Software für die Sicherheitsanalyse anhand von sechs Kriterien richtig auswählen

Bei der Wahl des richtigen Tools sind mitunter Modularität, Forensik-Funktionen sowie Monitoring und Visualisierung wichtig.

Software für die Sicherheitsanalyse untersucht Log- und Ereignisdaten von Applikationen, Endpunkt-Kontrollmechanismen und Netzwerkverteidigungen. Das hilft Unternehmen bei der Verbesserung der allgemeinen IT-Sicherheit. Firmen verstehen Angriffsmethoden und Schwachstellen in Systemen besser. So lassen sich Angriffe abwehren, bevor diese stattfinden. Weiterhin kann man sehen, welche Systeme während eines Angriffs betroffen sind.

Die Auswahl bei Software für Sicherheitsanalyse ist umfangreich. Aus diesem Grund kann der Entscheidungsprozess für Unternehmen verwirrend sein. Verschiedene Produkte werben zum Beispiel mit unterschiedlichen Schlüsselfunktionen. Wir sprechen hier unter anderem über Einsatzmöglichkeiten, Reichweite bei der Analyse und die Kosten. Bevor Sie sich für ein Programm für Sicherheitsanalyse entscheiden, müssen Sie zunächst die Prioritäten des Unternehmens kennen.

Selbstverständlich sind die Kosten für jedes Unternehmen ein wichtiger Punkt. Andere Gesichtspunkte unterscheiden sich von Firma zu Firma. Dazu gehören:

  • Einsatz von Software für Sicherheitsanalysen auf virtuellen Maschinen oder auf dedizierten Appliances.
  • Man erwartet, dass der Netzwerk-Traffic in der absehbaren Zukunft rapide ansteigt.
  • Potenzielle Schwachstellen bei den Compliance-Praktiken.
  • Die Möglichkeit, Ursachenanalyse und detaillierte forensische Analysen durchführen zu können, sollte es zu einer Datensicherheitsverletzung gekommen sein.

Bewerten Unternehmen ihre Prioritäten hinsichtlich einer Software für Sicherheitsanalyse, dann sollte man diverse Kriterien bei der Evaluierung im Hinterkopf behalten. Dieser Artikel umreißt die nachfolgenden Funktionen, damit Sie die Leistungen der verschiedenen Produkte einstufen können:

  • Bereitstellungsmodelle
  • Modularität
  • Umfang der Analyse (Arten an Bedrohungen)
  • Tiefe bei der Analyse (Netzwerk-Layer)
  • Unterstützung für Forensik
  • Monitoring, Reporting und Visualisierung

Beachten Sie die relative Wichtigkeit der einzelnen Funktionen. Fühlt sich das Security-Team eines Unternehmens von Daten überwältigt, dann muss es spezielles Augenmerk auf Monitoring, Reporting, Visualisierung und auch Skalierbarkeit legen. Das ausgewählte System muss möglicherweise große Mengen an Daten (Skalierbarkeit) verarbeiten und so aufbereiten können, dass Schlüsselinformationen bei den Security-Profis ankommen (Monitoring, Reporting und Visualisierung). Hat eine Firma allerdings schon angemessene Mittel gegen Bedrohungen im Einsatz, legt sie vielleicht mehr Wert auf Modularität. Das reduziert die Kosten, indem redundante Leistungsmerkmale innerhalb einer Security-Infrastruktur vermieden werden.

1. Bereitstellung von Software für die Sicherheitsanalyse

Man setzt Tools zur Sicherheitsanalyse als Appliances oder virtuelle Maschinen ein. Möglich ist auch eine Installation als Software auf dedizierten Servern.

Appliances kombinieren Hardware und Software in einem einzigen Produkt. Das erlaubt es System-Administratoren, das Gerät in ein Netzwerk zu hängen und die notwendige Konfiguration vorzunehmen. Im Anschluss können sie sofort anfangen, Daten zu sammeln. 

Appliances minimieren den Konfigurationsaufwand für die Käufer. Kleinere Firmen oder IT-Abteilungen mit limitierten Ressourcen sind womöglich sehr an einer Appliance interessiert. Die Anbieter können weiterhin Fallstudien und Best Practices beisteuern. Somit ist das System vielleicht vom Auspacken bis zum Einsatz noch schneller aktiviert und während der Installation gehen möglicherweise weniger Anrufe beim Support ein.

Eine Implementierung mithilfe virtueller Maschinen erlaubt es Kunden, existierende Kapazitäten in einer virtuellen Umgebung zu nutzen. Das ist möglicherweise eine gute Option für kleine und mittelständische Unternehmen oder auch Zweigstellen. Sollte das Volumen an Daten wachsen, können System-Administratoren zusätzliche Ressourcen bezüglich CPU und Arbeitsspeicher zuweisen, damit die größere Last aufgefangen wird. Eine Implementierung via virtuelle Maschine bedeutet mehr administrativer Overhead als bei einer Appliance. Allerdings sollten Sie das gegen die Vorteile aufwiegen, von denen Sie durch die Benutzung existierender Hardware profitieren.

Die Option mit der installierten Software bietet den Administratoren die größte Flexibilität beim Einsatz des Sicherheitsanalyse-Tools. Applikationen lassen sich auf dedizierte Server oder innerhalb Umgebungen mit virtuellen Maschinen installieren. Weiterhin können Sie Container nutzen, um eine Konfiguration zu standardisieren, die Sie möglicherweise in mehreren Zweigstellen einsetzen möchten. Container können einige der Vorteile von virtualisierten Umgebungen anbieten, allerdings benötigen Sie an dieser Stelle keinen Hypervisor. Auf diese Weise reduzieren Sie eventuell Overhead beim Management der Systeme.

2. Modularität

Software für Sicherheitsanalyse umfasst möglicherweise eine große Bandbreite an Services. Dazu gehören das Analysieren von niedrig angesiedeltem Netzwerk-Traffic bis hin zu höher stehenden Applikations-Protokollen. Einige Unternehmen stricken sich vielleicht Analyse-Tools für spezielle Applikationen wie zum Beispiel E-Mail. 

Aus diesem Grund brauchen Sie keine weiteren E-Mail-Leistungsmerkmale in einem Tool für Sicherheitsanalyse. Große Security-Plattformen bieten oftmals modulare Optionen in speziellen Bereichen, etwa für Web-, E-Mail- und dateibasierte Bedrohungen. Können Unternehmen nur benötigte Funktionalitäten auswählen, dient das der Kostenkontrolle. Das sollten Sie bei einer Evaluierung auf jeden Fall berücksichtigen.

3. Umfang der Analyse (Arten an Bedrohungen)

Die Bedrohungen entwickeln sich ständig weiter. Gewisse Malware, die vor einigen Jahren die Messlatte höher legte, ist heutzutage „Allgemeingut“. Möglicherweise haben sehr viele Cyberkriminelle Zugriff auf den entsprechenden Schadcode. Software für die Sicherheitsanalyse muss die Fähigkeit besitzen, mehrere Typen an schädlicher Aktivität analysieren zu können. Darüber hinaus muss sie Muster erkennen, die von kombinierten Aktivitäten ausgehen.

Schädliche Aktivitäten können dabei so banal wie das Scannen offener Ports an einer Firewall sein. Aber auch hinterhältige E-Mails mit Spear-Phishing an die Geschäftsleitung ist denkbar. Advanced Persistent Threats (APTs) verwenden mehrere Techniken, um Zugriff auf Daten, Applikationen und Netzwerkressourcen zu erhalten. 

APTs starten vielleicht mit dem Download einer Software von einer kompromittierten Website, womit eine Kontrolle von außerhalb möglich ist. Der Angreifer kann danach anfangen, das Netzwerk zu erkunden und andere verwundbare Maschinen zu infizieren. Weiterhin lassen sich nun Informationen über Anwender und Applikationen sammeln.

Die Käufer sollten sich über die Datentypen Gedanken machen, die von den Sicherheitsanalyse-Tools untersucht werden sollen. Können sie Anomalien im Netzwerk-Traffic erkennen, die von einem Client-Gerät ausgehen, das andere Geräte untersucht und Informationen über die Netzwerk-Topologie sammelt? Kann die Software verwandte Ereignisse in einen Zusammenhang stellen? 

Gemeint ist zum Beispiel der Besuch einer potenziell kompromittierten Website, worauf eigenartige Muster in der Netzwerkkommunikation auftauchen. Kann die Software für die Sicherheitsanalyse Log-Dateien der Applikationen und der Server überprüfen? Das gilt auch von Warnungen, die von anderen Security-Geräten generiert wurden.

Beachten Sie auch die Notwendigkeit für zeitgemäße Security-Daten. Einige Anbieter unterhalten globale Netzwerke für Informationen, die immerzu Informationen über schädliche Aktivitäten sammeln und analysieren. Diese dienen als Frühwarnsysteme und helfen bei der Erkennung aufkommender Bedrohungen.

Die Analyse von Bedrohungen ist eine Herausforderung und es wird sehr wahrscheinlich zu sogenannten False Positives kommen. Haben Unternehmen nur limitierte Möglichkeiten für die Sicherheitsanalyse, sollten sie sehr umsichtig die Optionen evaluieren, die sie wirksam einsetzen können.

Ein verwandtes Thema zum Umfang einer Analyse ist die Tiefe der Analyse.

4. Tiefe der Analyse (Netzwerk-Layer)

Das OSI-Modell (Open Systems Interconnect) beschreibt sieben Netzwerk-Layer. Es geht hier von tief liegenden physischen Schichten über Data Link Layer bis hin zur Applikationsebene. Tools für die Sicherheitsanalyse, die Daten aus den Schichten Data Link und Applikation sammeln können, besitzen erhebliche Leistungsfähigkeit hinsichtlich der Tiefe.

Analyse auf der Applikationsebene ist sehr wichtig, um schädliche Aktivitäten erkennen zu können, die sich durch die unteren Schichten gemogelt haben. Zum Beispiel könnte ein Injection-Angriff von einer unbekannten IP-Adresse durch Server geblockt werden, die lediglich Verbindungen von bekannten Geräten zulassen. Sollten der Injection-Angriff allerdings von einem vertrauenswürdigen, aber kompromittierten Gerät ausgehen, dann würden die Kontrollmechanismen für das tiefer liegende Netzwerk den Angriff nicht blockieren.

Kann ein Tool für die Security-Analyse die Protokolle auf Applikationsebene untersuchen, ist eine Erkennung von schädlicher Kommunikation zwischen Servern und vertrauenswürdigen Geräten möglich.

5. Unterstützung für Forensik

Das Ziel von Sicherheitsanalyse ist es, Einbrüche zu verhindern. Allerdings wird es auch Zeiten geben, in denen die Infrastruktur eines Unternehmens bereits kompromittiert ist. An dieser Stelle ist es wichtig, einen Incident-Response-Plan (Vorfallreaktionsplan) zu implementieren. Dieser benötigt Unterstützung für Forensik.

Das beinhaltet Leistungsmerkmale, wie zum Beispiel die Identifizierung von involvierten oder kompromittierten Geräten. Auch das Replay von Netzwerk-Traffic ist nötig. Damit findet man heraus, auf welche Weise Geräte und Security-Maßnahmen kompromittiert wurden. Weiterhin ist das Zusammenfassen von Daten mehrerer Quellen wichtig, plus die Identifikation der Zeitspanne des Angriffs.

Viele der Tools und Reporting-Techniken, die man in forensischen Analysen verwendet, erweisen sich auch für das fortlaufende Monitoring nützlich.

6. Monitoring, Reporting und Visualisierung

Ein wesentlicher Grund für den Einsatz einer Software für die Sicherheitsanalyse ist, im Unternehmen einen einzelnen und zentralen Zugriffspunkt auf die Security-Daten zu haben. Nur das Sammeln von Informationen ist nicht genug. Man muss die Daten integrieren und in einen Zusammenhang bringen. Die Ereignisse müssen identifiziert und bewertet werden. Die Software muss verdächtige Ereignisse berichten und die Tools für das Monitoring sollten belanglose Vorkommnisse ausfiltern.

Analytiker brauchen zusammengefasste Daten, um die Aktivitäten von Netzwerk und Geräten auf hohem Niveau verstehen zu können. Allerdings sind auch detaillierte Informationen über verdächtige Ereignisse wichtig. Diese Notwendigkeiten erfüllen Tools für Monitoring, Reporting und Visualisierung innerhalb einer Plattform für Sicherheitsanalyse.

Software für Sicherheitsanalyse: Was man beachten sollte

Bei der Evaluierung von Produkten für die Sicherheitsanalyse sollten Sie sechs Schlüsselfaktoren beachten: Breitstellungsmodelle, Modularität, Umfang der Analyse, Tiefe der Analyse, Unterstützung für Forensik, sowie den Themenblock Monitoring, Reporting und Visualisierung.

  • Suchen Unternehmen nach grundlegenden Tools für die Sicherheitsanalyse und wollen minimalen Overhead, sollten sie Appliances in Betracht ziehen. In diesem Fall evaluieren Sie auf Basis der Reporting-Qualität und dem angemessenen Umfang.
  • Will man in erster Linie von Einbrüchen lernen, sollte man die Priorität auf Forensik-Funktionen legen.
  • Ist das System zur Sicherheitsanalyse ein wichtiger Teil des Tagesgeschäfts, dann sollte es auf jeden Fall Leistungsmerkmale für Reporting und Visualisierung enthalten.

Von einigen Funktionen profitieren Sie sicherlich mehr als von anderen. Deswegen ist es entscheidend, dass Sie die relative Wichtigkeit dieser Funktionen für Ihre Firma begreifen. Das gilt vor allen Dingen dann, wenn die Kosten eine große Rolle spielen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close