200701i Controlware Security Incident Management SIM

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  11-12 2011
E-Paper  9-10 2011
E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Security Incident Management (SIM)

Lenken Sie Ihre Kräfte auf das Wesentliche

Mit SIM-Tools lassen sich Echtzeit Anomalien, Datenmissbrauch und Angriffe hervorragend aufdecken. Die IT-Spezialisten können sich auf die wirklich kritischen Vorfälle konzentrieren, anstatt sich mit Millionen von Events pro Woche zu beschäftigen.

 

Ein Großteil der Firmen hat ihre Security-Maßnahmen bereits in den letzen Jahren sowohl auf Managementebene als auch auf operativer Ebene deutlich verbessert. Viele COOs und CFOs sind verunsichert, ob weitere Investitionen und Verbesserungen der Security Policies in den Unternehmen wirklich sinnvoll sind. Oftmals fehlen aussagekräftige Gesamtbewertungen und Einschätzungen der kritischen Security-Vorfälle im Alltagsbetrieb, die sich massiv auf die Vertraulichkeit und Verfügbarkeit der Geschäftsprozesse auswirken könnten.

Die Ursache ist in der Regel in einem unzureichenden oder gar nicht vorhandenen IT-Risk-Management zu suchen. Statusmeldungen der Einzelsysteme, die für eine Gesamtbewertung benötigt werden, liegen häufig nicht oder nicht ausreichend aktuell vor. Die Implementierung einer effizienten Security-Leitstelle scheiterte bisher an der gigantischen Anzahl von Security Events, die eine sinnvolle Auswertung nahezu unmöglich macht.

Neue gesetzliche Vorgaben fordern jedoch die Implementierung von Security-Warnsystemen, sobald wichtige Geschäftsprozesse beziehungsweise die darunter liegenden IT-Systeme angegriffen werden und nicht mehr nach den Vorgaben (Compliance) arbeiten. Erschwerend kommt hinzu, dass ohne ein zentrales Security Monitoring auch kein vernünftiges Incident Handling möglich ist, wenn der Ernstfall eintritt. Nur durch die zentrale Speicherung aller Security-Logdaten und der Echtzeitauswertung lässt sich ein Gesamtbild über die aktuelle Sicherheitslage in den Unternehmen erstellen. Zusätzlich ermöglicht SIM im Nachgang die genaue Auswertung von Security-Verstößen und dient damit auch dem Nachweis bei der innerbetrieblichen oder strafrechtlichen Verfolgung.

Vorteile von Security Incident Management.

Die heute auf dem Markt befindlichen Security Incident Management-Systeme bieten signifikante Leistungssteigerungen sowie neue Algorithmen für die Log-Korrelation. Unweigerlich stellt sich hier die Frage: Wie ist die unglaubliche Daten-Reduktion möglich, ohne dass gleichzeitig verstärkt Fehlalarme entstehen beziehungsweise wichtige Events im Datenstrom übersehen werden? Bedingt wird dies durch die Normierung der Daten vor der Speicherung und dem damit stark vereinfachten SIM-Regelwerk. Der Administrator kann komplexe Vergleiche und Filterungen vornehmen und benötigt nur eine simple Regelsprache, um die Ergebnisse auf seine IT-Umgebung hin zu optimieren. Ein weiterer Erfolgsfaktor stellt das neue Datenbankkonzept dar, das die Verwaltung und Bearbeitung von Millionen Events pro Tag ermöglicht und somit beispielsweise auch die Erkennung von Angriffsversuchen über mehrere Tage hinweg garantiert.

Incident Management ist in vielen Fällen einer der wichtigsten Grundbausteine für ein effektives Risiko-Management. SIM bietet die notwendige Rückkopplung aus dem Betrieb in das IT-/Security-Management  und liefert Informationen darüber, ob die existierende Security Policy »wasserdicht« ist oder ob Korrekturen erforderlich sind.

Bereits für Mittelstandskunden mit mehr als 500 Usern handelt es sich bei SIM-Tools heute – auch aufgrund der gesetzlichen Vorgaben zur Vermeidung und Reduzierung von Geschäftsrisiken – um eine notwendige Investition. Beispielsweise erzeugt ein Angriffsversuch auf einen Webserver verschiedene Log-Meldungen an der Firewall, zeitverzögert am IDS-System und wenig später wird eine ungewöhnliche Aktion auf dem Webserver registriert. Jedes dieser Events für sich betrachtet ist eher unbedeutend oder unauffällig, aber aus der Summe ergeben sich deutliche Anzeichen auf einen erfolgreichen Hacker-Angriff.

Hersteller und Lösungsansätze .

Eine Konsolidierung in dem stark wachsenden SIM-Markt hat bereits begonnen und wird sich nächstes Jahr weiter fortsetzen. Aufgrund der unübersichtlichen Situation wünschen sich viele Security-Verantwortliche und IT-Leiter Unterstützung bei der Bewertung, Kostenabschätzung und Auswahl der passenden SIM-Lösung. Controlware bietet hier entsprechende SIM-Workshops an und ist durch die herstellerneutrale Ausrichtung in der Lage, gemeinsam mit dem Kunden die optimale Lösung herauszuarbeiten.

Viele Security-Verantwortliche fordern nicht nur eine hochwertige Korrelation und weitreichende Filterfunktionen, sondern achten verstärkt auf die Kosten für die Implementierung und den späteren Betrieb der SIM-Lösung. Komplettlösungen mit integrierter Datenbank in Form einer fertigen HW-Appliance decken diese Anforderungen hervorragend ab. Interessante Lösungsansätze sind etwa bei den Firmen Cisco, Symantec oder Network Intelligence zu finden.

Die Leistungsfähigkeit der heutigen Appliance-Lösungen lassen sich beispielhaft anhand der Lösung der Firma Network Intelligence darstellen: Hier sind alle Module wie Connector, Regelwerk, Datenbank, GUI-Oberfläche und natürlich das gehärtete Operating System in einer Hardware zusammengefasst. Damit eignet sich diese Lösung auch ideal für den Einsatz in Außenstellen, wobei die Steuerung und die Auswertung weiterhin zentral erfolgen können. Gute SIM-Lösungen liefern die notwendigen Schnittstellen für alle marktüblichen IT-Syteme bereits mit. Die Appliance von Network Intelligence bietet beispielsweise die passenden Schnittstellen für über 50 führende IT-Hersteller an. Auf Wunsch ist es möglich, auch exotische Systeme über einen Anpassungsservice einzubinden.

Bei der Produkt-Evaluierung sollte auf Skalierbarkeit und Performance besonderes Augenmerk gelegt werden. Wie verhält sich mein zukünftiges SIM-System, sobald weitere Log-Quellen angebunden werden oder die Belastung (Events pro Sekunde) und das gespeicherte Datenvolumen stark ansteigen? Hier sind SIM-Hersteller von Vorteil, die eine abgestufte Modellpalette anbieten. Sehr kundenfreundlich ist daher der Ansatz, bei Bedarf über einen kostenpflichtigen Lizenz-Key zu einem späteren Zeitpunkt weitere Leistungsreserven und Funktionen freizuschalten. Network Intelligence bietet Appliances von 500 EPS bis zu 300.000 EPS an, die bis zu 3 Terabyte Datenvolumen speichern.

Parallel hat sich die SIM-Lösung von Cisco als kostengünstiger und einfach zu implementierender Ansatz etabliert, wenn der Schwerpunkt darin liegt, im Netzwerkumfeld eine Event-Korrelation aufzubauen. Die neue SIM-Lösung von Symantec ist interessant, um weitere Module für Vulnerabiltiy- und Thread-Analyse einzubinden.

Resümee.

Um am Ende die passende Secuity Incident Management-Lösung herauszufiltern, sollte darauf geachtet werden, sowohl ausreichende Zeit für die Definition der Projektziele als auch für die Produktevaluierung einzuplanen. Die Security-Spezialisten von Controlware stehen hier als Partner zur Seite und unterstützen mit umfangreicher Projekterfahrung und Know-how.

Hans-Peter Dietrich

___________________________________________________________

Hans-Peter Dietrich, Security Solution Manager, Controlware

 

 

 

Controlware SIM Workshop

·         Aufnahme IST-Zustand beim Kunden

·         Darstellung der Arbeitsweise und Vorteile von SIM

·         Erfüllung von gesetzlichen Vorgaben

·         Vorstellung möglicher Lösungsansätze

·         Kosten für Implementierung und Betrieb

·         Mögliche Integration in bestehende Management-Systeme

·         Preise und Termin auf Anfrage

 

Wichtige Fragen für die SIM-Einführung

·         Wie erfolgt zur Zeit die Auswertung von Sec-Events?

·         Aufgrund welcher Vorgaben soll SIM eingeführt werden?

·         Welche Ziele und Anforderungen werden an SIM gestellt?

·         Welche und wie viele Devices sollen zentral ausgewertet werden?

·         Welcher Output ist für welche Abteilung notwendig?

·         Wie viele Events/Tag sind zu verarbeiten?

·         Wie lange müssen die Events in welcher Form gespeichert werden?

·         Ist ein verteiltes oder zentrales SIM-System erforderlich?

·         Ist eher eine Appliance- oder eine Software-Lösung gewünscht?

 

 

Gründe für eine zeitnahe Implementierung

·         Ohne SIM Tool ist es nahezu unmöglich,  wichtige Sec-Events im Unternehmen aufzudecken.

·         Bündelung der Ressourcen auf kritische Events dank Filterung und Korrelierung

·         SIM-Tools ermöglichen nach Security-Verstößen eine schnellere Gegenreaktion.

·         Positiver Return on Investment, da für jeden Anspruch und Firmengröße eine passende Lösung verfügbar ist. Vorraussetzung ist die realistische Betrachtung potenzieller Risiken und Schäden durch Sec-Angriffe.

·         Gesamtaufwand wird reduziert, da die Aufgaben von SIM-Tools wie Device Monitoring, Auswertung von Security Events, Erstellung von Reports und Incident Handling zentralisieren.

·         Risk Management kann optimiert werden, wenn eine Priorisierung der Assets, Vulnerabilities der Systeme und allgemeine Thread-Informationen einfließen.

·         Integrierte Reports stellen für CEOs Aussagen über langfristige Security Entwicklungen zusammen.

·         SIM Tools sind der ideale Grundbaustein für die Einführung einer ganzheitlichen Risiko-Betrachtung.

 

 

 

 

 

 

Controlware GmbH – State-of-the-art Technology for Worldwide Telecommunications

Als unabhängiger deutscher Systemintegrator plant und realisiert die Controlware GmbH seit der Gründung im Jahr 1980 komplette ITK-Lösungen. Das Portfolio reicht dabei von Beratung und Planung über Installation und Wartung bis hin zum Betrieb von Kundennetzen durch das firmeneigene Network Operating Center.

Themenschwerpunkte bilden „Kommunikationslösungen“, „Informationssicherheit“, „IT-Management-Lösungen“ und „Storage Networking“. Mit dem Tochterunternehmen Networkers AG erweitert Controlware das Lösungs- und Dienstleistungsspektrum in den Bereichen IT-Security sowie Application Delivery. Darüber hinaus hat sich Controlware weltweit einen Namen als Hersteller von Backup- (u. a. über ISDN und Wireless), Videoüberwachungs-, Multimedia- und Fiber Optic-Produkten gemacht.

Mehr als 390 Mitarbeiter an zwölf Standorten in Deutschland sichern ein flächendeckendes Vertriebs- und Service-Netz, das international in Asien, Europa und Nordamerika vervollständigt wird. Langfristige Partnerschaften bestehen nicht nur mit den führenden IT/TK-Herstellern, sondern auch mit innovativen kleineren Technologiespezialisten.

Service/Kundendienst

Das Dienstleistungsportfolio von Controlware besteht aus vier ineinander greifenden Dienstleistungsbausteinen:

- Consulting

- Project Services

- Operating Services

- Care Services

Alle Dienstleistungsbausteine können einzeln in Anspruch genommen werden oder sind je nach Anforderung miteinander kombinierbar. Das umfangreiche und modulare Service-Programm deckt sowohl Einzellösungen als auch umfangreiche Großprojekte in allen Branchen ab.

www.controlware.de

 

 

Folgen Sie »manage it« auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH