![[externer Link]](../../../../images/link.gif)
www.secunet.com)Die "Sichere Inter-Netzwerk Architektur", kurz SINA, von secunet in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt, sorgt ursprünglich vor allem im Behördenbereich für die sichere Übermittlung und den kontrollierten Zugriff auf klassifizierte Informationen (als SINA Box und Thin-Client bis "streng geheim" und NATO "secret").
Durch die Vorstellung der erweiterten SINA Virtual Workstation (SINA VW) in der Business-Version will secunet Hochsicherheit nun verstärkt auch Unternehmen anbieten: Das IP-basierte System integriert dazu auf einer vertrauenswürdigen Plattform bis zu vier gekapselte Rechner, die eine Virtualisierungstechnik von unsicheren Betriebssystemen separiert. Wesentliche Sicherheitsfunktionen (IPsec-VPN, kryptographisches Dateisystem usw.) werden auf eine sichere Basisplattform (SINA Linux) ausgelagert, die von der unsicheren Umgebung entkoppelt ist. Zusätzlich biete das System unter anderem eine konfigurierbare Freigabe von lokalen Medienzugriffen (USB und andere Schnittstellen), eine "USB-Firewall" sowie ein PC/SC-Smartcard-Subsystem. ( www.secunet.com)
Skybox Security hat seine Risikomanagement-Lösung um Skybox Assure ergänzt. Das Modul soll die Auswirkungen von Änderungen an Netzwerken oder Firewallregeln simulieren können, sodass man diese vorab auf Funktion, Nebeneffekte und Sicherheitsaspekte prüfen kann, ohne den IT-Betrieb zu beeinträchtigen. Skybox Assure sammelt dazu Infrastrukturinformationen, Access- und Konfigurationsdaten von Security-Devices wie Firewalls, Switches oder Routern und berechnet Zugriffspfade sowie Abhängigkeiten zwischen Geräten. Mit diesen Informationen erstellt das System ein Netzwerkmodell, führt Zugriffsanalysen durch und vergleicht den Ist-Zustand mit vorgegebenen Policies.
Das Assure-Modul ist Teil der Skybox View Edition, die darüber hinaus Skybox Framework und Skybox Secure (vormals Skybox View) umfasst. Skybox Secure dient der Visualisierung und Inventarisierung inklusive einer Zuordnung von Systemen zu frei definierbaren Business-Units und der Korrelation mit Ergebnissen von Schwachstellen-Scannern und Angriffssimulationen, um eine realistische Bewertung der Bedrohungslage von Geschäftsprozessen zu ermöglichen.
Der deutsche Skybox-Partner it.sec hat unterdessen angekündigt, im ersten Quartal 2006 den Betrieb von Skybox Secure – vorrangig für kleinere und mittlere Unternehmen – auch als Managed Service anzubieten. ( www.it-sec.de / www.skyboxsecurity.com)
Beta Systems erweitern ihre Identity-Management-(IdM)-Suite um das neue Modul SAM Log Audit Facility. Damit wolle man vollständige Transparenz über die IdM-Prozesse schaffen und dem Anwender ermöglichen, alle Administrationsschritte nachzuvollziehen, die mit SAM Jupiter erfolgt sind: beispielsweise wer welche Berechtigungen vergeben hat oder aufgrund welcher Definition ein Benutzer bestimmte Rechte erhielt.
Darüber hinaus soll das Audit-Modul über Standard-Agenten sicherheitsrelevante Logs aus unterschiedlichen Quellen (z. B. Windows Events, SAP-R/3-Protokolldateien oder Unix syslog) sammeln und in einem Archiv zusammenführen. Für verschiedene Log-Daten können dabei – entsprechend gesetzlicher Aufbewahrungsfristen oder der Wichtigkeit der Protokolle – unterschiedliche Vorhaltezeiten eingerichtet werden. Die Suchfunktion des Archivs soll durch verschiedene Kriterien auch forensische Analysen ("after the fact") sinnvoll unterstützen. ( www.betasystems.com)
Qualys hat seine Vulnerability-Management-Lösung QualysGuard mit Ciscos Network Admission Control (NAC) verbunden. NAC nutzt die Netzwerkinfrastruktur, um die Einhaltung von Sicherheitsrichtlinien bei allen Geräten durchzusetzen, die auf Ressourcen im LAN zugreifen wollen. Durch die NAC-Unterstützung kann der On-Demand-Scanner von Qualys Systeme nicht nur prüfen, sondern über die NAC-Schnittstelle die Netzwerkhardware zum Policy-Enforcement einbinden: Sobald das Audit abgeschlossen ist und ein System als vertrauenswürdig und sicher erkannt wurde, erhält es per NAC Zugang zum Netzwerk, ohne dass Nutzereingriffe erforderlich werden – stellt der Scanner hingegen Sicherheitsrisiken fest, kann der Zugriff verweigert oder das System in einem speziellen Netz(-segment) unter Quarantäne gestellt werden. Durch den externen Prüfprozess durch den Qualys-Scanner ist auf den betreffenden Systemen kein Software-Agent notwendig. Der Service QualysGuard für NAC kostet nach Anbieterangaben 1.495 US-$ pro Jahr bei einer unbegrenzten Zahl von Audits – Support und Updates sind im Preis inbegriffen. ( www.qualys.com)
AHB Electronic hat für seine elektronische Zutrittskontrolle Timeguard eine Schnittstelle zu Einbruchmeldesystemen entwickelt. AHB-Kunden, vorrangig Kreditinstitute, sollen damit beide Systeme gemeinsam über das Netzwerk verwalten können, sodass in Geschäftsstellen kein Sicherheits-Know-how zur Bedienung von Alarmanlagen mehr vorhanden sein muss und sich zudem eine deutlich schlankere Schlüsselverwaltung ergebe. Über Service-Module der Zutrittskontroll-Software lässt sich laut Anbieter der Zustand aller Alarmanlagen in sämtlichen Geschäftsstellen zentral verwalten. Zudem können die Einbruchmeldeanlagen vor Ort direkt über die Lesemodule der elektronischen Zutrittskontrolle gesteuert werden: Der Mitarbeiter, der beispielsweise morgens als erster die Geschäftsstelle betritt, deaktiviert die Alarmanlage dann bereits mit seiner Ausweiskarte des Zutrittskontrollsystems und der Eingabe eines Sicherheitscodes am Lesemodul. ( www.ahb-electronic.de)
Innominate Security Technologies haben den Funktionsumfang ihrer Device Attached Firewalls mGuard in Version 3.0 um zahlreiche Features erweitert; die neue Softwareversion kommt laut Anbieter in der Industrial-Variante und beim Racksystem mGuard bladePack zum Einsatz und zielt nicht zuletzt auf höhere Systemverfügbarkeit: Im Blade-System sollen so defekte Firewalls im laufenden Betrieb ausgetauscht werden können, da ein redundantes System in der Zwischenzeit die Absicherung übernimmt (Fail-over & Hot Swap). Zudem ermögliche der "Multi Stealth Mode" nun auch eine transparente Absicherung mehrerer Systeme bis hin zu Netzwerksegmenten durch eine einzelne mGuard-Firewall. Als weitere Neuerungen nennt Innominate eine Einlernfunktion für Firewall-Regeln, VLAN-Support nach 802.1q, MAC-Filter, LLDP Autodiscovery, Syslog-Funktion sowie SNMP-Trap-Unterstützung. ( www.innominate.de)
www.sourcefire.com / www.checkpoint.com) www.us-cert.gov / http://cme.mitre.org) www.consentry.com) www.deducto.de / www.humanit.de / www.gdpdu-toolbox.de) www.verisign.de / www.infineon.com) www.funk.com / www.juniper.net) www.microsoft.com / www.secureitalliance.org) www.bindview.com / www.symantec.com) www.trustcenter.de)
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 92
| 