Guten Tag, meine Damen und Herren, herzlich willkommen zu unserem KuppingerCole Holder genau Intelligente Protokollierung von Aktivitäten Fehlverhalten von privilegierten Nutzung schneller aufdecken Diese Sabina wird unterstützt von auf scharf, weil sie die Sprecher heute sind. Anders als ich Martin-Kuppinger ich bin Gründer und prinzipiell anderes bei Kopierer, Kohl und auf der anderen Seite, denn es Büro, ob so fertig uns halten bei der Konsistenz oft für solche Chains gehen wir, bevor wir in das Thema einsteigen. Ganz kurz noch ein paar allgemeine Hinweise und dann geht es direkt los. KuppingerCole Kohle ist in einer Listen der nehmen, Wir stellen Ressorts etwa sowie und Events für IT Professionals bereit. Zu unseren Events gehört die Ruppiner Rentieren Cloud Konferenz, die das nächste Mal vom zehn bis 13. Mai München stattfindet. Ist unsere zehn tc also ein Jubiläum und wir freuen uns auch dann, Sie dort begrüßen zu dürfen, hoffentlich seit Linie für das verbinden Sie sind sind drei stumm geschaltet Wir nehmen, das wäre, wenn er auf und der Port Gras in die Präsentationen gehen morgen Anleihen.
Fragen und Antworten werden am Ende des Seminars beantwortet, sie können aber jederzeit auch Fragen über den Bereich Questions im Grotto Werbe nahe Kontroll keine Stellen befindet. Das Kulturerbe Nachkontrolle findet sich in der Regel auf der rechten Seite des Bildschirms. Dort gibt es im Bereich Fragen, und Sie können also da auch schon Kurzschluss, jeder Sprachversionen. Sie können dort jederzeit Fragen eingeben, je wer fragen wir natürlich haben das besser, weil dann können wir auch entsprechend frühzeitig darauf eingehen. Zwar gender von heute Ich werde im ersten Teil Wissen über das Thema Provence Detect, Respond! Sprechen wie wir administrativ davon, lieber konstruktive Sessions nicht nur überwachen, sondern aus dieser überwachung heraus auch eine Reaktion, eine Erkennung, eine Reaktion ableiten muss, um eben auf diese geänderten Einfluss Situationen entsprechend reagieren zu können. In dem Zusammenhang werde ich dann auch mal wissen. Einfach dieses veränderte Umfeld und auch die Art und Weise, wie etwa Hans Polizisten, zuletzt andere Ein Christ Szenarien laufen sprechen.
Im zweiten Teil wird an der Buro auf darauf eingehen, wie man umfassende Kontext Informationen sammeln, nutzen kann, um besser und schneller Sessions analysieren, der Fehlverhalten reagieren zu können, wird eine Tiefe das Thema einsteigen. Eben ganz konkret. Wie mache ich das Ganze, was muss ich dabei beachten müssen? Die Herausforderung mit za Der dritte Teil ist dann der Frage und Antwort Teil schon eingegangen bin. Wie gesagt Je mehr fragen, desto interessanter wird auch dieser abschließende Teil unseres Wert hinaus. Wenn wir so die Entwicklung der letzten Jahre jetzt betrachten und das ist wird sich das, was einfach unsere Herausforderung beim Thema Informationssicherheit prägten haben wir im letzten Jahren Entwicklung gehabt, bei der wir aus der geschlossenen Welt unsere City, wo wir gesagt haben, wir kommunizieren vor allem in unserem Netzwerk, gut er gibt vielleicht ein paar Leute haben ihre Notebooks, Wir haben vor allem den Blick auf die internen benutzen, wir haben die meisten unsere Systeme intern aus dieser geschlossenen Welt heraus gewechselt, sind zu einer Welt, bei der wir System an unterschiedlichsten Stellen haben, wir wir immer mehr Benutzer haben und bei der wir auch immer mehr Geräte haben, über die auf das gesamte auf diese gesamten Informationen zugegriffen wird.
Das heißt das ist einfach eine dieser wesentlichen Änderung dieser beobachten, dass für diesen traditionellen Perry Meter doch sehr stark geöffnet haben und damit natürlich auch viel mehr Punkte haben, an denen es eine Kommunikation über diesen Parameter hinweg gibt, aber auch Themen haben, wie beispielsweise das wir Software in der Cloud betreiben lassen. Dass das dort dann natürlich auch Administratoren beim Betreiber von Software gibt, dass wir gleichzeitig aber natürlich auch über das Internet auf diese Dienste zugreifen. Diese Grenze, welches deutlich komplexer geworden sie wird noch viel komplexer werden, weil eben zunehmend alles und jedes und jeder miteinander vernetzt werden. Es werden Organisationen, die mit den Menschen verletzt sind. Wir haben die Dinge, wir haben die Geräte und all diese Dinge und Geräte und Menschen und Organisationen kommunizieren miteinander, haben Beziehungen im Informationsaustausch und je mehr wir natürlich vernetzten, desto größer wird die Faktor, auch unsere Angriffsfläche. Ich, weil da muss man nur auf das Thema Industrie 40 das in Deutschland ja Moment sehr populär ist, schauen bei diesem Thema Industrie.
Vier Punkt null habe ich natürlich als ein Grund kommt Prinzip letztlich die Tatsache, dass ich sage ich möchte ein Geschäfts Prozess, wird sich von meinem Kunden bis hin in die Produktion vernetzen, um schnell reagieren zu können, um änderungen umsetzen zu können, um Starke zurück melden zu können. Und sobald ich natürlich beginne, Dinge miteinander zu vernetzen, habe ich grundsätzlich auch eine Angriffsfläche an dieser Stelle. Auf der anderen Seite müssen wir natürlich einfach auch realistisch sehen. Die Bisons Anforderung sind eben die, dass wir die Agilität unterstützen, dass wir neue Formen der Zusammenarbeit unterstützen, dass wir neue Geschäftsmodelle unterstützen und damit eben das Business befähigen, in einer sehr viel flexibleren Art und Weise zu arbeiten, zu reagieren, auch schneller zu sein. Auf der anderen Seite müssen wir, dass sich unsere Anforderung an die Complain sein, die Informationssicherheit hinbekommen, Das heißt, wir brauchen auch andere Antworten. Die Antwort kann nicht sein.
Nein, das geht nicht. Sollen sie einfach, kann letztlich nur sein, dass wir uns überlegen wie können wir eine geänderte Business Anforderungen so unterstützen über unsere Informationssicherheit, dass wir ein bisschen so möglich das zu tun, was es tun muss, und auf der anderen Seite die Anforderungen, die wir im Bereich Compliance, die wir im Bereich Sicherheit haben, entsprechend unterstützen können. Diese Balance gilt es zu finden. Ein wichtiger Bereich dabei ist eben auch die Art und Weise, wie sich unsere Anwendungen verändert haben. Hätte vor das Thema Cloud Computing schlagen gesprochen. Wir haben auf der diese Seite eben einerseits das Thema Cloud Computing, wir haben andererseits natürlich auch das Thema, das wir in vielen Bereichen schon traditionell, aber sicherlich eher mit wachsender Tendenz auch Mel Service nutzen auf Systeme, die wir bei uns betreiben und was wir de facto eben haben, ist dieses Thema, das für traditionell eigentlich gesagt haben Wir haben der Anwendung Betriebssystem, wir haben den Anwendungs Administrator, wir haben den System Administrator, Diese Welt verändert sich jetzt aber weil wir eben mit dem Thema Virtualisierung dann auch dass die Situation haben, dass es eben ein Haus Betriebssystem ein halb wo war also ein Gast Betriebssystem gibt, auch das eine Entwicklung, die ja schon länger läuft Die Inneneinrichtung wird, weil es ihre Infrastrukturen in Richtung, dann auch Konvergenz der Hypo Konvergenz, die Infrastrukturen, wo wir eine größere Komplexität haben, weil wir einfach auch mehr Stellen haben, an den eingegriffen wird und wir haben natürlich die Thematik, dass wir das Ganze auch in die Cloud hinein betreiben, das heißt, in der Cloud haben wir natürlich dann die Situation, dass wir unseren letztlich unsere Systeme hatten, fragte unserer Anwendungs Administratoren eben nicht mehr nur selbst haben, sondern dass auch diese Administratoren auch von der Cloud Seite an bestimmten Stellen Spiel kommen.
Das heißt, sie haben quasi noch mal unsere eigene Administratoren, also wenn wir es ein klassisches auf Presse Service Anwendung nehmen, dann haben wir Leute auf unsere Seite, die als Operator oder Administrator tätig sind. Wir haben auf der anderen Seite, aber eben auch dann vom Betrieb der Anwendung her, genauso die Administratoren. Wenn wir das Gast Betriebssystem betrachten, dann ist es eben so, dass dieses Gast Betriebssystem einerseits natürlich von uns aus Athen ist, wird vom Kunden aus und kann und aus auf der anderen Seite aber auch letztlich bis zu einem gewissen Punkt als mindest geschlossene Box von der Seite ist CSP ist aus. Wenn Sie ein MSP Verhältnis haben, also meine Service ist, die ihre Systeme verwalten, kann dieser Eingriff noch deutlich weiter gehen. Wir haben also auch eine Situation, bei der erstens nicht nur mehr Ebenen haben, die gefährdet sind, wir haben gleichzeitig auch ein komplexeres Verhältnis zwischen eben dem Kleinen, dem Anwender unternehmen, den Mandanten auf der einen Seite und den Cloud Service Provider oder wenn man es so wie es kommt, die Meldung Service Provider auf der anderen Seite.
Das erhöht unsere Herausforderung, die wir haben, und das erhöhte sich genau auch in diesem Bereich sehr zentral unsere Herausforderung, weil wir hier über die Leute reden, die hohe Berechtigung haben, die oft auch wenn man einfach mal ganz realistisch drauf schauen, dann eben auch mit klassischen administrativen Scherer kann es immer noch zugreifen, die als Datenbank Administrator als gut, als Domain Administrator oder in anderer Form der umfassende Berechtigung haben oder auch als Operatoren oft Guy verschärft mit individuellen Account umfassende Privilegien haben daher auch dieses Thema. Eben Privileg meine schon. Was sind die größten Risiken in diesem Spannungsfeld? Wenn ich diese Entwicklung betrachten, habe ich die ganz klassischen Risiken von internen privilegiert. Gemeinsam genutzten konnten weiter gemeinsam gehört. Sie konnten bedeutet Ein Kennwort birgt das Risiko, dass es auch anderen Leuten bekannt wird. Individuelle Konnten haben das Risiko Stück weit, auch wenn ihr nicht auf fast. Aber sobald ein Konto von mehreren Leuten gemeinsam genutzt wird, habe ich endlich ein grundsätzliches Problem damit, dass potenziell mehrere Leute das Kennwort kennen Ich habe das Risiko von Eingriffen auf die Kommunikation zwischen dem externen Systeme, den Kunden.
Ich habe das Risiko auch dadurch, dass ich eben für diese Kommunikation in irgendeiner Form Schnittstellen haben muss. Das kann natürlich klassisch, nur hatte die Rate die PS sein. Das können aber auch viel Zeit der AFIS sein, die eben grundsätzlich immer auch eine neue Eingriff Fläche bilden. Ich habe das Risiko, dass beim Service Provider Missbrauch getrieben wird. das kann man nicht völlig von der Hand weisen. Da haben viele fahren die großen Diensten wieder sehr wirksame, sehr umfassende Schutzmechanismen arbeit. Ein Risiko besteht natürlich in diesem Bereich. Die Audi Qualität ist nicht immer überragend, das heißt oft gibt es noch eine ganze Liste von tollen Autos, die gemacht werden um diese Autos anschaut. Im Detail stellt man oft fest, dass die wirklich essenziell die wirklich entscheidenden Dinge gar nicht in einem solchen Audit geprüft werden. Das muss ich hier sehr intensiv damit beschäftigen, was wir tatsächlich gemacht und man hat häufig einfach auch noch die Thematik Herausforderung des Alterns Index ist mein Schwanz gerade gutes Verhältnis zu meinem Service Provider nimmt dann hat man in der Regel leben keine keine wirklich vollständige Go, sehr häufig keine vollständige Kontrolle darüber wer von meinem Service Provider kann nun in welcher Form auf die eigene Systeme zugreifen kann, vergisst er hat einfach nicht die Implementierung die Umsetzung.
Um solche konnten, wenn jemand nicht wer dafür zuständig ist zu löschen und potenziell das Risiko, dass solche Konten offen bleiben. Auch wenn jemand vielleicht gar nicht mehr bei diesem meines Zuhauses pro weiter arbeitet, die andere Ebene dann diese Grenzen veränderten Bedrohungslage ist eben, dass wir immer mehr Angriffe auch haben, wir haben einerseits die in seine Angriffe, die auf hohem Niveau bleiben, also daten, die Veränderung von Code was auch immer und wir haben eine massiv wachsende und vor allem auch immer stärker professionalisierte Situationen mit Angriffen von außen. Ob das nicht die Rolle der Tracks in Bordnetz was auch immer? Und in der summe entwickeln sich diese eingriffe dann eben zunehmend mehr. Das sind inzwischen schon ziemlich weit zu fortgeschrittenen als hagen im amerikanischen als etwa ernst polizisten verletzen bezeichnet. Dabei geht es im Angriff Szenarien, die sehr ausgefallen sind, die mehrstufig sind, dass er etwa nes und auf der anderen seite lang andauernd persistent die über einen längeren zeitraum fortdauern werden sich diese advance faschisten streits anschaut.
Als beispiel, wie so etwas abläuft gibt es inzwischen eine ganze menge publizierte beispiele für solche etwas blass ist. Fressen ist ein ganz typisches szenario, das zunächst mal keine Schritte vornehmen über Informationen und beispielsweise aus Zahlen, Netzwerken und Business Netzwerken als Facebook aus anderen quellen holt letztlich ermittelt wer ist ein mitarbeiter in einem bestimmten Bereich, den senden zu beispielsweise Mitarbeiter da r Abteilung 11 Mail mit einem anderen. Die so aussieht, also Verfahren, interne Adresse kommen, die sind ein personal relevanten Thema beschäftigt, irgendjemand, wird es eröffnet. Damit blickten auf den Link damit öffnen den Anhang Die Malware wird installiert, die mal wer sucht dann im ersten Schritt eigentlich erstmal nach weiteren Systeme nach weiteren Angriffszielen teilt sich von dort aus über das Netzwerk auf anderes System, um dann immer höher und immer besser ein Privilegierte konnten heranzukommen, um möglichst viel Macht sozusagen zu erlangen wird, ist viel Eingriff in das Netzwerk und dann Daten entsprechend zurücksenden zu können oder entsprechende Manipulationen übernehmen.
Sie können solche Angriffe laufen oft sehr lange, sie sind sehr ausgefeilt, bis hin zu der Frage Wie werden Datenpaket zurück? Es sind kleine Schnipsel von Daten, die später zusammengesetzt werden, sodass wir müssen unserem Radar der Feier wollen möglichst fliegen wechselnde Servern, die die Daten gesendet werden. All diese Themen zusammen, das heißt wir haben einfach eine Situation heute. Unsere Welt wird komplexer, klaut man Service Providers za Unsere Bedrohung werden größer, und wir haben eben das privilegierte Konto als ein Kernelement bei Angriffen Wir haben bei diesen Privilegierten konnten eben diese konnten mit erhöhten Berechtigungen wie individuelle Konten, System könnten, Service konnten Administrator konnten was auch immer genau den Punkt, dass natürlich jeder Angreifer versucht, genau an diese Konten heranzukommen und Dinge zu tun, die er eigentlich damit logischerweise Angreifer überhaupt nicht tun sollte und die auch mit diesem konnte nicht gemacht werden sollten. Erfolgreiche Angriffe brauchen umfassende Privilegien und die klar je mehr Privileg in desto mehr schaden.
Was können wir nun tun? Wir können die ganze Reihe von Dingen tun, eine ganze Reihe von Maßnahmen ergreifen. Dazu zählt das lokale Präsident Schwein springt, privilegierte Benutzer Schwerter kann uns so bald wie möglich einschränken und steuern. Dazu zählt das Thema identischen Access Meine Spenders Identitäten Berechtigungen auch richtig verwalten ein Minimum an Berechtigungen dazu zählt und das ist das Thema, auf das wir intensiver im nächsten Schritten eingehen werden Das Thema Prüfling Session Monitoring, also Sessions von Operatoren, von Administratoren, von privilegierten Benutzern überwachen Dazu zählt beispielsweise auch ganz konkrete Zugriff auf Cloud Service ist sowie ergreift von unseren Leuten auf Cloud Service zu und andersherum Wer greift als meine Service Provider auf uns? Dazu zählt die Anomalie Erkennung wie Wo großen, unübliche Verhaltensmustern, und dazu zählt auch das richtige Auto Tieren, was damit beginnt, dass ich weiß, Welche Auto ist eigentlich wie viel wirklich wert, und wir müssen uns eben einfach voran bewegen, weg von dem reinen Wir haben hier war Rechte vergeben, wir haben freie Wahlen und alles schön hinzu, wir können das Ganze eben nicht mehr schützen sollen, wir können auch Ergebnisse weg von diesem Protect hinzu direkt verstehen was passiert in unserem Netzwerk eigentlich?
Und dann den Schritt weiter hin zu respond, also eine Reaktion auf die Dinge, die im Netzwerk geschehen ein Beispiel dafür ist es Thema Session Management eben als ein sehr zentrales Element dabei, das heißt, wenn er nach Illustrator einsetzen auf einem System hat. Wie geht man mit diesem Thema um? Und da gibt es einen Pro, wenn Teile gibt es ein Sagen gedeckten durch Pons Teil der Prevent Teil beginnt. Damit, dass ich eben Zukunfts Anforderungen habe, die was begründet, sei dies in der Regel zeitlich beschränkt Die wird genehmigt, dann wird der Authentifizierung durchgeführt, dann wird eine Autorisierung durchgeführt. Da habe ich gesagt, ich habe mich dadurch geschützt, dass ich eben das genehmige, das ich ein Häkchen dran mache, dass ich authentifizierung schön und dann kommt die eigentliche sehr schön, und hier gehst du die Frage Was wird nun tatsächlich darin gemacht, wenn der Administrator als interne Angreifer diese Session geöffnet hat, dann kann auf einmal der Dinge machen, die eigentlich nicht tun sollte, wenn der Account des Administrators von einem Angreifer übernommen wurde.
Gekapert wurde geheilt Checking sagt man dann keine der Angreifer eben hier Dinge tun, die er nicht tun soll. Hier geht es genau diese Frage Protokollieren, aufnehmen, überwachen Echtzeit Analyse und gegebenfalls. Auch eingreifen damit zwar schon bei dem US Pon Thema in diese Session und natürlich auch dann das Thema nachträgliche Analysen des von ihr hat das wenn man dieses sehr schön meine Spenden unter dem Aspekt der Technik respond nochmal dann reinschaut da geht es ihm und es sammeln, also auf zeichen von zwischen protokollierung, aber auch das sehr schön Kontext also was ist passiert während dieses Session auch auf andere Systeme, in anderen dort Dateien was wurde gemacht? Die Auswertung sei es zu Laufzeit, sei es nachträglich auch in Verbindung mit dem Kontext gehen, dass wir andere Informationen verbinden und die Fähigkeit, zu reagieren, Warnungen zu senden, Sessions konkret zu beobachten, beispielsweise sagen Hier könnte etwas schief laufen, schaut mal drauf, der abbrechen, da muss man immer vorsichtig sein, natürlich, weil das auch das Business direkt betreffen kann.
Weiterleitung an andere Systeme eben als Erlös für die weitere Bearbeitung. Das ist dieses große Bild, zu dem wir uns hinbewegen. Wir sind deshalb ist aus unserer Sicht dieses Thema Session Menschen mit dem weiteren Sinne sehr schön. Recording Analyse eines der einer der wichtigen Bausteine, wenn es darum geht, unsere Angriffsflächen und damit unsere Risiken entsprechend zu reduzieren. Wie man das jetzt konkret machen kann, wird der Herr Buch nun vorstellen in seinem Teil, indem er darauf eingehen, wie man um falls kontext, Informationen sammeln und nutzen kann, um eben solche Sessions zu analysieren und besser auch in der Beantwortung in der responses zu werden. Herr Bo, sie sind dran.
Ja vielen Dank, ich werde entdeckten sie stelle übernehmen. Der Fokus jetzt hier wie schon gerade gesagt ist natürlich auf das Monitoring und danach hier besonders zeigt es auf Sicherheitslücke Mensch das unterschätzte Risiko wird müssen aus wohl noch mal und den Menschen an sich unsere Mitarbeiter unser in der Firma als in Täter bezeichnen, und zwar durch die sich nun im Theater in der Lage ein Unternehmen mehr Schaden zu verursachen Exit Theme Täter es jeder könnten das heißt ich hab mein Mitarbeiter Man unternehmen dem vertraue ich den gebe ich recht, der Ding die Verantwortung auf meine SQL datenbanken auf meine Feier waren oder ähnlichen und natürlich hat er recht zu dort Dates verändern, Feier vorzogen, manipulieren oder ähnliches die muss auch haben um 50 arbeiten zu können, aber wenn diese rechte missbraucht werden oder wie schon vor dem ersten teil gerade erwähnt durch verstehen oder ähnliches so schnell wir gehackt worden sind und missbraucht werden kann, dass ein riesenschaden für mein unternehmen verursachen 30 % der mit Sabotage, korruption oder tk imitiert geht jetzt schon darauf zurück das sogenannte in täter aktiv waren sei es wirklich, dass ein Mitarbeiter habe der aktiv nein unternehmen schaden möchtet oder ein User count, der missbraucht worden ist von außen das ganze der gehen eine sehr hohe Priorisierung zum beispiel für die Allianz für sicherheit in der Wirtschaft und auch natürlich das Bundesamt Verfassungsschutz jetzt war schon in diesem Jahr das Fokus auf integer gesetzt haben noch ihre Tagung darauf abgezielt haben, hier in diesem Bereich Lösung zu finden.
Empfohlen wird bisher vom wir sie ihr und auch anderen Behörden. Natürlich ein ausgereiftes Sicherheitskonzept wie ihn gerade auch schon zum Teil angerissen von der Kuppinger natürlich mit einem Monitoring unter Monitoring versteht man bisher Kopf immer. Wir zeigen das Stück wieder auf, was meine Mitarbeiter machen. Ja, und ich möchte auch wissen ausgehen, was das bedeutet man nur eine Aufzeichnung hat erst mal und keine weitere Informationen. Das heißt ich mach eine Aufzeichnung, meine normale Tätigkeit meiner Mitarbeiter zum Beispiel meines SQL Datenbanken, Literatur oder Mitarbeiter, der dort in der SQL Datenbank den Dispokredit zum Beispiel von seinen Kunden hoch setzen sollen, das hat mir meine Tätigkeit. Die macht er regelmäßig, der macht er, täglich macht er das zehnmal, wenn nicht sogar 20 mal und welches aufzeichnen, dann sehe ich wieder mein Mitarbeiter. Einfach dann disputiert verändert. Es gibt noch keine Informationen, wenn man beispielsweise gerne aufgreifen möchte. Das ist weil Banken ergangen in den letzten Jahren, die haben dort ist der Fall, dass der Mitarbeiter, der für diese Dispokredite verantwortlich war, gehackt worden ist.
Sein rechte sind User wurde missbraucht und das ist wohl das ja nicht mal weitergehende Rechte sich geholt haben, sondern mit dem normalen dabei der Rechten, die der User hat, die diskutierte jetzt von über 100 Leuten hoch gesetzt hat und nicht nur von 20 pro Tag sollen, die vom Einschlag von 100 des Prix durchgesetzt hat und seine Komplizen am nächsten Tag dann weltweit Geld abgehoben haben und so den beiden Banken einen Schaden verursacht haben innerhalb von einer Nacht quasi über 45 Millionen Dollar. Das enormer Schaden alleine dadurch, dass jemand die normalen Rechte, die ich am Mitarbeiter geben, unsere Tätigkeiten vorzunehmen, missbraucht hat, ohne sich jetzt irgendwie noch höhere Rechte zu holen und sich meine zwei verbreitet werden Welche Information habe ich jetzt? Wer nicht das ganze Monitor dt habe im klassischen Sinne also das Ganze aufgezeichnet habe Im ersten Augenblick habe ich dadurch keine Formation, den ich sehr nur normale Tätigkeit gemacht.
Dessen Daten Eingang des Buches sieht hoch gesetzt und das war s ist also Wissen häufig gemacht, aber das sehe ich im in der Session Arbeits nicht in den weiteren Informationen, es ist sogar noch schlimmer. Wenn ich mir vorstelle, dass so ein Pferd Account Nutzer das klassische Root Account oder im Bildungsbereich den Atmen account, dann sich in Monitors welchen, wo ich nur die reine zwischen Habe, gar keine Information sehe, nur dass jemand den Atem der kaum benutzt hat und dort eine Diskothek verändert hatte. In unserem Beispiel zum Beispiel Also ich habe hier keinen Benefit mit herkömmlichen Flug, Regierungs und Munitions Funktionen Den Hinsicht Ich sehe, es hat sich immer mal System angemeldet. Packender kaut man Pferde kaum. Aber wer es war oder auch das ist jetzt Handy missbraucht hat seine Rechte. Das sehe ich so mit normalen Aufzeichnung Souls eher wenig entgegen Vorderteil stellen wir uns vor Wir haben ein Zwischenfall auf einen Server, auf dem durchschnittlich 20 Uhr sagt gleichzeitig arbeiten und auf dieser Maschine ist ein Vorfall gewesen.
Wenn jetzt nur ein Monitoren haben, das heißt wir zeichnen die im Arbeits unserer User auf diesem System auf, weil der persönliche Daten gelagert werden, dann müsste ich im schlimmsten Fall 20 mal acht Stunden Videomaterial anschauen, das heißt über 150 Stunden Videomaterial muss jetzt meine Mitarbeiter vom Instinktiven kontrollieren, anschauen und gucken wo ist jetzt dieser Fehler verursacht worden? Wer war was er da genau gemacht? Das eine enorme Anzahl von Stunden, das heißt, ich müsste dann natürlich in so einem Fall wenig Zeit haben. Hohes Personalaufwand aufwenden, um überhaupt diese Daten zu sichten und auszuwerten, das hat man in der Regel natürlich nicht. Wenn so ein Vorfall ist, da möchte man natürlich Zeit. Na herausfinden was wurde manipuliert, wer war s und wie groß der Schaden. Genau dahingehend habe ich also nicht wirklich ein Riesen Vorteil, wenn ich nur Monitore aufzeichnet, was man User macht das Ganze wird es spannend, wenn man das Ganze mit Metall Daten versieht.
Die Frage stellt natürlich Was sind Meter für ob Serbe? Zum Beispiel sein Meter Daten Prozess Name Applications Name Wenn Dus Titel also was ist oben der Leiste? Verwendete Befehle zum Beispiel Honigs Bereich Welche Command befehler, der benutzt, welche Rechte der benutzt war er ruht, hat es mit normalen Benutzer Rechten gemacht und ähnliches, das sind so alles. Metadaten Formation mit diesem Meta Daten Information kann nicht gezielte suchen, das heißt zum Beispiel unseren vergleichen wir zehn Server haben, an den 20 zwischen gleichzeitig fahren und da ein Fehler in der Datenbank passiere, so sehr da Fehler war, so kann ich dann sagen Okay, wer war dann zum Beispiel an diese Applications beschäftigt, welche aus einem Meter Dad mit gespeichert habe? So komme ich vielleicht von den 20 Personen, die auf diese Maschine waren, runter gebrochen, dann nur noch auf zwei, und müssten wir damit dann nur noch vielleicht zwei stellt uns anschauen?
Das heißen die Im Augenblick hätte ich dann statt über hundertfünfzig Videomaterial, das ich mir anschauen muss und sichten muss, mit Hilfe der Meta Daten das runter gebrochen, nur noch auf, dann vielleicht 16. Weil ich weiß, es waren nur zwei User, die an diesem Tag den SGL zur benutzt haben, über diese Applikation, in die die persönlichen Daten verschwunden sind oder Fehler aufgetreten sind, also auch eine wesentliche Erleichterung. Eine schnellere Suche stammt auch möglich mit Meter, welches ganze noch verknüpfte Manometer Dad mit bestimmten Aktionen und alleine setzte dieser zu zum Beispiel nennt das heißt mein User, in unserem Beispiel von der Datenbank, von den Disput sieht, der Mitarbeiter des Blüten hoch gesetzt hat in der Bank ist ein normaler Tätigkeit, das indisponiert hoch setzt. Das heißt, ich setze darauf, ein Alarm, das dass Mitarbeiterinnen des Friedhofs setzt, löst dies Alamos zu News Aktivität und die Strecke das mit.
Das ist natürlich normale. Eins davon Alarm Auslösung uns normal, dass das Mitarbeiter Wert in der Woche pro Tag immer so zehn Alarm auslösen. Wenn das aber mehr sind, dann kann ich daraus Rückschlüsse ziehen. Das heißt dadurch, dass ich diese aus Werte diese Formation haben mit Meta Daten Alarm drauf setze, kann ich mir auch eine Reaktionen echt oder habt ihr eine reaktion in echtzeit? Das heißt ich sehe genau man user aktivitäten die er macht in echtzeit und kann daraus ein auswerten wenn wir dieses beispiel bild nehmen was jetzt hier kaufen bildschirm sehen, weil er im Vortag diese gestrichelten linie ausgelöst ungefähr zehn alarmed pro tag vom vortag, dass wir nur eine tätigkeit die übermacht oder am heutigen tag hat er fast das doppelte sogar ein bisschen mehr an alarm ausgelöst. Das sollten wir uns zu denken geben ob das heißt ich kann die ablegte sofort reagieren und sagen okay, entweder warst du heute extrem produktiv oder du bist voll der ziemlich daneben und löst gerade einige alleine aus und was machst du genau mein system, warum hast du viele alarm?
Ausgelöst war, was es so viele diskutiert und nach oben gesetzt gab solche entwickelt oder ähnliches und ganz gut verfolgen was genau mein system gemacht jedoch mal das deutliche Bild, wenn man die verschiebung das ist nur möglich dadurch dass ich jetzt halt Meta Daten zur Auswertung habe und das ganze dann noch tränke und protokollieren, wenn ich das ganze noch verknüpfe diese Metadaten Informationen diesen Alarm dazu und das ganze in meinem Video Clip ein Bette wir zum Beispiel hier bei absolviert, mit dem Media Player observiert. Player, das wir hier zum Beispiel unten sehen Sie zwei Glocken der Leiste, dann sehen Sie. In dieser Stelle wurde ein Alarm ausgelöst. Das heißt, ich sehe dann in Relation, zum Beispiel wenn man User in der Datenbank des Boot hoch gesetzt hat. Man muss sich nur dieser Glocke hin springen und sehr sofort. Was hat er gemacht? Wie hat denn der Friedhof Gesetze, der ähnlich ist und das ermöglichen wir unserem Beispiel vorangehen, wenn ich ein selber wieder mit 20 gleichzeitigen Sessions da einziehen drauf habe und ich will wissen wer hat jetzt hier die dis, Politico selbst oder wer die sind ins Land ausgelöst?
Kann ich mit Hilfe der Mieter Daten Normierung direkt in die Taschen reinspringen, immer einen Clip und dann hier zur Stelle hin springen und mir ist anschauen was genau gemacht worden, das heißt von einer Auswertung seid, dass ich 150 über hundertfünfzig Stunden wie die man anschauen musst, bin ich in 12 Minuten zur Stelle gesprungen und weiß okay, Ihr Stelle wurde man in vielen ausgelöst, und hier wurde der Vorfall verursacht und natürlich auch von der hohen personalaufwand, die sich 50 mitarbeiter oder wie viel man sich dann eine sehr schön anschauen gerade 120 stück sind runter gebrochen ein Mitarbeiter der ist dann sofort wenn wir minuten dann auswerten kann das bild natürlich einige anwendungs fälle wenn ich diese user eingaben protokollieren kann diese aktivitäten protokollieren kann noch auswerten kann und zwar wie schon vorhin erwähnt gerade meine privilegierten benutzer kann ich damit sehr gut stören. Überwachen was macht der privilegierte yücel mit seinem rechten macht er genau seine tätigkeit oder macht etwas was er nicht soll?
Zum beispiel ich mein ex der mitarbeiter habe die ich eingestellt habe für die feier wahl konfiguration oder ähnliches? Da hat er nur in den feuerberg konfiguration zu arbeiten und nicht aus versehen andere polizist oder andere einstellung anzuschauen und zu verändern, das könnte ich dann zwei news aktivitäten auch erfassen. Diese schwerter count können auch dann komplett zurückverfolgt werden und erkannt werden werden sie benutzt hat. Teilweise wiegen das durchaus system an, wie zum beispiel auch jetzt ab zur wird in diesem fall das hier noch mal das decken der aufs Auto beziehung erfolgen muss, das heißt wie ein User so ein Pferd da kommt nutzt die berühmten atmender Count, den wir alle kennen, dann mit nochmal verlangt der Listen Du gibt meine richtiges Passwort, ein richtiger User das ich weiß das durch, berechtigt bist du überhaupt in diesem Jahr kaum zu nutzen. Das heißt ich kann auch meine Systeme noch mal sicher absichern in dem Bereich sind, sodass auch wenn diese atmender Count geweckt worden ist, dass sie dann hier die Information habe okay bis berechtigt dafür.
Daraus ergeben sich dann so ein paar Fazit zum ganzen Monitor mit Meta Daten wir mal so eine starke Reduktion von Personen, Aufwand in Zwischenfall Bearbeitung auch natürlich der Zeitaufwand ist extrem reduziert dadurch, dass ich direkt zu der Stelle hin springen kann und sehen kann. Ok, was hat der User genau gemacht? Ich muss mir nicht meine ganze Session anschauen, sondern ich kann direkt zur Stelle hin springen und es auch auswerten, damit so eine Reaktion in Echtzeit möglich. Das heißt wie schon vorhin erwähnt ich sehe sofort, was die User macht, ich kann das auswerten, zum Beispiel wenn jemand einen Feier wolle ausschaltete, ähnliches kann ich nach Burg hat er die Berechnung dazu gehabt, Warum macht er das und muss es nicht anschließen? Nach den sehr Volk passiert ist, und ich habe einen Schaden meiner Unternehmen, das nachverfolgen, wer war es überhaupt und was genau oder wie genau das gemacht ist, sondern ich kann das direkt erkennen, ob jeder User Access Lohn hat.
Diesen Augenblick gerade meine Feuerwehr ausgeschaltet durfte das Dorf, das nicht und natürlich in dem Bereich aber auch eine Compliance Anforderungen nicht erfüllen kann, das weiß ich ganz schnell Meine Daten auswerten, ich kann auch das Ganze sich ablegen und dann auswerten den Bereich, das ganze fünf, wir anderen bestimmte Revisions Sicherheit. Das heißt, die Daten sind auch wirklich so abgelegt im System gerade, dass kein anderer an die Daten herankommen kann und natürlich auch der Mitarbeiter, die an diesem System arbeitet, sie nicht manipulieren kann das, sondern anschließend auch gerichtlich verwerten können oder ähnliches All das ist möglich. Halte man die Meta Daten zusammen, sind verknüpft mit einer Aufzeichnung des User bei seiner Arbeit. Dann wäre es soweit durch
vielen Dank, Herr wo, das war sehr informativ, denke ich, und er kontaktiert hat mir sehr gut gefallen, jetzt wird und direkt die Frage und Antwort zum Dehnen Und ich würde auch die Teilnehmer noch mal bitten, weitere Fragen einzugeben. Wie immer gilt Je mehr Fragen des Sand interessant ist, ist die erste Frage Habe ich auch schon vorliegen? Ich glaube, es ist eine der ganz zentralen Fragen fallen dann, wenn man den Blick nicht nur auf die rein administrativen Tätig oder Sessions richtet, sondern Stärke auch noch auf Sessions von privilegierten and benutzern achtet, wie sie sind, so beispielsweise mit dem Angriffen auf Banken beschrieben haben. Da stellt sich nicht immer ganz klar die Frage, wie sie zu den Datenschutzbestimmungen aus, wenn man solche Technologien einsetzt,
genau also den Datenschutz, dieses einer natürlich, der Fokus von grandios und was ein für möchten Unternehmen des 16. Recordings das aufzeichnet oder sie beschäftigen muss damit beschäftigt, dann stößt natürlich auf die ersten Paragrafen ist, dass das Bundesdatenschutzgesetz eins bis 11 zum Beispiel, wo dann gerade 16 recording auf zutrifft und da trifft natürlich genau Paragraphen neues, das die Kontrolle und Weitergabe von Zugang und ähnlichem zu meinen IT System, das heißt es ist auch zwingt gefordert, dass man eigentlich sein Unternehmen so absichert, dass kein anderer meine Daten rankommt und natürlich auch, dass ich das protokollieren wir war meinen Daten tragen welche User war es, was er genau gemacht die Zugangskontrolle oder wer macht was man datenweitergabe kontrolle montan wie sie schon gesagt haben von dem Vortrag ist es so, dass wir natürlich das ganze mit feuerwalzen zugangsberechtigung aber was macht der user eigentlich der natur zuges hat den können wir nur durch monitoring durch user gaben protokollierung was macht damit den datenspeicher des anders hin öffnete zum beispiel stick oder ähnliches und das darauf zu kopieren, das können wir nur durch dieses aufzeichnen mit metadaten informationen wirklich sicher gehen, dass er das ganze dann natürlich nicht missbraucht und wenn wir dann natürlich noch die anderen paragraphen natur ziehen muss was uns so konfigurieren und einstellen, das natürlich nicht eine riesen daten trage habe die alles aufzeichnet und jeden so natürlich nur das was ich wirklich brauchen, also in dem bereich meine persönlichen daten das was wirklich schaden kann wenn das rausgegangen unternehmen in diesem fall zum beispiel disputiert nur verändert wert kast auslösung auf manche nehmen und ähnliches daten
gut und und wenn man das nun macht genau da die frage es gibt ja auch es gibt 22 eben an dieser stelle die eine heben ist. Was muss man eigentlich machen um seinen anforderungen aus der Compliance zu genügen? Dazu gehört nicht, dass man gewisses gewissen überblick darüber hat was mit den sensitiven daten passiert. Sehr wärmere ende auch angesprochen. Auf der anderen seite muss man natürlich auch sicherstellen, dass nicht jeder an alle daten rankommt. Also wie kann ich jetzt zwei spiel in diesem fall von observer weiterhin den zugriff auf die aufzeichnungen einschränken und wie kann ich sicherstellen, dass benutzer die nicht protokolliert werden sollen, auch entsprechend geschützt? Wie läuft das
genauso? Natürlich so, dass jede aufgesägt werden soll, also ein normal briefe schreibt natürlich was an ihm ist versteckt sondern nicht aufgezeichnet werden dabei und das beginnt ja verhindern. Dementsprechend ist es möglich wie überhaupt serviert, dass man ihn ab sollte. Agenten eine policy mit gibt unser policy sage ganz deutlich der user ex long term hat die gruppe ist oder bestimmte user soll aufgezeichnet werden, zum beispiel mit der bestimmten applikationen aufgezeichnet werden oder würde bestimmten tätigkeit. Also ich kann das sehr gut eingrenzen und sagen okay, genau diese tätigkeiten möchte ich protokollieren möchte ich aufzeichnen die anderen tätigkeiten werden dann nicht aufgezeichnet
das für passt auch zu einer frage jetzt noch mal ergänzend reinkam wie fein granulat kann man befehle auf der Berg meinte ebene beobachten. und protokollieren und kann man dann Lords auslösen, wenn ein schädlicher Befehl ausgeführt wird?
Genau das ist sehr gut möglich, gerade im juni x bereich zum beispiel wird kann sie genau sagen okay nicht es wird nur wurde es geändert wurde datei geändert oder wurde schreib rechte geändert oder ähnliches? Dann können sie genau auf diese sachen sagen ich möchte nur diese eingaben protokollieren, dann haben sie auch nachher zum beispiel in den player was ich von gezeigt habe nur die ansicht von dieser diese aktion ansehen an dieser stelle okay man user administrator hat jetzt hier gerade das file geöffnet, hat hier rechte geändert, hat hier die daten von der geändert und das genau das protokolliert und kann dann genau auch daraus gehen wir in aller angenommen und sagen okay ich habe sehr hoch sensible daten in bestimmten verzeichnisse ab gegen zum beispiel werden telefonanlagen teilweise nix bereich unterwegs sind wo sie abgelegt werden kann man da geht einer landhaus setzen, wenn jemand diese tiefe vorlage sich anmelden am system, nicht im system und dort die daten kopieren möchte?
Es heißt mit Climate feen Hofmann Mitarbeiter unternehmen an keine dann auf namens aufsetzen und daraus das ganze zweite verfolgen
dann habe ich jetzt zwei Fragen hier, die sich rund um das Thema Verbindung zu sieben, also der Kurie, Information und Event Management Lösungen oder Log Management Lösung auch drehen. Die eine Frage ist Gibt es grundsätzlich die Möglichkeit, das System von auf schärfer an solche Lösung einzubinden? Die zweite Frage ist danach Was wäre, wenn man ein solch Einbindung machen kann, der mehr wert? Wo liegen die Vorteile dann, die eine solche Lösung durchführen kann?
Prinzipiell ist es möglich, das System anzubinden. Analysieren wir Haben's entfernt lichkeit, dass über Lok Falls machen, das heißt der Applikation Server in diesem Fall, wo die Daten bearbeitet werden, realisiert, ob seiner langen ausgelöst worden ist, legt eine Log File ab, wo dann das sie muss abgreifen kann, die Lok Fall das auswerten kann oder die Daten direkt aus der Datenbank durch sogenannte API Schnittstellen herausholen kann und dann verarbeiten kann. Der Vorteil des Ganzes Wenn man das ein, blickten sie ihrem Tun, dass man dort auch gerade analysiert arbeiten kann. Das heißt auch der Betriebsrat dann beruhigend, dass man die Daten erst anschaut, wenn durch den Vorfall gewesen ist oder wirklich eine User Aktivitäten zum Vorschein kommen, die einen sehr untypisches Verhalten nahe liegen.
Wie
zum Beispiel der Administrator, der jetzt den Dispokredit von 20 Leuten oder von 50 Leute für höher setzt, obwohl es immer nur Verein für zehn Dollar pro Tag machen und das sollen sie und tut das dann organisiert, zum Beispiel einschränken oder anonymisiert kann ich das und dann direkt auch auswerten und dann auch noch nie weiter mitnehmen.
Nächste Frage Welche Protokolle werden beim recording unterstützt? ADP hatte die B trifft sie folgen wir was also was wird unterstützt, was kann ich überwachen?
Prinzipiell ist es so, dass alle gängigen Windows Systeme unterstützt werden und alle gegen Unique Version. Also da eine sehr große Bandbreite an System unterstützt werden. Das Ganze so dass der Agent über es ist al kommuniziert und auch die Daten sicher verschlüsselte Daten abgelegt werden kann da dran kommen kann, ja
okay, wie wird das System den ins Netzwerk integriert, dass es das schnauben, also das zehn. Haus, dieses Transparent, welche Einsatz wird gewählt, um diese Sessions tern zu überwachen? Da gibt es mehrere Varianten. Was ist da das Konzept,
die Frage was zu holen,
wie also, wie wird ihre? Wird das System ins Netz eingebunden, laufen die Sessions alle über einen Haus zu sagen zentral oder wird Das Netzwerk ist nicht Was ist der Einsatz letztlich, um diese Sessions zu prüfen?
Okay, es ist so, dass wir also sowohl das System, also absolut vor allerdings ist so dass wir unser System ist Ein Monitoren möchten ein Agenten drauf installieren. Diese Agent zeichnet auf Wenn FDP Verbindung auf dem System vorgenommen werden sind oder ähnliche Verbindung offen System Zugriff erfolgt oder DP Setzung oder 1 70 Verbindung oder ähnliches aktiviert sich prüft gegen den Applications Server soll ich diesen User auf 16? Ja, nein, also prüft keine Policy, ob was vorliegt, das in Aufzeichnen, sondern aufzeichnen soll, nimmt er die Metadaten Informationen, die User Eingaben und schiebt sie direkt an Der Publikationsreihe war so, dass da die Daten ausgewertet werden
nicht
so wie bei anderen Lösung, dass das eine Box nur im Netzwerk abfängt, sondern man kann sie auch direkt im System anmelden und wird dann auch dort aufgezeichnet.
Okay, wenn man solche Aufzeichnungen des Greifen grafischen Sessions macht, wenn wir uns den Text protokolliert ist entspannender biografische Sessions aufzeichnen, der geht ja auch um potenziell sehr große Datenmengen, wie sie damit umgegangen.
Es ist so, dass die Daten, wenn nicht gar nicht so gigantisch sind. Wir haben da sehr starke Möglichkeiten, das zu beschränken oder einzustellen.
Reicht es
weiter dieses Aufsatzes Monitoren statt in Farbe sagen Okay, es ist jetzt in Schwarz weiß oder ähnliches, wenn man sagt im Durchschnitt, wir haben Farbe relativ wenig Hussein gaben also unseren Administrator wirklich aufzeichnen wollen, dann bin ich pro Jahr beim Administrator Tätigkeiten wie acht Stunden täglich arbeitet, dass er keiner von uns tut, berauben zu Urlaub trotzdem hätte ich eine breite von sechs. Die Arbeit für diese einen User nicht nur komplettes Jahr trafen sich Tage, aufzeichnen würde er acht Stunden am Tag nach Gigabyte, das ist sehr gelegen
in der grafischen sehr schön
in der grafischen Zeichen mit allen Informationen, Metadaten und allem Drum und Dran natürlich das ganze Farbe haben möchte, dann geht es müssen höher gerade welche Ansagen kehrt eine User Eingabe alle zehn Sekunden oder ähnliches bin ich schon bei 12 Gigabyte aber immer noch im Rahmen. Wenn sich vorstellt natürlich, Sie haben größtes Unternehmen, wo Sie dann für über 300 aufzeichnen, können Sie ungefähr herausrechnen, dass sie dann nicht ihre Datenbank übernehmen wird sprengen werden, sondern schon das Netz Im Rahmen bleibt trotz der Informationen der Meta Daten, Informationen und der Blogs, die Sie daraus dann generieren können. Wir Fraktion okay,
gut, ja ich glaube das waren jetzt alle fragen, wird eine ganze Menge Fragen jetzt vorliegen, dann bedanke ich mich Ihnen bei Ihnen. Herr buh Rufe, die umfassende Beantwortung auch diese Frage und bedanke mich bei allen teilnehmern heute für ihre teilnahme an diesem Gruppe noch holger winner und würde mich freuen sie der nächste bei einem anderen KuppingerCole Sabina oder natürlich bei einem unsere anderen Events begrüßen, stressen besten Dank und schönen Tag noch!
