logo ntadmins

Change Monitoring: Wie man Veränderungen idealerweise überwacht

10. Dezember 2020
solarwinds b
Quelle: SolarWinds

Veränderung ist gut – gilt sie doch als die Grundlage für den Fortschritt. Apps und Tools werden durch Änderungen fast immer besser. Umso ärgerlicher ist es, wenn Anwendungen anschließend plötzlich nicht mehr funktionieren und Anwender stundenlang den Code durchforsten müssen, bis sie herausfinden, was schief gegangen ist. Noch viel schlimmer sind Änderungen, die durch Hacker verursacht wurden.

Änderungsüberwachung ist eine hilfreiche erste Verteidigungsmaßnahme, besonders in Zeiten, in denen viele Büros aufgrund der COVID-19-Pandemie noch geschlossen oder nur teilweise besetzt sind. Wenn das Unternehmen vom Küchentisch aus geleitet wird, wird vieles ad hoc angegangen. Niemand weiß, wohin uns diese Situation noch führen wird, und auch wenn wir alle versuchen, das Richtige zu tun, sind wir gleichzeitig am Improvisieren.

Change Monitoring kann helfen, bedacht vorzugehen und Probleme zu vermeiden. Mit seiner Hilfe können Konfigurationsänderungen an Servern, Datenbanken und Anwendungen erkannt und verglichen werden. Es korreliert Änderungen mit Leistungsproblemen – beispielsweise, wenn gestern Abend ein Update erfolgte und heute alles langsamer läuft – und stellt damit die erste Verteidigungslinie dar. Wenn auf einem gemeinsam genutzten Server plötzlich ungewöhnlich viele Dateien eintreffen, könnten dies normale Aktivitäten von Mitarbeitern im Homeoffice sein. Möglicherweise ist ein Bereich des Netzwerks aber auch deshalb aktiver, weil das VPN falsch konfiguriert ist.

Change Monitoring protokolliert Aktivitäten, die anschließend forensische Einblicke ermöglichen. Updates an Software und Betriebssystemen, die sich auf Services auswirken, können nachverfolgt werden und – das ist das Wichtigste – Änderungsüberwachung macht es möglich, Datensicherheitsverletzungen zu identifizieren.

Forensische Analysen durchführen

Wir wollen diese Möglichkeiten an einem Fallbeispiel deutlich machen: Zur kontinuierlichen Bereitstellung einer benutzerdefinierten Anwendung werden Kubernetes verwendet. Updates erfolgen kontinuierlich, aber gelegentlich funktioniert der Service nicht wie gewünscht. Die Kunden der Plattform sind unzufrieden und Verkaufschancen gehen verloren. Was ist die Ursache? Liegt irgendwo ein Ausfall vor oder hat jemand etwas falsch gemacht?

Mit Änderungsmanagement kann man forensische Untersuchungen durchführen. Angenommen, ein neuer Mitarbeiter hat eine problematische Änderung gemacht. Mithilfe von Change Monitoring ist festzustellen, wo und wann ein Fehler passiert ist. Alternativ könnte es sein, dass ein Mitarbeiter den IT-Verantwortlichen anruft, während dieser im Urlaub ist, und erzählt, die Website sei langsam, obwohl niemand Änderungen vorgenommen habe. Über ein Change Monitoring-Tool ist zu erkennen, ob ein Patch oder Systemupdate installiert wurde, von dem der Mitarbeiter vielleicht nichts wusste.

Für Sicherheitsverletzungen gilt dasselbe Prinzip. Wurde gestern ein Befehl eingeschleust? Solche Ereignisse können verhindert, indem Änderungen nicht zugelassen werden. Per Änderungsüberwachung sind Sicherheitsverletzungen leichter zu identifizieren und installierte Malware oder Ransomware zu erkennen. Nicht zu vergessen ist: Bei Malware werden nicht immer ausführbare Dateien eingeschleust oder installiert. Manchmal ändert Malware auch Berechtigungen und bleibt danach eine Weile inaktiv, um sie erst später auszunutzen.

Change Monitoring ist ein flexibles Werkzeug, das auch anwendungsorientiert eingesetzt werden kann: Es kann Dateiattribute überwachen oder zur Versionskontrolle und Prüfung vorheriger Code-Revisionen genutzt werden. Allerdings hat die Sache einen Haken: Wie kann man die Informationsflut beherrschen, die entsteht, wenn sämtliche Änderungen an Dateien und Systemen in der Umgebung überwacht werden?

Wichtiges von Unwichtigem trennen

Ein Übermaß an Informationen wird schnell zu einem Hintergrundrauschen. Wenn man ein Dokument erstellt und auf dem eigenen Server speichert, wird daraus eine protokollierte Datei. Auch alle Änderungen an dieser werden registriert.

Bei einer unwichtigen Datei (beispielsweise einem Dokument, das die Angestellten daran erinnert, regelmäßig ihre Hände zu waschen) sind minutengenaue Änderungsinformationen unnötig oder lästig. In diesem Sinne müssen die überflüssigen Informationen, das Rauschen, herausgefiltert werden. Eine Art Warnungsmüdigkeit ist in der IT-Branche nicht unüblich: Technikexperten erhalten so viele Warnmeldungen, dass niemand mehr sagen kann, welche Informationen wirklich wichtig sind. Infolgedessen sind Tools entstanden, die nicht nur jede Änderung protokollieren, sondern auch unnötige Informationen herausfiltern.

Derartige Lösungen bieten den Benutzern einen Einblick in Konfigurationsänderungen an Servern und Anwendungen und korrelieren gleichzeitig Leistungsprobleme mit autorisierten oder nicht autorisierten Änderungen an Dateien, Binär- und Konfigurationsdateien, der Windows-Registrierung und Hardwarekonfigurationen. Zudem können Warnmeldungen individuell konfiguriert werden. Das Rauschen (die vielen alltäglichen und erwartbaren Änderungen) kann man herausfiltern und die eine Änderung finden, die allen das Leben schwer macht. Darüber hinaus kann man festlegen, in welchen Bereichen der Umgebung keinerlei Änderung erfolgen darf und in welchen auch unerfahrene Angestellte agieren dürfen. Außerdem ist schnell zu sehen, wo Software-Patches installiert wurden.

Change Monitoring schafft die Balance zwischen zu vielen und fehlenden Informationen. Man kann es mühelos für einen Server einrichten und dann die Registrierung auf Änderungen hin überwachen.

Tools, die Stabilität schaffen, sind eine große Hilfe

Wenn man mit dem Thema Änderungsüberwachung beginnt, sollte man das auf eine unkomplizierte Weise tun. Zunächst sollte man sein Monitoring auf die wichtigsten Datenbankserver konzentrieren. Damit einhergehend sollte man Warnungen (aber nicht zu viele!) einrichten und Bereiche festlegen, die zu schützen sind.

Wenn es komplexer werden darf, stehen auch dafür Tools zur Verfügung. Zu beherzigen ist, dass Änderungsmanagementprozesse ohne Change Monitoring nicht effizient sind. Wenn ein Unternehmen seine Änderungen nicht überwacht, wird es früher oder später scheitern, manchmal ziemlich spektakulär.

Thomas LaRock ist Head Geek bei SolarWinds.

SolarWinds

Lesen Sie auch

Internet, business, Technology and network concept Hacking Detected Concept meaning activities that seek to compromise affairs are exposed Entering New Programming Codes d illustration

Bedrohungserkennung: EDR und/oder SIEM?

ai pixabay Alexandra Koch NT

Mit KI Angriffe auf die IT präventiv bannen

data NT Kris

Cyber-Bedrohungen während der Urlaubszeit minimieren