Sicherheit von hoher Warte aus

von Jürgen Höfling

Share
17.04.2009

Um Vorgaben der internen Revision und des Gesetzgebers erfüllen zu können, ist eine Rundum-Sicht auf das IT-Geschehen unabdingbar. Entsprechende Leitstands-Systeme (SIEM) betrachten die Protokolldaten von hoher Warte aus, um die Flut der Ereignisse auf die relevanten Daten zu reduzieren.

(Bild: Siegfried Springer, pixelio)

IT-Protokolldaten sind wichtige Geschäftsdokumente, die das regel- und gesetzeskonforme Handeln ebenso ausweisen wie (hoffentlich!) die Bilanz. Beispielsweise verlangt der »Payment Card Industry Data Security Standard« (PCI DSS) der Kreditkartenorganisationen unter anderem, dass bei den Abrechnungs- und Akzeptanzstellen jeder Zugriff auf Daten von Kreditkartennutzern protokolliert und gespeichert werden muss.

IT-Systeme produzieren Protokolldaten in rauen Mengen. Das Problem liegt folglich nicht in der Erzeugung, sondern in der intelligenten Verarbeitung solcher Daten. Aus der geschickten Auswertung der Ereignisdaten der verschiedenen Sicherheits- und Netzkomponenten sowie der Protokolldaten von Betriebssystemen, Datenbanken und Anwendungsprogrammen lässt sich ein umfassendes Bild der Sicherheitslage erstellen. Das geht aber nur, wenn geeignete Tools vorhanden sind, welche den Datenwust dahingehend verdichten, dass nur die für den Sicherheitsstatus relevanten Daten übrig bleiben. Die Systeme sind jedoch derzeit noch schwer zu vergleichen, weil jedes seine eigenen Schwerpunkte setzt und in unterschiedliche Produktkontexte eingebunden ist.

SIEM im Kraftfeld mehrerer Vektoren

Das filtrieren der Daten ist freilich einfacher gesagt als getan, zumal wenn es um heterogene Umgebungen geht. Aber gerade in solchen unterschiedlich zusammengesetzten Systemumgebungen kann ein einheitliches Sicherheitsmanagementsystem besonders viel bewirken. Wir reden hier in der Möglichkeitsform, denn solche Systeme, die im Moment unter »Security Information und Event Management« (SIEM) gehandelt werden, gewinnen mit zunehmender Vielfalt der Datenquellen zwar ungeheuer viel Charme, der große Wurf ist aber derzeit noch keines der Systeme. Das potenziell erhebliche Rationalisierungspotenzial dieser Systeme ist aber unverkennbar. So lassen sich durch effiziente Korrelationsregeln Störfälle schneller erkennen, da bestimmte Zusammenhänge immer wieder verwendet werden können. Ebenso könnten Helpdesk-Systeme viele nützliche Informationen von SIEM-Systemen beziehen.

Letztlich spielt sich Sicherheitsmanagement im Kraftfeld von Authentisierung und Autorisierung, Netzwerksteuerung und Schwachstellenanalyse ab. Wahrscheinlich wird man in diesem Operationsfeld die Software und Hardware verschiedener Hersteller einsetzen müssen, wenn man seine Geschäftsprozesse angriffsresistent und revisionssicher machen will. Ein Management-Produkt für das genannte Kraftfeld muss diese heterogenen Elemente zusammenführen und möglichst auch in übergeordnete Systemmanagement-Werkzeuge einbinden.

Cisco will SIEM neu aufsetzen

Der Markt für »Security Information und Event Management«-Systeme ist schwierig abzugrenzen. Zum einen sind einige Systeme ganz auf die eigenen Komponenten des jeweiligen Anbieters ausgerichtet (zum Beispiel derzeit bei Cisco), zum anderen sind die Schwerpunkte der einzelnen Systeme sehr unterschiedlich. Einige Systeme haben ihren Fokus in der Verdichtung von Protokolldaten (sind also SIM-Systeme), andere konzentrieren sich auf Ereignis-Daten (sind also SEM-Systeme). Systeme, die beides können und das auch noch in heterogenen Umgebungen, gibt es nicht sehr viele.

Aber die Szene ist stark im Fluss. So kooperiert LogLogic, das bisher seinen Schwerpunkt in der Logdaten-Verarbeitung hatte, neuerdings mit dem französischen SEM-Spezialisten Exaprotect und hat dessen EventManager in seine neuen Sicherheitsboxen eingebunden. Cisco hat zwar schon seit Jahren die Hardwarebox »Security Monitoring, Analysis and Response System« (MARS) im Programm, will aber jetzt – da MARS kein wirkliches SIEM-Produkt ist - in den nächsten 18 Monaten eine völlig neue SIEM-Strategie unter den Fittichen der Tochter Ironport entwickeln.

SEM oder SIM oder SIEM

Auch Symantec hat schon länger ein SIEM-Werkzeug im Portefolio. Der Symantec Security Information Manager ist ein Teilmodul der Symantec Control Compliance Suite, kann aber auch separat erworben werden. Besondere Vermarktungsanstrengungen sind freilich nicht zu erkennen. Bei Novell ist das SIEM-Produkt namens Sentinel in das Identitätsmanagement-System integriert und bei IBM gibt es eine SEM-Lösung innerhalb des Tivoli Security Operations Manager und eine Lösung zur Richtlinien-Treue innerhalb des Tivoli Compliance Insight Manager.

Relativ selbstständige SIEM-Lösungen sind neben dem schon erwähnten Produkt von LogLogic der Enterprise Security Manager von ArcSight und die EnVision Appliance der EMC-Tochter RSA.
Verwandte Artikel