"Vertrauen ist gut, Kontrolle ist besser" - nach diesem Motto verfahren viele IT-Sicherheitsfachleute, wenn sie Schutzmaßnahmen für Endgeräte, Server und Netzwerke gegen Angriffe von außen und durch illoyale eigene Mitarbeiter implementieren. Dabei schießen die Security-Spezialisten jedoch häufig über das Ziel hinaus. Sie reglementieren alles: Welche Endgeräte Mitarbeiter nutzen dürfen, welche Anwendungen ihnen zur Verfügung stehen, auf welche IT-Ressourcen sie wann von welchem Standort und Client aus sie zugreifen dürfen und welche Authentifizierungs- und Sicherheitssoftware sie dabei einsetzen müssen.
Die Folge: Konflikte zwischen der IT-Abteilung und Anwendern, die sich durch solche Maßnahmen zu stark eingeschränkt fühlen, höhere Kosten, ein hoher Management-Aufwand und letztlich mehr Bürokratie und eine niedrigere Agilität des Geschäftsbetriebs. "Kontrollwerkzeuge erweisen sich häufig als ineffizient gegenüber dem menschlichen Einfallsreichtum und entsprechenden Verhaltensmustern", konstatiert Zoltán Györkő, Chief Executive Officer und Mitbegründer von BalaBit. "Kontrollmechanismen eignen sich in idealer Weise zur Abwehr von automatisierten Angriffen, die von Maschinen durchgeführt werden, nicht aber zum Schutz vor den Aktivitäten von Menschen. Wenn IT-Sicherheitsfachleute auf immer mehr Kontrolle setzen, bedeutet dies nicht unbedingt, dass sie das erforderliche Sicherheitsniveau erreichen. Solche Maßnahmen können bei den Usern vielmehr auf Widerstand treffen."
Werkzeuge für die elektronische "Crime Scene Investigation"
Doch es geht auch anders, wie BalaBit auf der it-sa in Nürnberg belegt. Auf der IT-Sicherheitsfachmesse auf dem Stand von Exclusive Networks (Halle 12.0, Stand 401) demonstriert das Unternehmen intelligente Werkzeuge für den eCSI, den "elektronischen Spurenermittler". Im Mittelpunkt stehen dabei Monitoring-Lösungen und Konzepte, mit denen sich auch komplexe und ausgeklügelte Cyber-Attacken erkennen und verhindern lassen. Dazu zählen bekannte und bewährte Systeme wie die Logging-Lösung syslog-ngTM und das Privileged-Activity-Monitoring-Tool (PAM) Shell Control BoxTM (SCB).
Ein zentrales Thema von BalaBit auf der it-sa ist jedoch das Konzept der Contextual Security Intelligence. Es trägt der Tatsache Rechnung, dass die gefährlichsten und für Unternehmen und Organisationen kostspieligsten Datenverluste auf komplexe, gut vorbereitete Attacken von Insidern oder externen Angreifern zurückzuführen sind. Um solche Angriffe zu unterbinden, ist es notwendig, alle Informationen von Logging-Systemen wie den syslog-ng-Appliances und Monitoring-Systemen wie der SCB zu sichten, zu konsolidieren und auf Indikatoren zu durchsuchen, die auf Angriffe hindeuten. Das Ziel ist, in Echtzeit verdächtige Aktivitäten von Nutzern zu erfassen, sie zu einem möglichst frühen Zeitpunkt auf Basis bereits ermittelter Daten zu bewerten und nötigenfalls weitergehende Maßnahmen zu ergreifen. Dazu zählt beispielsweise die automatische Trennung von Verbindungen, über die ein User auf IT-Systeme zugreift.
Verdächtige Aktivitäten sichtbar machen
Contextual Security Intelligence von BalaBit adressiert somit ein Problem, das konventionelle SIEM-Lösungen (Security Incident and Event Management) überfordert: Sie sind nicht in der Lage, die Aktionen von IT-Nutzern in Echtzeit zu erfassen und zu bewerten. Zudem werden viele Informationen, die für eine umfassende Einschätzung von Nutzer-Aktivitäten erforderlich sind, von anderen IT-Sicherheitssystemen ermittelt, etwa Firewalls.
Dagegen ist BalaBits Ansatz der Contextual Security Intelligence in der Lage, auf Basis der Informationen seiner Logging- und Monitoring-Lösungen potenzielle Bedrohungen durch interne und externe Angreifer sichtbar zu machen und umgehend darauf zu reagieren. Mit Contextual Security Intelligence steht dem IT-Sicherheitsfachmann respektive eCSI-Officer somit ein Konzept zur Verfügung, das allen Ansprüchen gerecht wird: Es bietet eine umfassende IT-Sicherheit, basierend auf dem Verhalten der Nutzer von IT-Ressourcen, aber es beeinträchtigt weder Geschäftsprozesse noch die Arbeitsabläufe von Mitarbeitern.
Kostenloses Angebot: Sich zum eCSI-Officer weiterbilden
Für IT-Sicherheitsfachleute, die sich zu einem eCSI-Officer weiterbilden möchten, hat BalaBit ein interessantes Angebot: Ein kostenloses Video-Training, das aus zwei Modulen besteht. Im ersten Teil ("Basic Training") werden Grundlageninformationen vermittelt, etwa zu Logging- und Compliance-Standards, dem Aufbau einer Logging-Infrastruktur und der Auswertung von Logs. Teil zwei beschäftigt sich mit Details der IT-Forensik und der "elektronischen Spurensuche".
Am Ende jedes Lernmoduls kann der Teilnehmer seinen Wissensstand mithilfe eines Selbsttests überprüfen. Details zu den Trainingskursen stehen auf folgender Web-Seite von BalaBit bereit:
https://www.balabit.com/...
BalaBit auf der it-sa: Auf der IT-Sicherheitsfachmesse it-sa, die vom 7. bis zum 9. Oktober in Nürnberg stattfindet, ist BalaBit auf dem Stand von Exclusive Networks Deutschland (Halle 12.0, Stand 401) vertreten.
Mehr Informationen zu BalaBit unter: www.balabit.com.