Gorodenkoff - stock.adobe.com
Security Observability: Sicherheit in komplexen Umgebungen
Security Observability ist ein neuer Ansatz, um sicherheitsrelevante Ereignisse auch in heterogenen Umgebungen schneller aufzuspüren. Er geht über das klassische Monitoring hinaus.
Die durchschnittlich benötigte Zeit, um einen Diebstahl von Daten zu entdecken und erfolgreich zu bekämpfen, beträgt 280 Tage. Diese erschreckende Zahl stammt aus dem „2020 Cost of a Data Breach Report“ von IBM. Sie macht klar, dass das Monitoring der IT-Infrastruktur und das Vertrauen auf automatisch erstellte Security Alerts nicht mehr ausreicht, um gut vorbereitete und fortgeschrittene Cyberangriffe rechtzeitig aufzuspüren und zu verhindern. Die bisherige Herangehensweise ist ins Hintertreffen geraten, weil sehr viele Firmen mittlerweile auf verteilte Umgebungen und Microservices setzen.
Um die Sicherheit wieder zu erhöhen, müssen daher die für das Aufspüren und Reagieren auf sicherheitsrelevante Vorfälle erforderlichen Zeiten gesenkt werden. Dazu werden Verbesserungen beim Logging, Monitoring und den Gegenmaßnahmen benötigt. Eine Möglichkeit ist die Nutzung erweiterter Technologien und Lösungen, mit denen Sie die sogenannte „Security Observability“ in Ihrer IT-Umgebung erhöhen können.
Security Observability ist nicht einfach nur ein neues Security Monitoring
Security Observability ist eine neue Methode, um den tatsächlichen internen Zustand eines Systems mit Hilfe von zahlreichen erhobenen Metriken besser zu verstehen. Mit Security Observability lässt sich überprüfen, wie gut oder schlecht die von Hard- und Software erstellten Log-Daten und -Ereignisse den tatsächlichen Zustand einer IT-Umgebung wiedergeben.
Die meisten Netzwerke und Cloud-Plattformen erzeugen heutzutage Unmengen an Log-Daten und Monitoring-Ereignissen, seien es Anmeldungen der Benutzer oder Zugriffsanfragen auf bestimmte Ressourcen. Diese Daten werden in der Regel in zentralen Dashboards aufbereitet und zudem genutzt, um bei Hinweisen auf ein Sicherheitsproblem einen Alert auszulösen. Security Observability soll aber mehr als nur dieses Sammeln und Verarbeiten von Log-Daten und Ereignissen sowie das Erstellen von Berichten über aufgetretene Probleme sein. Weitere Metriken, Spuren und Werkzeuge werden verarbeitet, um in Aktionen umsetzbare Daten zu erzeugen, mit denen auch erklärt werden kann, warum ein Problem aufgetreten ist und welche Ressourcen dadurch gefährdet sind. Das soll auch dann funktionieren, wenn unterschiedliche interne Netzwerke und Cloud-Dienste genutzt werden.
Wie sich Security Observability mit kontextbezogenen Daten umsetzen lässt
Viele Security-Teams nutzen eine SIEM-Lösung (Security Information and Event Management) und manchmal bereits auch Tools, die über KI- oder Deep-Mining-Fähigkeiten verfügen. Sie sind ein guter Startpunkt und können durchaus dafür sorgen, dass kein weiteres Produkt mehr gekauft werden muss, das von sich behauptet „Observability-ready“ zu sein.
Es gibt vier wesentliche Hauptelemente, die Teams beachten sollten, wenn sie Security Observability einführen wollen:
- Sie benötigen eine IT-Umgebung, die ihren internen Zustand mit umfassenden Telemetriedaten dokumentieren kann,
- ein Big-Data-fähiges Backend, das große Mengen an Daten verarbeiten und gleichzeitig in Echtzeit Antworten auf Anfragen generieren kann,
- Werkzeuge, mit denen sich diese Informationen in verwertbare Daten umsetzen lassen sowie
- ein Sicherheitsteam mit ausreichend Zeit, Ressourcen und Fähigkeiten, um alle diese Daten vollständig auswerten und sie dann in Aktionen umsetzen zu können.
Die Beschaffung der richtigen Telemetriedaten erfordert eine Anstrengung des gesamten Teams. Anwendungsentwickler, Systemarchitekten und Administratoren müssen zusammen dafür sorgen können, dass alle Komponenten und Services jederzeit alle relevanten Daten, Metriken, Ereignisse, Logs und Spuren speichern. Auch zusätzliche Metadaten über den Status des betroffenen Systems müssen jedes Mal gesammelt werden, wenn ein sicherheitsrelevantes Ereignis auftritt.
Dieses breite Spektrum an Informationen wird benötigt, um blinde Flecken zu vermeiden. Das gilt besonders für Umgebungen mit zahlreichen unterschiedlichen Komponenten, die dynamisch und abhängig vom jeweiligen Bedarf nach oben oder unten skalieren müssen. Beispielsweise müssen die Administratoren wissen, welche Endpunkte gerade laufen, welche Aktionen ausgeführt werden können und welche Daten verarbeitet werden. Wichtig ist zudem, welche anderen internen und externen Endpunkte mit ihnen kommunizieren können und welche nicht. Abhängigkeitskarten sind eine effektive Methode, um diese Daten zu erfassen.
Selbst aufbauen oder nicht?
Es ist durchaus möglich, selbst von Grund auf ein Projekt zu errichten, das die beschriebenen Anforderungen an eine Security-Observability-Lösung erfüllt. Im Vergleich zu einem herkömmlichen Monitoring ist dies aber ein großer Schritt nach oben. Um echte Observability zu erreichen, werden Daten aus jedem Bereich des Projekts benötigt. Das hat den Vorteil, dass Ihr IT-Security-Team die Beziehungen und Abhängigkeiten innerhalb des Projekts sowie seine Performance und die aktuellen Zustände besser kennt und versteht. Außerdem lässt sich damit der zeitliche Ablauf der Ereignisse festhalten, während zum Beispiel eine Anfrage gerade bearbeitet wird.
Auf der anderen Seite wird meist ein zusätzliches Werkzeug nötig sein, um bereits existierende Projekte mit Observability-Fähigkeiten auszustatten. Wenn dies gewünscht ist, sollten Sie sich auf die Suche nach einem Tool machen, das Anwendungen, Container, Services, Prozesse und Infrastrukturen automatisch entdecken und außerdem ermitteln kann, welches Verhalten normal ist. Tools für Security Observability sollten sich außerdem automatisch aktualisieren, um Änderungen in der IT-Umgebung abzudecken.
Ob und wie investieren
Es gibt ein paar Punkte, die IT-Verantwortliche in Betracht ziehen sollten, wenn sie im Vorfeld die Kosten für eine eigene Observability-Strategie einschätzen wollen. Überlegen Sie, wie Sie Verbesserungen bei der Entwicklung und dem täglichen Betrieb Ihrer IT erreichen können, um auch in komplexen Umgebungen Fehler schneller identifizieren zu können. Durch ein proaktives Entdecken und Lösen der Probleme hilft Observability dabei, sowohl die Sicherheitslage als auch den Ruf eines Unternehmens zu stärken.
Bei allen Vorteilen braucht aber trotzdem nicht jedes Unternehmen eine komplette Observability-Lösung. Bei der Entscheidung für oder gegen eine Investition, sollten Sie prüfen, ob die im Unternehmen eingesetzten Anwendungen die folgenden Kriterien erfüllen:
- Gehen sie mit großen Mengen an Interaktionen und Transaktionen um, die keine Fehler haben dürfen?
- Werden sie regelmäßig wegen Änderungen bei der Auslastung noch oben oder unten skaliert?
- Verwenden sie rollende Updates?
Unabhängig von der Branche werden nahezu alle Unternehmen heutzutage von Daten getrieben und gesteuert. Die gesammelten Informationen und die Systeme, die sie verarbeiten, benötigen daher einen besseren und umfassenderen Schutz. Security Observability erhöht die Sicherheit, da sie den Teams, die auf Vorfälle reagieren müssen, schnellere und effizientere Aktionen ermöglicht. Das gilt selbst in Anbetracht der immer noch zunehmenden Komplexität moderner IT-Umgebungen.