Kooperatives IT-Sicherheitsmonitoring

Zweckgemeinschaft

Angreifer erreichen inzwischen einen hohen Grad an Kollaboration und Arbeitsteilung, während viele Unternehmen sicherheitstechnisch für sich allein kämpfen. Über einen Austausch von Monitoring-Daten könnten viele Unternehmen ihre IT deutlich besser schützen. Ansätze konzeptioneller wie technischer Natur hierfür gibt es. Wir verschaffen einen Überblick.
Das Storage-Management und die Virtualisierung der Speicherumgebung stehen im Mittelpunkt der November-Ausgabe des IT-Administrator. Denn längst sind die ... (mehr)

Unternehmensnetzwerke müssen vor Angriffen geschützt werden. Das ist nicht nur in großen multinationalen Konzernen bekannt, sondern zum Glück mittlerweile auch bei kleinen und mittelständischen Unternehmen angekommen. Ein zentraler Paketfilter und automatische Updates von Virensignaturen reichen jedoch nicht aus, um die Sicherheit eines Netzwerks zu garantieren und zu überwachen. Kontinuierliches Monitoring von Logs und Events als Teil des Security Information and Event Managements (SIEM) ist notwendig, um die Qualität der IT-Sicherheit zu gewährleisten. Anomalieerkennung mit den gesammelten Daten findet dabei auf der Grundlage fester Regelsätze oder über spezielle Lernalgorithmen statt.

Die Informationen aus dem SIEM werden in vielen Unternehmen wie Geschäftsgeheimnisse bewahrt. Man redet schließlich nicht gern öffentlich über erfolgte Angriffe – vor allem dann nicht, wenn diese erfolgreich waren. Die Diskussionen um das neue IT-Sicherheitsgesetz und eine mögliche Meldepflicht verdeutlichen dies allzu sehr. Tatsächlich ließe sich jedoch durch gezielten Austausch von Informationen über Angriffe und Angriffsversuche die Sicherheit für alle Teilnehmer eines solchen Systems deutlich erhöhen.

Den Vorteil des Austauschs von aktuellen Bedrohungsinformationen haben auch einige große deutsche Unternehmen erkannt. Sieben von ihnen, darunter die Deutsche Telekom, BASF, Allianz und Henkel, gründeten unter dem Namen Cyber Security Sharing and Analytics e.V. (CSSA) [1] einen Verein, der sich den Austausch von Cyber-Threat-Intelligence zwischen den beteiligten Unternehmen zur Aufgabe gemacht hat. Mittlerweile hat der Verein 12 Mitglieder (Stand April 2016). Der Austausch findet dabei laut Webseite des Vereins nicht auf Basis einzelner oder spezieller SIEM-Logdaten statt, sondern mittels der offenen OASIS-Datenformate Structured Threat Information eXpression (STIX) [2] und Cyber Observable eXpression (CybOX) [3]. Listing 1 zeigt die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021