 |
Unser Angebot / Produkte
tacIDS - damit der Angriff erkannt wird
Beschreibung
Unternehmensnetze sind zahlreichen Bedrohungen von aussen wie von innen ausgesetzt:
Auf der einen Seite können Server, die Dienste für das Internet anbieten - wie z.B. eine Corporate Website - ebenso zum Ziel externer Cracker werden wie öffentliche Server, die im Dienste interner Nutzer arbeiten - wie z.B. Mailserver. Auf der anderen Seite können Mitarbeiter unbewusst, etwa durch den unvorsichtigen Umgang mit problematischen Technologien oder auch bewusst, durch das Ausnutzen von Unzulänglichkeiten in bereitgestellten Diensten, das Intranet einer Firma in Gefahr bringen. Beispiele hierfür sind etwa die Verwendung von Plugins oder aktiven Inhalten in Web-Browsern oder der Aufbau von nicht genehmigten Tunnels aus dem Intranet zu externen Systemen über HTTP/S. Typisch für Gefahren wie die eben genannten ist, dass sie ihre Spuren meist nur im Dunklen des Netzwerks hinterlassen, in einem Bereich also, der den meisten Sicherheitsmechanismen verborgen bleibt.
| |
Kundennutzen
Die wesentlichen Fähigkeiten eines IDS Systems lassen sich wie folgt zusammenfassen:
Frühzeitiges Erkennen von Problemen
Viele Angriffe können bereits im Ansatz erkannt und bekämpft werden - manche aber auch nicht. In diesen Fällen kann aber fast immer der Schaden minimiert werden, da Anomalien im Netzwerk den erfolgreichen Angriff verraten und umgehend Gegenmassnahmen eingeleitet werden können. Aber auch Probleme im Netzwerk, die nicht in Zusammenhang mit böswilligen Aktionen stehen, können erkannt und behandelt werden. So lassen sich beispielsweise Fehler in der Firewall-Konfiguration oder Fehlkonfigurationen von Systemen oder Anwendungen, die sich in der Regel ausschliesslich oder zumindest zuerst im Netzwerk bemerkbar machen, rasch lokalisieren und beseitigen. In jedem Fall wird der durch Angriffe oder Angriffsversuche entstehende (Folge-)Schaden minimiert.
Schaffung von Netzwerktransparenz
Während die Logs von Systemen und Applikationen häufig gespeichert und gelegentlich sogar ausgewertet werden, bleibt das Netzwerk meistens "Terra Incognita". Ein IDS erlaubt den Einblick in dieses unbekannte Land und kann dadurch Schwierigkeiten aber auch Auffälligkeiten entdecken, bevor sie ihren Weg in die Logdateien finden. Auffälligkeiten von heute sind die Probleme von morgen! Der Einsatz eines IDS kann somit erheblich zum Verständnis des eigenen Netzwerks und der Gewährleistung seiner Funktionsfähigkeit beitragen.
Gezielte Kontrolle und Beweissicherung
Ein nicht zu unterschätzendes Einsatzgebiet für IDSe ist ihre Rolle als Protokollant von Netzwerkaktivitäten. So lässt sich etwa gezielt auf Dauer oder für einen gewissen Zeitraum der Verkehr von oder zu bestimmten Systemen automatisch protokollieren. Möglich ist auch, Protokolle von bestimmten Ereignissen auszulösen und somit beispielsweise Angriffsversuche in ihrem gesamten Kontext zu erfassen. Solche Protokolle können dann entweder automatisiert oder manuell ausgewertet werden und im Falle eines Falles sogar juristisch verwertbare Beweise unerlaubter Aktivitäten liefern. |
Leistungsumfang
Das terreActive Intrusion Detection System tacNIDS basiert auf einem der leistungsfähigsten IDS-Sensor-Engines, die auf dem Markt verfügbar sind: Snort, einem der Vorzeigeprodukte der Open Source Entwicklung. Auf der speziell abgesicherten und optimierten terreActive Linux Distribution tacPAB kann Snort seine volle Leistungsfähigkeit entfalten. Sie erhalten wöchentlich einen detaillierten Bericht der aufgetretenen Anomalien wie Portscans, fehlgeschlagene Angriffsversuche, etc. Bei Verdacht auf einen erfolgversprechenden Angriff kommen die im voraus vereinbarten Eskalationsmechanismen zur Anwendung. Die Kombination aus einer weltweit tätigen Open Source Gemeinschaft, die stets bestrebt ist, die Signaturbasis von Snort auf dem neuesten Stand zu halten, in Verbindung mit der jahrelangen Erfahrung von terreActive auf dem Gebiet der Einbruchserkennung, garantiert höchste Qualität und Effizienz der verwendeten Signaturen. Topaktuelle, im Snort-Jargon "experimentell" genannte Signaturen werden von uns auf ihre Anwendbarkeit im Kundenumfeld hin untersucht. Dies ergibt, zusammen mit selbstentwickelten Signaturen (beispielsweise zur Entdeckung unerlaubter Tunnel), einen beachtlichen Mehrwert gegenüber der Standardinstallation. Darüber hinaus wird ein dem Kunden-Setup massgeschneiderter Satz von Signaturen installiert, der auf TCP/IP Ebene (Layer 3/4) den Verkehr im Netz überwacht und unerlaubte Verbindungen erkennt.
| |
Dieses Setup ist vielseitig einsetzbar: Neben der Entdeckung böswilliger Aktionen erlaubt beispielsweise auch die Überprüfung des spezifikationsgemässen Verhaltens der eingesetzten Anwendungen oder die Kontrolle der korrekten Funktion und Konfiguration einer vorgelagerten Firewall.
terreActive ist bestrebt, dem Kunden grösstmögliche Transparenz in Bezug auf die installierten Systeme zu bieten. Daher wird auf Wunsch vollständiger Lesezugriff auf die gefundenen "rohen" Ereignisse bereitgestellt. Hierfür steht dem Kunden ein komfortables webbasierendes GUI zur Verfügung, das ein Verfolgen der eintreffenden Ereignisse in Echtzeit erlaubt. Darüberhinaus erlaubt das GUI auch Data Mining in vergangenen, von terreActive bereits bearbeiteten Ereignissen. |
Betriebssystem
| tacPAB (abgesicherte, performanzoptimierte terreActive Linux Distribution) | | IDS Engine | Snort Version 2 | | Upgrades | Ja, nach Bedarf | | Signaturmanagement | durch tA, optimale Ergebnisse in Verbindung mit tacVA | | Verfügbare Layer 7 Signaturen | > 2000 | | Layer 3/4 Konfiguration | optional, nach Kundenbedarf | | periodische Berichte/Angriffprofile | monatlich, optional in kürzeren Abständen | | Auswertung und Überwachung | 7x24 | | Incident Handling | gemäss Vereinbarung mit Kunden | | Event Correlation | in Verbindung mit tacLOG möglich | | |
 |
|
|
|
|
Partnerschaft mit HP
splunk Partnerschaft
Security Breakfast Zürich, 9. September 2010
Kanton Aargau, Stadt Aarau & Ringier AG
Wir suchen Verstärkung!