Mehr Überblick mit Security Information Management

silicon.de,

Content-Filter, Firewalls, Anti-Virus-Programme, Zugangsberechtigungssysteme und VPN-Appliances halten den Admin von Heute ganz schön auf Trab.

Content-Filter, Firewalls, Anti-Virus-Programme, Zugangsberechtigungssysteme und VPN-Appliances halten den Admin von Heute ganz schön auf Trab. Auch in kleineren Betrieben können die verschiedenen Sicherheitsprodukte gehörigen Arbeitsaufwand verursachen und eine unüberschaubare Datenflut bedeuten.
Das Marktforschungsunternehmen Gartner schätzt, dass Anfang 2004 rund 20 Prozent der Fortune-1000-Unternehmen ein so genanntes ‘Security Information Management’ (SIM) eingesetzt haben. Dieser relativ neue Begriff bezeichnet Software oder Appliances. Es ist derzeit aber noch recht teuer, so dass SIM in den nächsten Jahren eher eine Domäne der Großen bleiben wird.

SIM-Programme sammeln Daten aus System-Logs, Windows-Events, SNMP-Traps und andere Daten aus verschiedenen Sicherheits-Geräten oder -Software. Diese Daten werde in einer Datenbank zusammengetragen und dort strukturiert. “Viele Unternehmen verwenden SIM weil sie glauben, dass die großen Datenmengen wertvolle Informationen enthalten, also kaufen sie eine entsprechende Lösung um all diese Daten zu verarbeiten und daraus Schlüsse ziehen zu können”, erklärt Paul Proctor, Vice Presidet Sicherheit und Risikostrategien bei der Meta-Group.

Dennoch könne auch das beste SIM-Programm nicht alle Sicherheitsprobleme lösen. Diese Erwartungen seien überzogen, so der Analyst. SIMs sind nur so gut, wie die Daten, die sie mitgeteilt bekommen.

Eine fehlgeschlagene Intrusion-Detection-Anwendung, die zu viele Daten produziert, sei dadurch zum Beispiel nicht zu retten, so Proctor weiter. Das liege aber an der fehlerhaften Implementierung der Sicherheitssoftware und nicht an dem Produkt selbst. Selbst wenn ein SIM die Firewall aufgrund der Daten schließen sollte, sei es bereits zu spät, denn die Analyse der Daten nehme zu viel Zeit in Anspruch.

Eine SIM-Lösung macht aber Sinn, wenn zum Beispiel der Datenverkehr innerhalb des Netzes zwischen den einzelnen Sicherheits-Knoten analysiert und sichtbar gemacht werden soll. Über die Visualisierung lassen sich zum Beispiel einfache Probleme in einzelnen Switches ausmachen, die über die Rohdaten nicht zu erkennen sind.

Wenn man mehrere tausend Schnittstellen im Netzwerk installiert hat, kann ein SIM durchaus hilfreich sein. Über die Visualisierung können auch Daten besser mit den Quellen im Netzwerk korreliert werden.