen. Früher wurden die Log-Analysen bezüglich Sicherheit, Regelkonformität oder bezüglich der Abläufe als separate Domänen betrachtet. Systemabstürze, Cyberattacken und die Nichteinhaltung von Regularien haben jedoch häufig gemeinsame Ursachen. So könnte beispielsweise ein nachlässiger oder auch böswilliger Insider einen Bot im Firmennetzwerk freisetzen, der dann vertrauliche Daten sammelt und an Dritte sendet, während System-CPU und Laufwerke gleichzeitig hängen bleiben. Für die meisten Log-Managementprodukte stellt das Diagnostizieren der CPU und von Laufwerken eine große Herausforderung dar, da unstrukturierte System-Log-Daten erhoben werden müssen. Log- Managementprodukte, die auf die Verarbeitung strukturierter Daten setzen, sind nicht in der Lage festzustellen, ob CPU- oder Laufwerkslastspitzen auf bösartige Software zurückzuführen sind. So geht die Organisation das Symptom (CPU- Überlastung) an und verfehlt das wirkliche Problem, den Verlust von Kundendaten (Verstoß gegen Regularien) aufgrund einer kriminellen Handlung. Weil heutige Cyberattacken immer raffinierter und technisch perfekter werden, müssen auch die Maßnahmen zur Entdeckung von Cyberverbrechen und der Schutz der Unternehmensdaten und -infrastruktur gleichermaßen ausgereift sein. Bild 3. Umfassendes Sammeln und Analysieren strukturierter und unstrukturierter Daten ArcSight 2
Seite 1: White Paper ArcSight Logger 4 Cyber
Seite 5 und 6: White Paper: ArcSight Logger 4 Dies
Seite 7 und 8: White Paper: ArcSight Logger 4 Einh
Seite 9 und 10: White Paper: ArcSight Logger 4 Die

Arcsight Logger 4

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?