Home » IT-Security » SOC als Managed Services » Module » 

Security Information & Event Management (SIEM)

Die Sammlung, Analyse und Korrelation von Logs aus verschiedensten Quellen resultieren in Alarmierungen bei Sicherheitsproblemen oder potentiellen Risiken.

Um Informationen über sicherheitsrelevante Ereignisse zu erlangen, ist die Sammlung und Analyse von Logs aus verschiedenen Quellen in einem Netzwerk (Server, Clients, Netzwerkgeräte, Firewalls, Anwendungen, etc.) zentrales Element. Zahlreiche gängige Log Formate werden unterstützt und jegliche proprietäre Formate können durch das Erstellen von weiteren Parsern normalisiert werden. Informationen und Ereignisse aus all diesen Bereichen werden aggregiert. Durch eine state-of-the-art Correlation Engine mit kontinuierlich erweiterten und maßgeschneiderten Regeln und Policies werden potentielle Risiken identifiziert.

Sicherheitsprobleme können nun effektiv bearbeitet werden: aus Millionen von Ereignissen werden diejenigen herauskristallisiert, die auf einen Missbrauch der IT und Applikationen, auf internen Betrug oder auf andere Sicherheitsbedrohungen hinweisen.

Unser Intelligence Team analysiert die verdächtigen Ereignisse und priorisiert sie hinsichtlich Kritikalität und Dringlichkeit. Schlussendlich wird nur eine Hand voll tatsächlich risikobehafteter Ereignisse an Sie als Kunden berichtet.

Eine effektive Konfiguration des Systems wird durch vorab definierte Filter, Templates und Plugins erreicht. Die Einrichtung ist zeit- und ressourcenschonend.

Advanced Cyber Intrusion Detection (ACID)

Erkennung von gefährlicher Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierten Detection Engines.

Netzwerkverkehr aus und zum Internet wird in Echtzeit analysiert, um verdächtige Muster und Anomalien wie z.B. Malware, Command and Control Server, Bots, Spyware, Drive-by sources, DDoS Ziele und Quellen zu erkennen.

Die Erkennung basiert auf mehr als 19.000 kontinuierlich erweiterten, mit IP Reputationsdaten verglichenen Signaturen und Regeln. Zusätzlich stehen verhaltensbasierte Analysen für zero-day exploits und andere noch nicht bekannte Angriffsarten ohne Signaturen sowie die Erkennung von Protokollen, auch über verschiedene Ports, zur Verfügung. Tausende verschiedene Dateitypen werden anhand der MD5 Checksummen und weitergehender Dateiextraktion identifiziert, um Dokumente gegebenenfalls nicht in oder aus dem Netzwerk transferieren zu lassen.

Technische Details: Das Modul ist durch eine master/probe Konfiguration für dezentralisierte Internet-Anschlüsse skalierbar. 1Gbit und 10Gbit Schnittstellen werden unterstützt (Kupfer und Glasfaser).

Host-based Intrusion Detection System (HIDS)

Die Analyse, Überwachung und Erkennung von Anomalien bei Hosts führen zu aktiven Reaktionen und sofortiger Alarmierung.

HIDS sammelt, analysiert und korreliert Logs eines Servers oder Clients und alarmiert bei der Erkennung von Angriffen, Missbrauch oder Fehlern. Es überprüft zudem die Dateiintegrität des lokalen Systems. Rootkit-Erkennung identifiziert z.B. versteckte Angriffe, Trojaner oder Viren anhand von Systemveränderungen.

HIDS führt zu einer Echtzeit-Alarmierung und aktiven Reaktionen (sofortige und automatisierte Aktionen wie Blockieren und Attackieren). HIDS integriert problemlos mit SIEM und erbringt zusätzliche, wertvolle Informationen für die zentrale Korrelation.

Technische Details: Das System funktioniert auf nahezu jedem Betriebssystem (Linux, Solaris, HP-UX, AIX, BSD, MacOS, Windows, Vmware ESX). Es unterstützt die Erfüllung spezifischer Compliance-Anforderungen. Die zentralisierte Bereitstellung von Policies erfolgt für alle HIDS Agenten, um die Compliance des Servers zu überwachen.

Vulnerability Management and Assessment (VAS)

Kontinuierliche, interne und externe Schwachstellen-Scans mit umfassender Erkennung, Compliance Checks und Tests für eine komplette Abdeckung zu allen Schwachstellen.

Schwachstellen-Scans (Vulnerability Management and Assessment, VAS) beinhalten kontinuierliche und präziseste interne und externe Schwachstellen-Scans für einen 360-Grad Einblick. Neben schnellen und effizienten authentifizierten oder nicht-authentifizierten Schwachstellen-Scans werden offene Ports, die Nutzung von potentiell unsicheren oder überflüssigen Services auf diesen Ports sowie Shares und unsichere Shares erkannt.

Durch Compliance- und Passwort-Checks werden Konfigurationsprobleme in Bezug auf Anwendungen und Passwörter- sowie User-Policies erkannt. Standard- oder fehlende Passwörter werden festgestellt. Veraltete Patch-Versionen bei installierter Software und Services werden bei Windowssystemen mit Registry und dll-Checks aufgedeckt.

Safe scanning stellt sicher, dass keinerlei Störungen bei der Verfügbarkeit oder Integrität von Daten vorkommen. Der tägliche Betrieb oder die Verfügbarkeit von IT-Assets wie Server und Netzwerkkomponenten wird aufgrund vorab definierter Scan-Pläne ebenfalls nicht beeinträchtigt. Mitarbeiterschulungen sind nicht notwendig.

Mehr als 67.000 Tests werden in den Kategorien Betriebssystem, Software und Schwachstellen durchgeführt. Die branchenweit größte Datenbank liegt zugrunde.

Schwachstellen werden in hohes, mittleres und geringes Risiko und die Möglichkeit ihrer Ausnutzung kategorisiert. Das Ergebnis ist ein leicht verständlicher Überblick über die aktuellen Schwachstellen und fertig aufbereitete Informationen zur Erfüllung von Compliance Anforderungen.

Das Scanning umfasst:

  • Netzwerkgeräte: Firewalls/Router/Switches (Juniper, Check Point, Cisco, Palo Alto Networks), Drucker, Storage
  • Virtualisierung: VMware ESX, ESXi, vSphere, vCenter, Hyper-V, und Citrix Xen Server
  • Betriebssysteme: Windows, Mac, Linux, Solaris, BSD, Cisco iOS, IBM iSeries
  • Datenbanken: Oracle, SQL Server, MySQL, DB2, Informix/DRDA, PostgreSQL, MongoDB
  • Web Applikationen: Webserver, Web Services, OWASP Schwachstellen
  • Cloud: Scans von Cloud-Anwendungen und Instanzen wie Salesforce und AWS

Software Compliance (SOCO)

Compliant Software pro Server / Server-Gruppe wird mit Hilfe von Policies und einer kontinuierlichen Analyse des aktuellen Status inklusive Software-Schwachstellen festgestellt.

Das Modul umfasst das Management des kompletten Software-Inventars für Windows- und Linuxsysteme. Es werden kontinuierliche Abfragen der installierten Software durchgeführt und in einer Auflistung über die aktuelle sowie vorher installierte Software dargestellt.

Policies werden für Software Compliance-Regeln definiert und umfassen z.B. Informationen über erlaubte Software und Softwarepakete, Mindest-Softwareversionen und „blacklisted“ Software. Eine Compliance-Analyse entsprechend Policies und vorhergehender Entwicklung wird erreicht.

Bei der Auffindung von Software mit bekannten Schwachstellen werden Alarmierungen ausgelöst.

Das Lizenzmanagement mit kontinuierlichem Abgleich der Lizenzinformation pro Software mit der insgesamt installierten Softwarebasis ist ebenfalls durchführbar.

Advanced Email Threat Detection (AETD)

Sandbox-Technologien der nächsten Generation werden für die Erkennung von “Advanced Malware“ in E-Mails eingesetzt.

Hochentwickelte und getarnte Malware überlistet konventionelle Sicherheitsmaßnahmen und herkömmliche APT-Sicherheitssysteme. Nur hochqualitative Erkennungsmethoden stoppen sie.

Sandbox-Technologien der nächsten Generation fangen durch vollständige Systememulation nicht nur persistente Gefahren und zero-day exploits ab. Sie haben ein tiefgreifendes Verständnis von Malware-Verhalten und schätzen damit deren Einfluss ein.

Die Aktualität wird durch kontinuierliche Updates des Feeds für Advanced Threats sichergestellt.