Consulting > Full-Session-Logging

Full-Session-Logging

Was versteht man unter Full-Session-Logging?

Unter einem Full-Session-Logging versteht man die komplette Protokollierung einer Sitzung (Session). Dabei werden alle Daten (Nutzdaten), die in der Session kommuniziert werden, ähnlich eines Videos maschinenlesbar aufgezeichnet.

Im Gegensatz zu einem Event- oder Status-Monitoring werden alle Aktionen protokolliert, auch diejenigen, die keine direkten Veränderungen nach sich ziehen.

Durch spezielle Tools kann die Session wiedergeben werden und der komplette Verlauf betrachtet werden.

Ggf. kann es sinnvoll sein, eine Kombination eines Full-Session-Logging des Zugangs und eines Event-und Status-Monitorings (siehe p³FAF) der Zielsysteme zu implementieren.

Die Herausforderung

Remote Access ist ein Standard. In einer modernen IT-Landschaft greifen externe Dienstleister zur Konfiguration und Administration, 3rd Level Support, Fehleranalysen, Updates, Patches oder Troubleshooting auf interne Systeme zu. Insbesondere bei der Nutzung von proprietären Systemen ist eine In-House Betreuung kaum möglich und damit die Notwendigkeit eines Wartungszugangs mit weitreichender Funktionalität gegeben.

Remote Access ist ein Problem. Fremdzugriffe ohne weiteren Zugriffsschutz ermöglichen potentiell das Kopieren vertraulicher Daten und die unabsichtliche oder gar absichtliche Fehlkonfiguration der Systeme. Der Zugang an sich ist oft ein Angriffsziel für Dritte um eine Privilegien-Eskalation vorzubereiten oder Schadsoftware auszuführen.

Damit Dienstleister ihr Shared Service Modell und Rund-um-die-Uhr Betreuung aufrecht erhalten können, werden die Zugangsdaten häufig weitergegeben. Dadurch ist eine Nachvollziehbarkeit des Zugriffs und damit auch die Integrität der Systeme nicht mehr gegeben.

Unsere Lösung p³DeepWatch

Wenn auf das Gewähren von externen Zugängen zu den Systemen nicht verzichtet werden kann, und die systemhafte Einschränkungen der Administrationsrechte den Service Level für die kritischen Anwendungen gefährden, welche Maßnahmen können dann zur Risikoreduktion implementiert werden?

Eine zentrale und kostengünstige Lösung ist p³DeepWatch:

  • Mit dieser Zugangsinfrastruktur können die Zugänge zur kritischen IT gebündelt und damit eine zentrale Steuerung der Einzelzugriffsvergaben eingeführt werden.
  • Für die externe Anbindung wird eine abgesicherte Standardarchitektur verwendet, in der sich problemlos eine 2-Faktor-Authentisierung einsetzen lässt.
  • Mit einer vollständigen Key-Stroke („Full-Session“) Überwachung wird sowohl eine Abschreckung gegen Missbrauch, als auch eine echte Nachvollziehbarkeit der Aktivitäten geschaffen.
  • Durch Protokollierung jedes Zugriffes ist es möglich eine Prozesskontrolle Ihres Change Management Prozesses durchzuführen und damit dessen Einhaltung korrektiv zu forcieren.

Kernelemente des SSH-Gateways p³Deep Watch zum Full-Session Logging:

  • Sitzungsprotokollierung in Session Dateien
  • Protokollierung des Verbindungsaufbaus und-trennung über Syslog
  • Protokollierung des Zugriffsgrundes
  • Protokollierung schließt Editor-Aktivitäten u.a. ein
  • mögliche Anbindung an ein zentrales Change Management System
  • Unterbindung der Zugriffe von technischen Accounts
  • Zugriffsbeschränkung auf ausgewählte Systeme (User bezogen)
  • Replay-Client mit Steuerung der Ablaufgeschwindigkeit