|
|
Rubrik: Produkte/Hintergrund Symantec: IDS sollte Verteilungsszenarien problemlos bewältigen können Warum lohnt sich die Investition in ein Intrusion-Detection-System und (28.08.03) - Unternehmen haben gute geschäftliche und rechtliche Gründe für die Umsetzung strenger Sicherheitsrichtlinien. Schließlich hängt ihre Existenz davon ab. Unternehmen, die die Einhaltung dieser Richtlinien nicht überwachen, decken damit einen wichtigen Sicherheitsbereich nicht ab. Ohne entsprech-ende Überwachung erfahren die Urheber oder Verantwortlichen dieser Sicherheitsrichtlinien nie, ob diese auch praktisch umgesetzt bzw. eingehalten werden. Daher ist der Einsatz eines Intrusion Detection System (IDS) von größter Wichtigkeit. In diesem Hintergrundbericht wird erläutert, warum es sich lohnt, in ein IDS zu investieren und was Unternehmen bei der Bewertung eines Systems berücksichtigen müssen.
Anzeige
Warum lohnt sich die
Investition in ein Intrusion-Detection-System? Aufgrund der steigenden Zahl und der Schwere der Angriffe sind Intrusion Detection-Systeme eine unverzichtbare Komponente der Unternehmenssicherheit. Unternehmen, die nicht autorisierten Zugriffsversuchen keine Aufmerksamkeit schenken, können sich kein umfassendes Bild von den potenziellen Bedrohungen machen. Schon unmittelbar nach der Installation wird das IDS Bedrohungen erkennen und berichten, die belegen, dass das Unternehmensnetzwerk angegriffen wird und gefährdet ist. Darüber hinaus können Unternehmen anhand der Häufigkeit und Art der Angriffe bestimmen, welche Sicherheitsmaßnahmen erforderlich sind. Das IDS erleichtert zudem die Überprüfung und Kategorisierung der festgestellten Bedrohungen in Berichten an das Management. Diese Fakten tragen dazu bei, die Geschäftsleitung in Budgetfragen im Hinblick auf zusätzliche Sicherheitsmaßnahmen zu überzeugen. Was zu beachten ist Unternehmen investieren oftmals in ein IDS, das schwierig zu unterstützen ist, zu viele Fehlerkennungen (fälschliche Meldung eines Angriffs, die auf zulässige Aktionen zurückzuführen ist) anzeigt und mit der Netzwerkgeschwindigkeit nicht mithalten kann. Um diese Negativpunkte zu
verringern, sollten Unternehmen bei der Bewertung von
Intrusion-Detection-Systemen die folgenden Kriterien beachten: · Reaktion: Ein IDS muss über einfache Benachrichtigungsfunktionen hinaus auch automatisierte, Richtlinien basierte Reaktionen zum Schutz von Systemen bieten und Sicher-heitsmitarbeitern Zeit zum Handeln sowie Vertrauen in das System ermöglichen. Der traditionelle Ansatz zum Feststellen der Angriffsquelle (meist von einer falschen Adresse) besteht in der manuellen Abfrage von Routern, um den relevanten Datenstrom zu finden. Dies ist eine mühsame Arbeit, die selbst erfahrene Netzwerktechniker viele Stunden und manchmal sogar Tage kosten kann. Unternehmen sollten daher stattdessen ein IDS auswählen, das sogar gefälschte bzw. reflektierte Angriffe schnell und automatisch an den Eingangspunkt im Netzwerk zurückverfolgen kann. Dadurch kann das Unternehmen schnell und effizient reagieren, um Denial-of-Service-Angriffe abzuwehren, die schwerwiegende Auswirkungen auf die Bandbreite und die Verfügbarkeit der Dienste haben können. · Verteilung: Ein IDS sollte komplexe und hochgradig anspruchsvolle Verteilungs-szenarien, einschließlich der Überwachung mehrerer Netzwerksegmente, problemlos bewältigen können. Es sollte zudem in der Lage sein, die Informationsstrukturen des Unternehmens mit leistungsstarker Multi-Gigabit-Erkennung zu schützen. · Analyse: Ein IDS sollte eine Analyse- und Korrelations-Engine enthalten, die die unzähligen Ereignisse im Netzwerk überblickt und diese im Kontext bewertet. Zeit und Know-how sind von größter Wichtigkeit für die wirkungsvolle und schnelle, unmittelbare Reaktion bei Angriffen auf geschäftskritische Unternehmensdaten und -systeme. Die Ereignissammlung, -korrelation und -analyse in Echtzeit kann den erforderlichen Aufwand seitens der Sicherheits-mitarbeiter erheblich verringern, so dass diese über mehr Zeit für anspruchsvollere Über-wachungsaufgaben im Hinblick auf unbefugte Zugriffsversuche und Richtlinienarbeit verfügen, statt stundenlang irrelevante Ereignisprotokolle überprüfen zu müssen. · Verwaltbarkeit: Ein IDS sollte seine primären Erkennungsdaten direkt von Netzwerk-Switches beziehen, wodurch die Anzahl der Sensoren, die über das Netzwerk verteilt eingesetzt und verwaltet werden müssen, verringert wird und die Total Cost of Ownership (TCO) gesenkt werden. · Erweiterungskosten: Viele Unternehmen sind sich nicht bewusst, dass bei einem speziell für leistungsstarke Netzwerke mit Switches entwickelten IDS geringere Erweiterungskosten anfallen als bei einem herkömmlichen System. Eine traditionelle Verteilung erfordert einen Sensor für jedes Netzwerksegment zuzüglich der Kosten für Hardware, Software und Systemadminis-tration. Wenn Unternehmen eine Erweiterung auf das gesamte Netzwerk benötigen, sind die für zusätzliche Sensoren, Hardware, Software und Systemadministration anfallenden Kosten mit denen der Komponenten der ursprünglichen Installation vergleichbar. Im Gegensatz dazu bietet ein speziell für leistungsstarke Netzwerke mit Switches entwickeltes IDS optimale Abdeckung ohne zusätzliche Kosten für die Systemadministration. Ein IDS mit Roaming-Funktion ist mit einer Reihe von Überwachungskameras in einem Kaufhaus vergleichbar. Aber im Gegensatz zu den Über-wachungskameras sollte das IDS erkennen, ob und wann ein Sicherheitsverstoß auftrat, weiterhin Daten sammeln und den Systemadministrator benachrichtigen. Mit dieser Art von IDS können Unternehmen allein in den Bereichen Unterstützungsdienste, Verteilung und Wartung beträcht-liche Einsparungen erzielen. Schlussfolgerung Unternehmen, die bislang noch nicht in Intrusion Detection-Software investiert haben, sollten dies unbe-dingt in Betracht ziehen. Durch das Aufschieben dieser Investition ist das Unternehmen nicht nur dem Risiko der unbefugten Datenänderung und -beschädigung sowie des Datendiebstahls ausgesetzt, sondern kann auch gerichtlich belangt werden. Das von einem Unternehmen letztendlich eingesetzte IDS sollte einen hochgradig koordinierten Ansatz im Hinblick auf die Verwaltung von Sicherheitsaspekten bieten, darunter das Erkennen von Bedrohungen im Netzwerk, das Sammeln zusätzlicher Informationen auf Abruf, schnelle Reaktion und Ausführen geeigneter Aktionen. (ma) Symantec (Deutschland) Lise-Meitner-Strasse
9, 85737 Ismaning Tel.
(069) 66410300, Fax (089) 9458-3040 E-Mail: corinna_pradel@symantec.com
Web: www.symantec.de |
