Intrusion Detection Systems (IDSs) sind aus gutem Grunde seit einiger Zeit im Gespräch. Sowohl Anzahl als auch Brisanz der Attacken auf Unternehmensnetze haben in den letzten Jahren drastisch zugenommen. Firmen und Behörden sehen sich in einem bisher nicht gekannten Maß mit Angriffen, Sicherheitsbrüchen und Regelverletzungen konfrontiert und versuchen, dem Problem durch Monitoring und Management von sicherheitsrelevanten Ereignissen Herr zu werden. Auch bei den typischerweise sehr sensitiven Teilnehmern an der KES/KPMG-Sicherheitsstudie haben allerdings nur rund 40 Prozent hierzu IDS im Einsatz. Und immer wieder hört man von unbefriedigenden Erfahrungen.
Was ist so falsch an den derzeitigen IDS? Im Wesentlichen zwei Dinge: Sicherheitswarnungen und andere Meldungen von etlichen Komponenten wie netzwerkbasierten IDS, Firewalls und Anti-Viren-Lösungen überfluten Sicherheitsbeauftragte und -administratoren förmlich. Allzu oft können die einzelnen Produkte zudem keinen Zusammenhang zwischen verschiedenen Events herstellen, die von ein und derselben Attacke ausgehen. Hierdurch produzieren heutige IDS häufig ein unauswertbares Übermaß an Information und erreichen somit nicht die gewünschte Effizienz. Eine allgemeine Knappheit qualifizierten Personals für Auswertung und Reaktion verschärft die Situation zusätzlich.
Ungeachtet der vielen verschiedenen IDS-Lösungen am Markt, scheint es, dass etliche Implementierungen ihre Ziele verfehlen, weil man glaubt, diese Systeme allein könnten das Problem der Angriffe lösen. Während Unternehmen sich abmühen, ihre Sicherheitsumgebungen gebührend zu überwachen, beginnen sie zu erahnen, dass es auch besser gehen müsste. Aus solchen Erfahrungen erwächst das neue Konzept des Intrusion Management. Pinkesh Shah, Director of Security Research bei PentaSafe Security Technologies, kommentiert der Weg von "traditionellen" IDS hin zum Intrusion Management: "IDS muss sich über die Ebene der einzelnen Komponenten hinaus entwickeln und Management-Möglichkeiten erschließen. Unternehmen müssen dahin kommen, dass sie Events in Echtzeit handhaben, korrelieren und angemessen darauf reagieren können." Grob gesagt schafft Intrusion Management erst die Voraussetzungen, Risiken in Echtzeit zu begegnen.
Die Giga Information Group erachtet folgende Teilbereiche als wesentlich für ein Intrusion Management:
Um das Potenzial der Sicherheitstechnik voll auszuschöpfen und Risiken in Echtzeit effektiv zu begegnen, müssen Unternehmen unterschiedliche Verfahren und verschiedenartige Technik in einem bislang unerreichten Maße zusammenführen. Ein wirkungsvolles Intrusion Management reicht vom Erkennen und Managen von Events bis hin zum Incident Response, wobei jeder der genannten Bereiche einen essentiellen Anteil am Gesamtablauf hat.
Etliche Unternehmen haben Sicherheitstechnik eingeführt, ohne die eigenen Schwachstellen hinreichend gut zu kennen. Die Einrichtung eines Vulnerability Managements ermöglicht erfolgversprechendes Intrusion Management durch priorisiertes Monitoring und Antwortverhalten, das auf den tatsächlichen Gegebenheiten beruht.
Das Wissen um die eigene Verwundbarkeit, beispielsweise durch Software-Bugs oder Konfigurationsfehler, hilft den Sicherheitsbeauftragten, diejenigen Angriffe zu ermitteln, auf die sie besonders sorgsam zu achten haben. Entsprechend hilft es bei der Planung eines erfolgreichen Intrusion Managements, da man sich auf die heikelsten Bereiche konzentrieren kann.
Das Erkennen von sicherheitsrelevanten Ereignissen früher ansetzen als beim Identifizieren von Attacken und Sicherheitsbrüchen, weiter gehen als die "traditionelle" Art von Intrusion Detection Systems, die ihre Suche auf bestimmte Muster (Angriffssignaturen) beschränken. Die Security Event Detection muss bereits Vorzeichen eines Angriffs erkennen können, beispielsweise Port Scans oder das Ausspähen von Netzwerk- oder Website-Topologien. Auch Regelverletzungen etwa durch nicht sicherheitskonforme Konfigurationsänderungen oder Anwenderverstöße gegen Unternehmensrichtlinien (Policies) müssen erkannt werden.
Erfolgreiches Intrusion Management beruht auf dem frühzeitigen Erkennen von mehr als nur Attacken und Einbrüchen. Auch wenn das sehr wichtige Ereignisse sind, so muss ein Intrusion-Management-Prozess ausgehend von großen Informationsmengen vor allem diejenigen Ereignisse oder deren Kombinationen herausfiltern, die dem Sicherheitsanspruch des Unternehmens zuwider laufen.
Um Risiken durch Eindringlinge effizient zu begegnen, muss das Event Management eine erheblich größere Rolle spielen als das in der Vergangenheit üblich war. Ein erfolgreiches Security Event Management erfordert:
Intrusion Management umfasst auch die angemessene Reaktion auf jegliche relevanten Vorfälle. Hierzu müssen geeignete Tool vorliegen, die auch bei komplexen kritischen Ereignissen effektive Gegenmaßnahmen auf einfache Art und Weise ermöglichen. Bislang haben entsprechende Systeme kaum Aktionsmechanismen enthalten. Unterstützende Fähigkeiten zur Incident Response werden jedoch umso wichtiger, je schneller die erforderliche Reaktion erfolgen muss. Ernstzunehmendes Intrusion Management wird ohne die Integration von vielfältigen Hilfsmitteln für aktive Gegenmaßnahmen nicht auskommen.
Intrusion Management ist ein notwendiger Evolutionsschritt für die Angriffserkennungstechnologie. Solche Lösungen werden Unternehmen in die Lage versetzen, einen deutlichen Mehrwert aus ihren jetzigen Investitionen in IDS und andere Sicherheitstechnik zu ziehen. Vor allem ermöglicht Intrusion Management den Sicherheitsbeauftragten und -administratoren, Sicherheitsvorfälle und Regelverletzungen zielgerichtet einzuordnen und darauf wirksam und schnell zu reagieren, statt diese lediglich zu erkennen und zu protokollieren.
David Blackman (d.blackman@pentasafe.com) ist Marketing Director bei PentaSafe Security Technologies. Hubert Göhler (h.goehler@pentasafe.com) ist Geschäftsführer von PentaSafe Deutschland.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/5, Seite 20