Datenschutz: Empfohlene Konfigurationen

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird die empfohlene Datenschutzimplementierung für NetWitness Suite beschrieben und es werden mehrere zusätzliche Anwendungsbeispiele für den Umgang mit datenschutzrelevanten Daten in NetWitness Suite bereitgestellt. Administratoren können die NetWitness Suite-Hosts und -Services so einrichten, dass die Datenschutzanforderungen für ihre Umgebung erfüllt werden. RSA verfügt über empfohlene Konfigurationen für Datenschutz und Datenaufbewahrung.

Empfohlene Datenschutzkonfiguration

Die empfohlene Konfiguration zum Erzielen des besten analytischen Werts bei aktivierter Datenverschleierung ist die Definition datenschutzrelevanter Metadaten und die Aufbewahrung sowohl der ursprünglichen als auch der verschleierten (Hash-)Werte datenschutzrelevanter Daten auf der Festplatte für Decoders, Log Decoders, Concentrators und Brokers.

Es wird davon ausgegangen, dass nur eine Handvoll Metadaten (d. h. ungefähr 10 Metaschlüssel) als geschützt zu klassifizieren sind. Ein FIPS 140-kompatibler Hashalgorithmus in Kombination mit einem Salt erschwert das Reverse Engineering des Originalwerts. Die empfohlene Lösung ist SHA-256 mit einem mindesten 16 und maximal 60 Zeichen langen Salt.

Hinweis: Die Hashwerte werden standardmäßig im Binärformat gespeichert, da dies schnellere Antwortzeiten ermöglicht und weniger Speicherplatz in der Datenbank erfordert als das Speichern im Zeichenfolgenformat. Die empfohlene Speichermethode ist als Text/Zeichenfolge.

Brokers und Investigation können verschleierte und Originaldaten im Cache enthalten, wenn Datenschutzbeauftragte bei Ermittlungen Investigation verwenden, um den Originalwert zu überprüfen, auf den der verschleierte Wert verweist. Downstreamservices können auch die Verwendung der sensiblen Originalwerte für die Verarbeitung im Speicher beschränken, sodass Daten in diesen Downstreamsystemen nicht dauerhaft auf der Festplatte abgelegt werden. Dies gilt für ESA und Malware Analysis.

Die empfohlene Lösung zum Löschen der Daten, wenn diese nicht mehr benötigt werden, ist die integrierte und automatische Datenaufbewahrungssteuerung, die die Daten bei Erreichen eines bestimmten Schwellenwertes löscht. Sie können diese Methode für die folgenden Komponenten in NetWitness Suite 10.5 verwenden: Decoder, Log Decoder, Log Collector, Archiver, Malware Analysis, Incident Management und Reporting Engine. Sie können Event Stream Analysis manuell für die Unterstützung einer ähnlichen automatischen Datenaufbewahrungssteuerung konfigurieren.

Zum Managen des Cachespeichers löscht der NetWitness-Server den für die Ereignisermittlung verwendeten Cache alle 24 Stunden. Der Broker kann auch so konfiguriert werden, dass der lokal gespeicherte Cache regelmäßig gelöscht wird.

Optionen für die Konfiguration der Datenaufbewahrung

NetWitness Suite stellt alternative Steuerungsmöglichkeiten bereit, die der Administrator anwenden kann, um bei aktivierter Datenverschleierung stärkere Beschränkungen für die Speicherung datenschutzrelevanter Daten durchzusetzen.

Datenspeicher mit aktivierten Datenaufbewahrungsoptionen

In der folgenden Tabelle ist der Speicherort der Daten für die Standardkonfiguration ohne Datenschutz sowie für jede optionale Datenaufbewahrungsalternative aufgeführt. Ein Häkchen zeigt an, dass datenschutzrelevante Daten auf der Komponente gespeichert werden. Ein X bedeutet, dass keine datenschutzrelevanten Daten auf der Komponente gespeichert werden.

                                                                                                                                                   
KomponenteStandardkonfigurationDatenspeicheroptionen
 Originaldaten gespeichertOriginaldaten und Hash gespeichert

(empfohlen)
Nur Hash gespeichertKeine Daten gespeichert (alle Metadaten sind vorübergehend)
Datenaufnahme
Dekodieren checkmark3.png checkmark3.png X X
Log Decoder checkmark3.png checkmark3.png X X
Metaaggregation
Concentrator checkmark3.png checkmark3.png X X
Broker checkmark3.png (nur Cache) checkmark3.png (nur Cache)X X
Echtzeitanalyse  
Investigation checkmark3.png checkmark3.png (nur Cache)X X
Event Stream Analysis checkmark3.png X X X
Malware Analysis checkmark3.png X X X
Antwortserver-Dienst checkmark3.png X X X
Reporting
Reporting Engine checkmark3.png checkmark3.png (Optional)X X
Langfristige Analysen
Archiver checkmark3.png (Optional) checkmark3.png (Optional)X X
Warehouse checkmark3.png (Optional) checkmark3.png (Optional)X X
Inhalt
Live----
Betrugsanalyse     
RSA Fraud and Risk Intelligence Suite----
Endpunktschutz

NetWitness Endpoint

----
Hinweis:
„Nur Cache“ bedeutet, dass sensible Daten im Cache des Brokers oder des NetWitness-Server-Servers gespeichert werden. Einzelheiten zur automatisierten und manuellen Löschung des Caches finden Sie unter Konfigurieren der Datenaufbewahrung.

„Optional“ bedeutet, dass sensible Daten gespeichert werden, dies jedoch durch optionale Konfigurationen eingeschränkt werden kann. Beispiel: Um zu beschränken, wo sensible Daten gespeichert werden, aktivieren Sie nicht den DPO-Zugriff für Reporting und aggregieren Sie die geschützten Originaldaten nicht in den Archiver.

Option 1: Keine Originaldaten auf Datenträger gespeichert, nur Hash gespeichert

Administratoren können die dauerhafte Aufbewahrung sensibler Daten auf dem Datenträger eliminieren und nur verschleierte Daten speichern, wenn die Gefährdung zu groß ist. In diesem Szenario werden Metadaten, die während des Parsings auf den Decoders und Log Decoders erzeugt wurden, nur im Arbeitsspeicher verwendet und nicht auf die Festplatte geschrieben. Administratoren können einzelne Metaschlüssel auf einem Decoder oder Log Decoder als vorübergehend konfigurieren, um sicherzustellen, dass sensible Metadaten nicht auf die Festplatte geschrieben werden. Downstreamservices erkennen keine Originalwerte und müssen verschleierte Werte verwenden, um Ermittlungen und Analysen durchzuführen.

Zur Konfiguration dieses Datenschutzschemas muss Datenverschleierung mit konfigurierten Hash-Werten aktiviert sein. Sie können einzelne Metaschlüssel auf einem Decoder oder Log Decoder als vorübergehend konfigurieren, um sicherzustellen, dass Originalwerte nicht auf die Festplatte geschrieben werden.

  • Die als sensibel identifizierten Originalwerte werden während des Parsings auf dem Decoder und Log Decoder aus den Rohdaten extrahiert und sind während des Parsings für das System zugänglich (Parser, Regeln, Feeds).
  • Der Decoder speichert nicht die Originalwerte für Metaschlüssel, die als sensibel identifiziert wurden, sondern nur den Hash von Originalwerten zusammen mit anderen nicht sensiblen Metadaten, die mit dem Ereignis verknüpft sind.

Eine Nebenwirkung dieser Optionen ist ein gewisser Verlust an analytischen Fähigkeiten, aber Sie können diese so konfigurieren, dass sie den Anforderungen Ihrer Umgebung entsprechen.

  • Indem Sie alle sensiblen Daten als vorübergehend konfigurieren, werden sensible Werte nicht dauerhaft auf dem Datenträger gespeichert und die analytischen Fähigkeiten bei Verwendung der Originalwerte sind nur zum Zeitpunkt des Parsings verfügbar (Parser, Regeln, Feeds).
  • Event Stream Analysis (ESA)- und Malware Analysis-Systeme können sich nur auf die verschleierten Metawerte verlassen, wenn sie ihre Korrelation bzw. ihre Bewertung durchführen.
  • Reporting Engine ist darauf beschränkt, Berichte mithilfe der nicht sensiblen und verschleierten Daten zu erstellen.
  • Der Datenschutzbeauftragte kann den Originalwert nicht sehen, aber er kann den konfigurierten Hash und Salt verwenden, um festzulegen, ob ein verschleierter Wert einen bestimmten bekannten Originalwert repräsentiert.

Option 2: Keine Originalwerte oder verschleierten Werte gespeichert: nicht empfohlen

Administratoren können vollständig verhindern, dass der Originalwert dauerhaft auf dem Datenträger gespeichert wird, wenn die Gefährdung zu groß ist. Wie in Option 1 werden in diesem Szenario Metadaten, die während des Parsings auf den Decoders und Log Decoders erzeugt wurden, nur im Arbeitsspeicher verwendet und nicht auf die Festplatte geschrieben. Administratoren können einzelne Metaschlüssel auf einem Decoder oder Log Decoder als vorübergehend konfigurieren, um sicherzustellen, dass sensible Metadaten nicht auf die Festplatte geschrieben werden. Downstreamservices sehen keine Originalwerte und haben keine verschleierten Werte, um Ermittlungen und Analysen durchzuführen.

Konfigurieren Sie für dieses Datenschutzschema einzelne Metaschlüssel auf einem Decoder oder Log Decoder als vorübergehend, um sicherzustellen, dass Originalwerte nicht auf den Datenträger geschrieben werden.

  • Die als sensibel identifizierten Originalwerte werden während des Parsings auf dem Decoder und Log Decoder aus den Rohdaten extrahiert und sind während des Parsings für das System zugänglich (Parser, Regeln, Feeds).
  • Der Decoder speichert nicht die Originalwerte für Metaschlüssel, die als sensibel identifiziert wurden, sondern nur die nicht sensiblen Metadaten, die mit dem Ereignis verknüpft sind.

Eine Nebenwirkung dieser Optionen ist ein signifikanter Verlust an analytischen Fähigkeiten, aber Sie können diese so konfigurieren, dass sie den Anforderungen Ihrer Umgebung entsprechen.

  • Indem Sie alle sensiblen Daten als vorübergehend konfigurieren, werden sensible Werte nicht dauerhaft auf dem Datenträger gespeichert und die analytischen Fähigkeiten bei Verwendung der Originalwerte sind nur zum Zeitpunkt des Parsings verfügbar (Parser, Regeln, Feeds). Siehe Konfigurieren der Datenaufbewahrung.
  • Alle Downstreamkomponenten haben keine Einsicht in die Originalwerte, unabhängig davon, ob sie verschleiert sind oder nicht.
  • Der Datenschutzbeauftragte hat keine Einsicht in den Originalwert, ob verschleiert oder nicht.

Optionale Optionen zum Überschreiben von Daten

Zum Überschreiben von Daten stehen verschiedene Optionen zur Verfügung. Sie sollten jede einzelne davon gründlich verstehen, bevor Sie das Überschreiben von Daten implementieren.

Option 1: Festplattenplatz für kontinuierliches Überschreiben älterer Daten beschränken

Wenn die gewünschte Frist zur Aufbewahrung der Daten und damit auch der für diese Daten erforderliche Speicherplatz bekannt sind, kann die Größe der zugrundeliegenden Hardware oder der Partition auf diese Größe beschränkt werden. Indem der Festplattenspeicher oder die Partitionsgröße reduziert wird, wird der verfügbare freie Speicherplatz, der gefüllt werden muss, bevor er durch neue Daten überschrieben wird, ebenfalls beschränkt. Die neu aufgenommenen Daten überschreiben kontinuierlich die älteren Daten. Jede der Lösungen muss zur Bereitstellungszeit erfolgen, um wirksam zu sein.

Nebenwirkungen dieser Option sind:

  • Die Entnahme einiger Festplatten beschränkt die Anzahl der für die Verteilung der I/O verfügbaren Ressourcen, was zu Performanceeinbußen führt.
  • Die kleinere Partitionsgröße kann zu Performanceeinbußen führen, würde aber die Auswirkungen auf die Performance durch die Entnahme von Festplatten mildern.

Option 2: Tiered Storage zum Überschreiben von Daten nach Plan verwenden

Wenn das Überschreiben von Daten automatisch nach Plan erforderlich ist, können Sie die Decoders und Concentrators konfigurieren, um Tiered Storage zu verwenden. Die Tiered-Storage-Konfiguration bietet einen Mechanismus für das Aufrufen eines Skripts, nachdem eine Datenbankdatei aus der Anwendung gelöscht wurde, aber bevor sie aus dem Dateisystem gelöscht wurde. Anstatt die Datei in den zweiten Tier, oder Cold-Speicher, zu verschieben, (die intendierte Funktion in einem Tiered-Storage-Anwendungsbeispiel), kann das Skript nötigenfalls ein Dienstprogramm wie shred von CentOS verwenden, um die Datei zu überschreiben. Dieses Tool ist weniger effektiv, wenn die Datenbank in einem Protokollierungsdateisystem wie XFS, in dem sich die Core-Datenbank befindet, und auf einem logischen RAID-Laufwerk gespeichert wird, mit dem z. B. die Core-Hosts eine Verbindung herstellen.

Die meisten anderen NetWitness Suite-Komponenten haben diese Option nicht. Ihre Daten werden in einer Datenbank gespeichert, die den Tiered-Storage-Mechanismus nicht unterstützt. Die einzige andere Komponente, die diese Überschreibungsmethode verwenden könnte, ist die Reporting Engine, da sie Berichte und Warnmeldungen als einzelne Dateien speichert. Allerdings werden die Reporting Engine-Diagramme in einer Datenbank gespeichert, daher wären sie gegenüber dieser Technik immun.

Option 3: Daten bereinigen mithilfe optionaler Bearbeitung von Zeichenfolgen und Mustern

Datenbereinigung bietet einen Mechanismus für das strategische Überschreiben einer bestimmten Teilmenge von Daten vom System, falls sensible Daten entweder absichtlich oder zufällig dauerhaft abgelegt wurden. Mit dem NetWitness Suite wipe-Dienstprogramm können die Daten in den Meta- und Paketdatenbanken für Core-Services, die RAW-Pakete oder Protokolle für bestehende Sitzungen enthalten können, basierend auf einer Sitzungskennung mit eindeutigen Mustern überschrieben werden. Alle Core-Komponenten haben die Möglichkeit, eine Teilmenge von Daten zu überschreiben, die mithilfe einer Abfragezeichenfolge, einschließlich regex-Mustern, gefunden wurde. Die Sitzungskennungen, die sich aus der Abfrage ergeben, werden in das NetWitness Suite-Dienstprogramm „wipe“ eingespeist.

Hinweis: Diese Option ist nicht verfügbar, wenn die Daten in der Core-Datenbank komprimiert wurden (wie es typischerweise in Archiver-Bereitstellungen geschieht).

In den meisten NetWitness Suite-Komponenten bietet die verwendete Datenbank keinen integrierten Redaktions- oder sicheren Löschmechanismus. Die Malware Analysis-Komponente kann das Datenobjekt in der Datenbank mit dem Wert private überschreiben, anstatt es während des Prozesses zum Management der Datenaufbewahrung zu löschen, aber dies gilt nicht als sicherer Löschmechanismus.

Achtung: Die Anwendung dieser Methode für eine große Anzahl von Sitzungen hat zwei Nachteile: Sie kann sehr viel Zeit kosten und sich auf die Performance auswirken.

Einschränkungen für das Überschreiben von Daten

Für die als Option 2 und 3 beschriebenen Überschreibungstechniken gelten gewisse Einschränkungen. Zum Überschreiben der Daten in den Festplattensektoren werden bei den obigen Optionen für das Überschreiben und dem als alternative Methode angegebenen Befehlszeilentool für das Überschreiben (shred, eine Funktion von CentOS) bestimmte Annahmen zum Festplattenlayout vorausgesetzt. NetWitness Suite-Hosts verwenden aus Gründen der Performance und Zuverlässigkeit SSD-Laufwerke und RAID-Konfigurationen und diese behindern die Funktion der Überschreibungstechniken. Wenn Überschreibungstechniken SSD-Laufwerke und RAID-Konfigurationen ändern, um die Sicherheit zu erhöhen, gehen damit unvermeidlicherweise Performanceeinbußen einher, die sich in den Aufnahmeraten, Abfragegeschwindigkeiten und möglicherweise auch anderen Bereichen bemerkbar machen. Es wird empfohlen, die für das Überschreiben verfügbaren Befehlszeilentools nur in speziellen Fällen zu verwenden, wenn es erforderlich ist, bestimmte Daten zu entfernen. Die Tools eignen sich wegen der potentiellen Performanceeinbußen nicht zur Verwendung in einer kontinuierlichen Echtzeitmethode.

You are here
Table of Contents > Empfohlene Konfigurationen

Attachments

    Outcomes