BalaBit IT Security unterstützt das Common Event Expression Board bei der Entwicklung von Log-Standards

(PresseBox) (München, ) BalaBit IT Security, ein führender Anbieter von Lösungen für die Überwachung von Zugriffen privilegierter IT-Nutzer, Logging-Lösungen und Gateways, hat die ersten Resultate der Zusammenarbeit mit dem Common Event Expression Board (CEE) bekannt gegeben. Das CEE(TM) Board ist ein Beratungsgremium, das zusammen mit Herstellern von Logging-Tools und Betriebssystemen sowie der amerikanischen Regierung CEE-Log-Standards erarbeitet. BalaBit unterstützt diese Aktivitäten mit seiner Pattern-Datenbank (patternDB) und der syslog-ng-Nutzergruppe, der weltweit 650.000 Unternehmen angehören.

Die Standardisierung im Bereich Logging unterstützt Systemadministratoren dabei, IT-Systeme zu verwalten und die Fortführung der Geschäftstätigkeit von Unternehmen sicherzustellen. Außerdem hilft die Log-Standardisierung, aussagekräftige Berichte für die Geschäftsführung und für Auditoren zu erstellen. Derzeit ist Version 0.6 der CEE-Log-Standardspezifikationen verfügbar. Sie enthält ein aktuelles Verzeichnis (Dictionary) und ein Klassifikationsschema, zudem Empfehlungen für das Erstellen von Logs, eine Syntax und Informationen über Komponenten für die Übermittlung von Log-Informationen.

BalaBit spielte beim Erarbeiten der Common-Log-Transport-Spezifikation eine aktive Rolle, um den Austausch von Event-Log-Informationen zwischen unterschiedlichen Systemen mithilfe des syslog-Protokolls zu vereinfachen. Zudem beteiligt sich BalaBit aktiv an den Diskussionen über ein Dictionary und eine Taxonomie. Diese haben das Ziel, Standardfelder und Tags zu definieren, die in Event-Records Verwendung finden.

BalaBit IT Security hat auf Basis seiner zehnjährigen Erfahrung im Bereich Logging eine Engine für syslog-ng entwickelt, die bestimmte Muster in Logs erkennt. Die Engine nutzt eine Pattern-Datenbank (patternDB), die Log-Informationen in Events übersetzt und diesen Ereignissen standardisierte Felder und Tags zuordnet. BalaBit stellte die patternDB der Open-Source-Gemeinde zur Verfügung, weil weltweit mehr als 650.000 Unternehmen und Organisationen die Open-Source-Variante von syslog-ng einsetzen. patternDB und CEE verfolgen dieselben Ziele. Daher erhielt BalaBit im November 2010 eine Einladung, um als CEE- Board-Member zusammen mit anderen Herstellern die Arbeiten an Standards im Bereich Logging voranzutreiben.

Standardisierung von Logging

Das CEE-Board ist ein Beratungsgremium, das zusammen mit den Anbietern von Logging-Tools und Betriebssystemen sowie mithilfe der US-Regierung maßgeblich zur Weiterentwicklung des CEE-Log-Standards beiträgt. Das Board arbeitet eng mit dem CEE-Moderator (derzeit die Firma MITRE) und der CEE-Community zusammen. Eine der Aufgaben des Boards besteht darin, den Tätigkeitsbereich und die Strategie der Common-Event-Expression-Initiative festzulegen und die Akzeptanz von CEE zu fördern.

"Wir sind sehr stolz darauf, dass unser Unternehmen eingeladen wurde, als Mitglied des CEE-Boards tätig zu werden. Denn die Mitglieder dieses Gremiums werden auf Basis ihrer technischen Expertise und ihrer Rolle als Förderer von Entwicklungen wie der Standardisierung auf dem Gebiet Logging ausgewählt", betont Balász Scheidler, Chief Executive Officer von BalaBit IT Security. "Dank der patternDB und der syslog-ng-User-Group ist BalaBit in der Lage, eine aktive Rolle bei der Schaffung von Standards zu spielen. CEE ist eine Initiative, die Anbieter und Nutzer von Logging-Lösungen, etwa Firmen aus dem Finanz- und Telekommunikationssektor, dabei hilft, Logging-Prozesse zu optimieren."

Scheidler geht davon aus, dass der Bedarf an Logging-Lösungen in Unternehmen stark zunehmen wird, nicht nur, um die IT-Sicherheit zu verbessern, sondern auch, um die Fortführung der Geschäftstätigkeit sicherzustellen, Stichwort Business Continuity. "Logging ist eine der Säulen von Compliance", so Scheidler weiter. "Zudem ist es die Grundlage von Standards wie ISO 27001, PCI-DSS, SOX, HIPAA und COBIT sowie vieler weiterer Vorgaben, auch wenn das auf den ersten Blick nicht zu erkennen ist."

CEE(TM) und BalaBits syslog-ng-Lösung

CEE ist eine herstellerneutrale Initiative, die es sich zum Ziel gesetzt hat, Normen für Log-Events zu erarbeiten. BalaBit, als Mitglied des CEE-Boards, bringt seine Erfahrungen mit dem syslog-Protokoll und patternDB ein, um die CEE-Standards zu erweitern.

BalaBits syslog-ng-Logging-Lösung gleicht Log-Lines mit einer Datenbank von entsprechenden Meldungsmustern ab. Dadurch ist syslog-ng in der Lage, zusätzliche Informationen aus Log-Messages zu extrahieren und diese um Meta-Daten zu ergänzen. Die Ergebnisse lassen sich in einer Datei oder Datenbank ablegen und für das Erstellen von Berichten und Analysen heranziehen.

syslog-ng dient gewissermaßen als Übersetzer, der Log-Zeilen in Ereignisse überführt. Indem syslog-ng Informationen aus den Log-Dateien extrahiert, lassen sich CEE-Tags und -Felder erstellen. Die Grundlage dafür ist die patternDB-Engine. Sie ermittelt beispielsweise nach einem fehlgeschlagenen Log-in-Versuch die dazu gehörige IP-Adresse, den Namen des Users, die Bezeichnung der Anwendung sowie Datum und Zeit. Diesen Informationen ordnet syslog-ng anschließend die Tags wie "login" und "failure" zu.

Über Common Event Expression

Common Event Expression (CEE(TM)) erarbeitet Standards, mit denen Events auf Rechnern beschrieben, erfasst (Logging) und ausgetauscht werden. CEE verwendet eine einheitliche Syntax und verhindert dadurch Fehlinterpretationen bei Aufgaben im Zusammenhang mit Logs und Events. Dazu zählen das Sammeln und Korrelieren von Log-Daten, das unternehmensweite Log-Management, Audits und der Umgang mit Ereignissen (Events). Diese Aufgaben erforderten bislang den Einsatz von kostspieligen Spezialisten und komplexen Lösungen.
Weitere Informationen über CEE: http://cee.mitre.org

Über MITRE

Die MITRE Corporation wurde 1958 gegründet. Die Non-Profit-Organisation übernimmt Aufgaben, die von öffentlichem Interesse sind. Als nationales Ressourcenzentrum der USA verfügt MITRE über Fachwissen auf Gebieten wie Maschinenbau, Informationstechnologie, Betriebskonzepten und Modernisierung von Unternehmen. Für MITRE sind mehr als 7.000 Wissenschaftler, Ingenieure und Support-Fachleute tätig; 65 Prozent von ihnen verfügen über einen Master- oder Doktortitel. Zusammen mit Regierungsstellen, Unternehmen und Forschungseinrichtungen arbeitet MITRE daran, IT-Sicherheit messbar zu machen. Dazu spezifiziert die Organisation grundlegende Sicherheitsdaten, erarbeitet Begriffskataloge, um sicherheitsrelevante Informationen in einer einheitlichen Form zu kommunizieren, und fördert den Austausch von Informationen mit Usern.

Andere Aktivitäten von MITRE, darunter Common Event Expression, verfolgen vergleichbare Zielsetzungen. Diese Initiativen helfen dabei, IT-Sicherheit quantifizierbar zu machen, indem sie definieren, was gemessen werden soll und Regeln erarbeiten, wie diese Messresultate und die entsprechenden Begriffsdefinitionen kommuniziert werden.
Weitere Informationen unter www.mitre.org.

Kontakt

BalaBit IT Security Deutschland GmbH
Stefan-George-Ring 29
D-81929 München
Dietmar Wilde
BalaBit IT Security
Christiane Schlayer
punktgenau PR
Social Media