EN

Leitfaden für unzureichende Protokollierung und Überwachung

In diesem Artikel:

Fast alle größeren Sicherheitsvorfälle haben ihren Ursprung in der Ausnutzung unzureichender Protokollierung, ungeplanter Sicherheitsstrategien oder unzureichender Überwachung. Unternehmen, die Anwendungen mit unzureichenden oder fehlenden Protokollierungsfunktionen einsetzen, laufen Gefahr, dass Angriffe so lange brauchen, um abgewehrt zu werden, dass sie dem gesamten Tech-Stack erheblichen Schaden zufügen können. 

Protokollierungs- und Überwachungsfunktionen versorgen Administratoren und Sicherheitsteams mit rohen Verkehrsdaten, die bei der Erkennung potenzieller Bedrohungen helfen, indem sie ungewöhnliche Muster aufzeigen. Diese Mechanismen sind grundlegende Sicherheitspfeiler, die das Fundament eines solide verwalteten Sicherheitsrahmens bilden.

Fehlen sorgfältig geplante Protokollierungsmechanismen, fehlt einer Organisation der Prüfpfad für die Sicherheitsanalyse, wodurch Angriffsvektoren genügend Zeit haben, weiter in verschiedene Komponenten des Ökosystems einzudringen.

Angriffe, die auf unzureichender Überwachung und Protokollierung von Schwachstellen beruhen, sind in der Regel weit verbreitet, bieten eine mittlere Chance und sind nur schwer zu entdecken. Die Sicherstellung, dass alle Ereignisse protokolliert und folglich überwacht werden, wird oft als erster Schritt zur Erkennung von Eindringlingen angesehen. 

In diesem Artikel werden verschiedene Schwachstellen und geschäftliche Auswirkungen untersucht, die sich aus einer unzureichenden Protokollierung und Überwachung ergeben, sowie die besten Methoden und Tools, die Angreifer daran hindern, Sicherheitsprobleme auszunutzen.

Was ist unzureichende Protokollierung und Überwachung?

Hacker nutzen Lücken in der Protokollierung und Überwachung aus, indem sie sich darauf verlassen, dass die Sicherheitsteams Zeit brauchen, um den Angriff zu erkennen und zu beheben, um zu versuchen, die Privilegien zu erweitern. In diesem Abschnitt werden die mit einer unzureichenden Protokollierung und Überwachung verbundenen Bedrohungen sowie die geschäftlichen Auswirkungen eines erfolgreichen Angriffs untersucht.

Der Hauptgrund dafür, dass ein unzureichend protokolliertes System durch Angriffsvektoren ausgenutzt wird, liegt in der Regel in den folgenden Mängeln, die durch das Fehlen eines effizienten Protokollierungs- und Überwachungsrahmens entstehen:

  • Nicht protokollierte Ereignisse und Transaktionen
  • Fehlende Log-Backups
  • Unklare Fehlerprotokollierung
  • Fehlende Pläne zur Eskalation von Sicherheitsverletzungen
  • Schlechtes Authentifizierungsmanagement
  • Unwirksame Schulungen zu Protokollierung und Überwachung
  • Fehlende Exporte zur Analyse von Protokolldaten
  • Software-Fehlkonfigurationen
Guide to Insufficient Logging and Monitoring graphic

Bedrohungen im Zusammenhang mit unzureichender Protokollierung und Überwachung

Botnet-Angriffe

Angreifer nutzen oft mehrere mit dem Internet verbundene Geräte, um Malware in ein System 

einzuschleusen und einen Cyberangriff zu koordinieren. Bei solcher Malware handelt es sich um automatisierte Bots, die die Anwendung auf unterschiedliche Weise manipulieren – von einfachen Spamming-Operationen bis hin zur Durchführung komplexerer Angriffe, die auf die Manipulation der Anwendung abzielen.

Diese werden auch häufig von Botnets unterstützt, die verschiedene Angriffe orchestrieren, darunter Brute-Force-, Phishing- und DDoS-Angriffe (Distributed Denial of Service). Botnet-Angriffe beruhen auf einer Kette von Aktionen, die mehrere Stufen durchlaufen. Ohne eine ordnungsgemäße Protokollierung von Ereignisdaten sind diese Angriffe kaum zu erkennen oder zu analysieren.

Ein effizientes Überwachungssystem mit Tools wie Syslog wird oft als erste Verteidigungslinie betrachtet, um die Wahrscheinlichkeit und Schwere von Botnet-Angriffen zu verringern.

DNS-Angriffe

Ein Domain Name Service (DNS) bietet einen Standardmechanismus, um Hostnamen von Computern ihren IP-Adressen zuzuordnen. Da DNS den Netzwerkverkehr zu den richtigen Webservern und Zielcomputern leitet, handelt es sich hierbei um gängige Schwachstellen, die häufig von Angriffsvektoren ausgenutzt werden, um die Verfügbarkeit oder Stabilität des DNS-Servers als Teil der Gesamtangriffsstrategie anzugreifen.

Einige mögliche DNS-Angriffe sind:

  • Cache Poisoning
  • Verteilte Reflection DoS-Angriffe
  • NXDOMAIN-Angriffe
  • DNS-Tunneling
  • Zufällige Subdomain-Angriffe
  • Domain-Lock-Up-Angriff

Wenn DNS-basierte Ereignisse nicht protokolliert und angemessen überwacht werden, wissen Administratoren nicht, welche Arten von Rechnern Angreifer (in der Verkleidung von Benutzern) abfragen und mit ihnen interagieren. Darüber hinaus können Bedrohungsakteure böswillige Aktionen wie die Installation von Malware, den Diebstahl von Anmeldeinformationen, Command & Control-Kommunikation, Network Footprinting und Datendiebstahl durchführen, wenn keine angemessene Protokollierung und Analyse der Abfragen erfolgt.

Insider-Bedrohungen

Unternehmen, die in der Regel ein Vermögen in den Schutz ihrer Systeme vor externen Angriffen investieren, schätzen interne Bedrohungen oft falsch ein. Solche internen Bedrohungsakteure sind nach wie vor ein kritisches Problem für Unternehmen, da ihre verdächtigen Aktivitäten oft unkontrolliert bleiben. In solchen Fällen stellen böswillige oder kompromittierte Insider eine ernsthafte Bedrohung für Systeme dar, da sie Zugang zu verschiedenen Kontroll- und Sicherheitsmaßnahmen haben. Obwohl sich eine solche Situation erstaunlich anhört, ist die Entschärfung relativ einfach und unkompliziert und beruht auf einem effizienten Protokollierungsmechanismus.

Eine unzureichende Überwachung und Protokollverwaltung führt in solchen Fällen zu nicht nachvollziehbaren Verhaltensweisen der Benutzer, was es Betrügern oder böswilligen Insidern ermöglicht, das System auf einer viel tieferen Ebene zu kompromittieren.

Zu den allgemein bekannten Insider-Bedrohungen, die sich aus unzureichender Protokollierung und Überwachung ergeben, gehören:

  • Malware-Verkehr
  • Ransomware-Angriffe
  • Fortgeschrittene anhaltende Bedrohungen

Wie Angreifer unzureichende Protokollierung und Überwachung ausnutzen

Ohne die Protokollierung kritischer Sicherheitsinformationen werden Sicherheitsadministratoren nicht auf ungewöhnliche Ereignisse aufmerksam gemacht, wodurch jede Schwachstelle zu einem potenziellen Verstoß wird und das Risiko eines weiteren Angriffs zur Ausweitung der Rechte besteht. Dies geschieht normalerweise in der folgenden Reihenfolge: 

Sobald sich ein Angreifer Zugang zu einem System verschafft hat, versucht er, seine Anwesenheit und Identität so gut wie möglich zu verbergen. Bei Systemen, die kein umfassendes Protokollmanagement haben, versuchen Hacker sogar, Ereignisprotokolle zu löschen, die einen Alarm auslösen könnten.

Die Angreifer versuchen dann, Bereiche des Webservers auszunutzen, die ohne Beachtung der bewährten Sicherheitsverfahren entwickelt wurden. Typische aktive Angriffe beginnen damit, dass der Hacker das System auf Sicherheitsschwachstellen untersucht. Anschließend nutzen sie die unzureichende Reaktion auf einen Vorfall und die unzureichende Behebung aus, um ihren Einfluss auf das System zu vertiefen oder auf weitere wichtige Daten zuzugreifen. Da die Reaktionszeiten bei unzureichender Protokollierung und Überwachung von Vorfällen lang sind (in der Regel 150-200 Tage), haben diese Bedrohungsakteure viel Zeit, um diskret einen privilegierteren Zugang zu testen.

Hacker nutzen in der Regel bekannte, fortschrittliche Angriffsstrategien, um nach dem ersten Zugriff weitere Bereiche abzudecken. Einige dieser Strategien sind:

  • Kennwortangriffe – Verschiedene Methoden zielen darauf ab, unbefugten Zugang zu Benutzerkonten zu erlangen. Zu den Passwort-Angriffsmethoden gehören Brute Force, Wörterbuchangriffe und Passwort-Sniffer.
  • Advanced Persistent Threats – Eindringlinge greifen auf ein Netzwerk zu und bleiben unentdeckt, wobei sie in der Regel den Datenverkehr überwachen, um wichtige Daten zu extrahieren.
  • Man-in-the-Middle-Angriff (MITM) – Ein Bedrohungsakteur fängt Nachrichten zwischen einem Server und dem Client (oder zwei kommunizierenden Parteien) ab und verändert sie. Zu solchen Angriffen gehören Wi-Fi-Lauschangriffe, Session Hijacking und E-Mail-Hijacking.
  • Denial-of-Service-Angriff – Sobald die Angreifer den ersten Zugriff auf das System erlangt haben, versuchen sie, das Netzwerk/die Maschine lahmzulegen und seine/ihre Fähigkeit einzuschränken, auf Benutzeranfragen zu reagieren, indem sie den Server mit enormem, vom Bot generiertem Datenverkehr überfluten.

Geschäftliche Auswirkungen von Angriffen mit unzureichender Protokollierung und Überwachung

Ohne ordnungsgemäße Protokollierungs- und Überwachungsmechanismen ist es für Unternehmen wesentlich schwieriger, Sicherheitsverletzungen zu erkennen und abzuschwächen, was Unternehmen Zeit und Geld kostet. Einige Auswirkungen von Angriffen mit unzureichender Protokollierung und Überwachung sind:

Nichtverfügbarkeit des Systems

Bedrohungsakteure, die einen DoS-Angriff (Denial of Service) durchführen wollen, überschwemmen in der Regel einen Zielserver mit Datenverkehr, bis der Server abstürzt oder nicht mehr reagiert. Dieser Brute-Force-Angriff bedeutet, dass der Server überlastet ist und die Dienste für legitime Benutzer nicht mehr zugänglich sind. Die Angreifer sorgen auch dafür, dass der Angriff einem nicht böswilligen Verfügbarkeitsproblem ähnelt, was es noch schwieriger macht, sie zu verfolgen.

Kompromittierte Vertraulichkeit

Ereignisprotokolle enthalten in der Regel sensible Benutzer- und Systeminformationen. Bedrohungsakteure mit Zugriff auf Systemprotokolle haben uneingeschränkten Zugang zu diesen Daten, die sie für andere böswillige Zwecke nutzen können. Unsachgemäße Protokollierungs- und Überwachungsmechanismen ermöglichen Angreifern den Zugriff auf private Informationen, was Unternehmen Geld und Ansehen kostet.

Geringere Datenintegrität

Es ist schwierig, angemessene Kontrollen für die verschiedenen Phasen des IT-Datenlebenszyklus einzurichten, wenn keine geeigneten Protokollierungs- und Überwachungstools vorhanden sind. Bedrohungsakteure, die sich illegal Zugang zu einem System verschaffen, können leicht Protokolldaten verändern, Einträge ändern und unerwartete Eingaben in das System einbringen. Dies bedeutet auch, dass die Unternehmensdaten entweder inkonsistent, ungenau oder unvollständig sind, was sie unzuverlässig oder ungültig für optimale Geschäftsanforderungen macht.

Fälschungssicherheit

Ordnungsgemäße Protokollierungs- und Überwachungsmechanismen ermöglichen eine einfachere Identifizierung von Benutzern und Prozessen, die mit einem System interagieren. Ohne angemessene Protokollierungsmechanismen ist es schwierig, die Quelle einer Nachricht/Anfrage zurückzuverfolgen. Dadurch lässt sich die Quelle einer Bedrohung nur schwer zurückverfolgen, was Systemangriffe begünstigt.

Fehlende Rechenschaftspflicht

Es ist schwierig, den Sicherheitsvorkehrungen eines Unternehmens zu vertrauen, wenn es keine Möglichkeit gibt, die Benutzer- und Netzwerksicherheit zu verfolgen. Mit Hilfe von Protokollierungs- und Überwachungsmechanismen kann sichergestellt werden, dass alle Ereignisse im Zusammenhang mit dem System nachverfolgt und überprüft werden können.

Beispiele für Angriffe durch unzureichende Protokollierung und Überwachung

Ohne ordnungsgemäße Überwachung und Protokollierung des Netzwerkverkehrs können Unternehmen nicht verhindern, dass Angreifer Malware installieren und auf wichtige Daten zugreifen. In der jüngeren Vergangenheit gab es einige bekannte Beispiele für Sicherheitsvorfälle, die auf unzureichende Protokollierung und Überwachung zurückzuführen sind:

Der Stuxnet-Wurmangriff auf das iranische Atomprogramm

Der Stuxnet-Wurm ist eine meisterhaft ausgearbeitete Malware, die SCADA-Systeme (Supervisory Control and Data Acquisition) angreift. Im Jahr 2010 entdeckte das Sicherheitsteam des iranischen Atomprogramms, dass der Wurm genutzt wurde, um auf wichtige Waffenkontrollsysteme zuzugreifen.

Bei einer genaueren Analyse stellte sich heraus, dass der Fehler seit 2005 aktiv ist und über infizierte USB-Laufwerke verbreitet wurde. Die Hacker nutzten unzureichende Protokollierungs- und Überwachungsmechanismen aus, um sich diskret einen erweiterten Zugang zu verschaffen.

Die Datenpanne bei Verizon Communications 2017

Zwar wurden keine Daten gestohlen, doch räumt Verizon ein, dass bei einem 2017 entdeckten Datenschutzverstoß mindestens 14 Millionen Kundendaten ins Internet gelangt sind. Zu diesen Datensätzen gehörten Daten wie Telefonnummern und Konto-PINs. Diese Daten waren nicht passwortgeschützt, so dass Angreifer sie leicht hätten herunterladen und ausnutzen können.

Die Datensätze waren jedoch in einem cloudbasierten Datenspeicher gespeichert und wurden von einem Cybersicherheitsforscher entdeckt, bevor Angreifer die Sicherheitslücke ausnutzen konnten.

Die Datenpanne bei Dominion National 2019

Im Jahr 2019 entdeckte der Versicherer Dominion National, dass die Mitglieder seiner Krankenversicherungspläne möglicherweise einer Datenpanne ausgesetzt waren, die mehr als neun Jahre andauerte. Bei dem Verstoß, von dem über 2 Millionen Personen betroffen waren, wurden sensible Kundendaten offengelegt, darunter:

  • Bankkontonummern
  • Routing-Nummern
  • Informationen zur Identifizierung von Steuerzahlern
  • Sozialversicherungsnummern
  • Namen und Geburtsdaten u.a.

Nach einer eingehenden Untersuchung wurde festgestellt, dass diese Informationen nicht von Unbefugten eingesehen oder verwendet wurden. Dominion National wurde jedoch dazu verurteilt, alle Ansprüche auf finanzielle Verluste zu decken, die sich auf den Verstoß zurückführen lassen.

Verhinderung von Angriffen durch unzureichende Protokollierung und Überwachung

Ordnungsgemäße Protokollierung und Überwachung sind der Schlüssel zur frühzeitigen Erkennung und Behebung der meisten Sicherheitsrisiken und -bedrohungen. Die Protokollierung umfasst die Verfolgung und Speicherung von Informationen im Zusammenhang mit Ereignissen im System, während die Überwachung in der Analyse und Visualisierung dieser Metriken besteht, um Muster und Anomalien zu erkennen.

Die Verwaltung effizienter Protokollierungs- und Überwachungsstrategien ist daher von entscheidender Bedeutung für die Aufrechterhaltung von Sicherheit und Leistung. Der folgende Abschnitt befasst sich mit den Tools und Best Practices, die helfen, unzureichende Protokollierung und Überwachung zu verhindern:

Best Practices für Sicherheitsprotokollierung und -überwachung

Das Open Web Application Security Project (OWASP) empfiehlt verschiedene Best Practices für eine effiziente Protokollierung und Überwachung. Dazu gehören:

  • Sorgen Sie für eine ausreichende Protokollierung aller Authentifizierungsfehler, einschließlich Anmeldung, Zugriffskontrolle und serverseitiger Validierung. 
  • Erstellen Sie einen Kontext und verstehen Sie den Basisdatenverkehr, um verdächtige und bösartige Aktivitäten leicht identifizieren zu können.
  • Erstellung eines Audit-Trails für kritische und hochwertige Transaktionen, um deren Löschung oder Manipulation zu verhindern
  • Sicherung von Protokolldateien auf mehreren Servern, um Fehlertoleranz zu ermöglichen
  • Authentifizierung des Zugriffs auf Protokolle
  • Automatisierte Überwachung und Warnungen für Protokollereignisse
  • Schaffung einer integrierten Plattform für die Verwaltung und Überwachung von Protokollen, einschließlich Echtzeitwarnungen und Visualisierung
  • einen formellen ITIL-basierten Plan zur Reaktion auf Vorfälle und eine Lösungsstrategie, die festgelegten Standards folgt 
  • Ständige Durchführung von Penetrationstests, um Lücken in der Überwachung von Vorfällen und in der Berichterstattung zu erkennen
  • Entwicklung eines Wiederherstellungsplans oder einer Strategie für schlechte Zeiten

Es gibt mehrere hilfreiche Tools, mit denen Unternehmen ein zentralisiertes System für die Protokollierung, Analyse und Berichterstattung von Ereignisdaten einrichten können. Dazu gehören:

OWASP AppSensor

Dieses Open-Source-Projekt integriert verfügbare Protokollierungsmechanismen mit bewährten Sicherheitspraktiken, um Intrusion Detection auf der Anwendungsebene für selbstheilende Anwendungen in Echtzeit zu ermöglichen. Das Projekt bietet auch einen Rahmen für automatische Reaktionen auf Sicherheitsvorfälle.

NLog

NLog ist ebenfalls eine flexible Open-Source-Protokollierungslösung für die Verarbeitung von Ereignissen und Warnmeldungen, die hauptsächlich für .NET-Plattformen verwendet wird. Die Plattform nimmt Protokolldaten in der .NET-Sprache auf und ergänzt sie mit Informationen über den zugehörigen Kontext für die Protokollanalyse in Echtzeit.

Abschließende Schlussfolgerungen und häufig gestellte Fragen

Was ist Sicherheitsprotokollierung?

Bei der Sicherheitsprotokollierung werden Informationen darüber aufgezeichnet, was in Ihrem Netzwerk geschieht. Sicherheitsprotokolle umfassen alles von Firewall-Protokollen über Ereignisprotokolle bis hin zu Anwendungsprotokollen. Jede Art von Protokoll liefert unterschiedliche Arten von Informationen.

Ein Firewall-Protokoll kann zum Beispiel die Quell-IP-Adresse jedes vom Gerät gesendeten oder empfangenen Pakets aufzeichnen. Ereignisprotokolle zeichnen Datum, Uhrzeit und Details zu jedem Ereignis auf, das auf dem Computer auftritt. Anwendungsprotokolle zeichnen den Namen des Prozesses auf, der beim Auftreten des Ereignisses ausgeführt wurde.

Wie kann ich wissen, ob ich angegriffen werde? Wie finde ich heraus, was vor sich geht?

Sie müssen in der Lage sein zu erkennen, wann ein Angriff stattfindet. Es gibt zwei Möglichkeiten, dies zu tun:

  1. Überwachen Sie Ihre Protokolle.
  2. Verwenden Sie ein Tool wie Nlog, um die Protokolle zu analysieren.

Wie viele Protokolle sollte ich überwachen?

Das hängt davon ab, wie viel Sie dafür ausgeben wollen. Je mehr Protokolle Sie sammeln, desto größer ist die Chance, dass Sie bösartige Aktivitäten aufdecken.
Eine unzureichende Überwachung der Protokollverwaltung ist einer der Hauptgründe, warum Unternehmen nicht in der Lage sind, Sicherheitsvorfälle wirksam zu beheben. Dies ermöglicht es den Unternehmen, den richtigen reaktiven Ansatz zu wählen und Korrekturmaßnahmen zu ergreifen, um sicherzustellen, dass die Systeme auch in Zukunft sicher sind. Infolgedessen stellen unzureichende Protokollierung und Überwachung eine einzigartige Schwachstelle dar, die ein beliebter Aspekt für Angreifer bleibt.

Dies wird durch die Tatsache bestätigt, dass im Jahr 2018 35 % der orchestrierten Hacks dateilos waren, da dateibasierte Angriffe mit herkömmlichen Protokollierungs- und Überwachungsmechanismen leichter zu erkennen sind. In dem Bericht von immutable heißt es außerdem, dass über 93 % der 2017 durchgeführten Sicherheitsverletzungen mit einfachen Protokollierungs- und Überwachungsmaßnahmen hätten verhindert werden können.

www.immuniweb.com

Crashtest Security bietet eine umfassende Sicherheitsbewertung an, um sicherzustellen, dass jede Transaktion in Ihrer Webanwendung ausreichend mit Integritätskontrollen protokolliert wird. Um mehr darüber zu erfahren, wie Crashtest Security einen umfassenden Scan durchführen und Ihren Tech-Stack vor bösartigen Angriffen schützen kann, melden Sie sich hier kostenlos an.

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit https://example.com
Wir scannen derzeit https://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 06/12/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.