Beim IT-Auditing geht es im Wesentlichen darum, alle Änderungen in der IT-Infrastruktur im Blick zu behalten und zu wissen, wer wann und wo Änderungen vorgenommen hat. Diese Informationen sind entscheidend und ihre kontinuierliche Erfassung sollte ein zentrales Element jeder Sicherheitsstrategie sein. Eine Umfrage von Netwrix unter 600 IT-Profis hat jedoch ergeben, dass 57 % der Befragten bereits Änderungen an ihren IT-Systemen vorgenommen hat, ohne diese zu dokumentieren und ohne dass andere davon wissen.
Da viele Audits nur einmal jährlich oder nach bestimmten Ereignissen wie Datenverlust oder Serverausfällen durchgeführt werden, wissen nur sehr wenige IT-Teams, was zu einem bestimmten Zeitpunkt tatsächlich in ihrer IT-Infrastruktur geschieht. Und da physische und virtuelle IT-Umgebungen immer komplexer werden, müssen sehr viele Aktivitäten überwacht werden. Dabei überrascht, dass dieser reaktive, langsame und wenig sichere Ansatz auch in grossen Unternehmen noch immer sehr verbreitet ist. Ohne sorgfältige Planung können die Herausforderungen beim IT-Auditing selbst die ehrgeizigsten Sicherheits- und Compliance-Initiativen ausbremsen.
Unzureichende Überwachung und zu späte Erkennung von Problemen
Active Directory bildet beispielsweise die Grundlage von 98 % aller modernen Netzwerke, doch die meisten Unternehmen erkennen Probleme in ihrem Active Directory erst dann, wenn es bereits zu spät ist. Dasselbe gilt für Gruppenrichtlinien: Für die Sicherheit der Umgebung ist die Überwachung von Änderungen unter anderem an Kennwortrichtlinien entscheidend. Die zunehmende Kommunikation per E-Mail macht eine fortlaufende Überwachung versehentlicher oder vorsätzlicher Änderungen an Microsoft Exchange unabdingbar. Unternehmen müssen nachvollziehen können, wer wann und aus welchem Grund auf welches Postfach zugegriffen hat. Diese Informationen sind wichtig, um das Risiko von Datenlecks und Sicherheitsvorfällen einzudämmen.
Zugriffsbeschränkung und Zugriffsüberwachung
Bei geschäftskritischen Servern ist es offensichtlich, dass der Zugriff nur Benutzern gewährt werden sollte, die diese Zugriffsrechte tatsächlich für ihre Arbeit benötigen. Doch nur wenige Unternehmen verfügen über eine effiziente Strategie für eine grundlegende Überwachung des Dateizugriffs und Analyse von Protokolldateien. Sie können daher nicht feststellen, wer auf eine bestimmte Datei zugegriffen hat, wann der Zugriff erfolgte und ob der Zugriffsversuch erfolgreich war oder fehlgeschlagen ist. Ein besonderes Sicherheitsrisiko sind Datenserver, auf denen personenbezogene Informationen und sensible Geschäftsdaten gespeichert sind. Hier müssen Unternehmen noch genauer überwachen, welche Änderungen vorgenommen werden und wer für diese Änderungen verantwortlich ist.
Neue Herausforderungen ergeben sich auch durch den Trend zur Virtualisierung. Zwar ist es einfacher denn je, neue virtuelle Server aufzusetzen und neue Anwendungen darauf auszuführen, doch kann ihre Verwaltung sehr komplex sein. Die Aktivitäten auf diesen Servern im Blick zu behalten, ist daher wichtig – wenn nicht gar noch wichtiger als die Überwachung der physischen Infrastruktur.
Verschiedene Ansätze für das IT-Auditing
Ein Ansatz besteht darin, die nativen Überwachungsprotokolle manuell zu sichten. Aus der Vielzahl der protokollierten Ereignisse die wirklich relevanten Daten herauszufiltern, ist jedoch mit hohem Zeitaufwand verbunden und naturgemäss nicht sicher, da native Protokolle bearbeitet, gelöscht und ergänzt werden können, ohne dass dies Spuren hinterlässt. Zudem ist es nicht möglich, diese Protokolle zu Compliance-Zwecken zu speichern oder zu archivieren.
Ein weiterer Ansatz für das IT-Auditing ist das Security Information and Event Management (SIEM). Die Kosten für die Anschaffung und Unterstützung einer SIEM-Lösung lassen sich jedoch nur rechtfertigen, wenn Sie Funktionen z. B für eine automatische Problembehebung und die Abwehr von Eindringversuchen integrieren möchten. Wenn Ihr Schwerpunkt beim Auditing auf Zuverlässigkeit und Konsistenz liegt, ist diese Option sehr kostspielig. Und selbst die Implementierung einer SIEM-Lösung garantiert noch keine umfassende Änderungsüberwachung, da eine solche Lösung meist die Daten in den nativen Protokollen analysiert. Ein klassischer Fall von „Garbage in, Garbage out“ also: Die Qualität der Ergebnisse hängt von der Qualität der vorhandenen Daten ab.
Eine dritte Option ist die Entwicklung eines eigenen Systems zur Änderungsüberwachung. Eine solche Lösung können Sie sehr genau auf Ihre Anforderungen abstimmen, doch benötigen Sie für die Entwicklung sehr viel Zeit und technische Ressourcen. Zudem müssen für die Erfassung von Audit-Daten häufig nicht genehmigte APIs (Anwendungsprogrammierschnittstellen) verwendet werden, die ebenfalls Risiken bergen.
Die Alternative
Eine Alternative ist der Einsatz einer speziellen kostenfreien Software für die Änderungsüberwachung. Eine solche Lösung liefert in der Regel ein detailliertes, zuverlässiges und konsistentes Bild der Geschehnisse in der gesamten IT-Infrastruktur – und dies zu einem Drittel der Kosten einer SIEM-Lösung. Vor allem aber nutzen Softwareanwendungen für die Änderungsüberwachung Datenströme aus verschiedenen Quellen und filtern, übersetzen, sortieren und komprimieren dann die Ergebnisse. Dies ermöglicht ein einfaches Abrufen, Analysieren, Speichern und Archivieren der Audit-Daten.
Um sich ein präzises Bild der Aktivitäten in Ihrem Netzwerk machen zu können, müssen Sie auch in der Lage sein, eine „Momentaufnahme“ des Zustands der Umgebung vor und nach einer Änderung zu erfassen. Mit diesem gezielten Ansatz für die Änderungsüberwachung profitieren Sie ausserdem von Echtzeit-Warnmeldungen und automatischen Berichten, mit denen Sie die Überwachung und die Erkennung von unerlaubten Änderungen weiter verbessern sowie die Ursachenanalyse vereinfachen können.
Netwrix im Portfolio von DataStore
Netwrix ist eine optimale Ergänzung des DataStore Lösungsportfolios im Bereich Security und bietet interessante Möglichkeiten im Bereich Audit, IT-Sicherheit und Governance, Risk und Compliance (GRC). Mit Netwrix können die Business Partner von DataStore ihren Kunden umfassende Transparenz in allen kritischen IT Systemen ermöglichen, auch in der Cloud. Mit der Erfahrung von DataStore in diesen Themen werden unsere Business Partner bei der einfachen Integration von Netwrix Auditor und Netwrix Data Classification in ihr Portfolio unterstützt, um damit neue Bereiche bei den Kunden zu erschliessen.
Interessiert? Fragen rund um Netwrix beantwortet Ihnen:
Peter Mätzler
Senior Business Development Manager
E-Mail: info@datastore.ch