Marktanalyse

Marktanalyse
Bruno Blumenthal und Roger Meyer
17. Juli 2003
Zusammenfassung
Marktanalyse von Netzwerküberwachungs Tools und Dienstleistungen
1

Inhaltsverzeichnis
1 Einführung 1
2 Firmenübersicht 2
2.1 Symantec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.2 NetScreen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.3 Counterpane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.4 Computer Associates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.5 Internet Security Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.6 Applied Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.7 NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.8 Check Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.9 IBM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.10 ArcSight . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.11 e-Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.12 Open Service (Open) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.13 GuardedNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.14 Analysis Console for Intrusion Databases . . . . . . . . . . . . . . . . . . . 17
3 Zusammenfassung 18
2

1 Einführung
Verschiedene Studien sagen der IT-Sicherheit goldene Zeiten voraus. Spätestens seit dem
11. September 2001 sind sich alle einig, dass die Sicherheit, und die IT-Sicherheit im
speziellen, eine immer wichtigere Rolle einnehmen wird. Die Sicherheits- und Ueberwachungsfirmen
gehören zu den wenigen Unternehmen die von diesem tragischen Vorfall
profitieren konnten. Seitdem investieren grosse und kleine Unternehmen und Regierungen
aus aller Welt enorme Beträge um ihre Systeme abhör- und einbruchsicher zu machen.
Viele Schutzmassnahmen gehen oft zu Lasten des Bedienerkomforts und der einfachen Administration.
Zudem lähmen überhöhte Sicherheitsmechanismen häufig die Wirtschaftlichkeit
des Unternehmens, verzögern produktive Arbeit oder führen zu zusätzlichen Kosten.
Netzwerkanalyse Tools sollen hier einspringen um die Administration eines grösseren Netzwerkes
zu erleichtern. Diese Marktanalyse soll eine kleine Zusammenstellung solcher Tools
und Dienstleistungen bieten.
Warum?
• Übersicht an vorhandenen Firmen, Tools und Dienstleistungen in diesem Sektor
• Verschiedene Lösungsmöglichkeiten sehen
2 Firmenübersicht
2.1 Symantec
http://www.symantec.ch
Symantec ist wohl der grösste Anbieter von Sicherheitslösungen. Gross geworden ist Symantec
durch ihre Anti-Virus Programme. Inzwischen haben sie mehrere Firmen übernommen
wie SecurityFocus.com.
Ein kleiner Auszug aus dem riesigen Programmsortiment:
Symantec Incident Manager: Sicherheitsmanagement für Unternehmensnetzwerke in
Echtzeit.
Symantec Incident Manager verwaltet Sicherheitsvorfälle in Echtzeit. Sie ordnet Sicherheitsdaten
nach Prioritäten, gibt einen Gesamtüberblick über bestehende Sicherheitsrisiken
und analysiert die Wirksamkeit bisher getätigter Sicherheitsinvestitionen.
3

Features:
• Erkennen von Sicherheitsvorfällen durch die Analyse und Korrelation von Ereignisdaten
• Festlegen von Prioritäten für Reaktionen auf erkannte Sicherheitsvorfälle
• Aufzeichnen aller Phasen eines Sicherheitsvorfalls, um die Lösung des Problems bis
zum Abschluss zu verfolgen
• Dokumentieren der getroffenen Massnahmen, um sämtliche Vorfallsdaten für spätere
Prüfungen, juristische Fragen und Prozessoptimierungen zu archivieren
Symantec DeepSight Analyzer
DeepSight Analyzer zeichnet Sicherheitsvorfälle im Netzwerk auf und setzt die von verschiedenen
Intrusion Detection- und Firewall-Lösungen erfassten Vorfälle automatisch
zueinander in Beziehung.
Die Sicherheitsvorfälle werden mit den Daten von Symantec’s eigener Datenbank über
Schwachstellen verglichen und Angriffe bis zu ihrer Lösung aufgezeichnet. Ausserdem
erstellt DeepSight Analyzer Statistiken über Sicherheitsvorfälle.
Technische Informationen
DeepSight Extractor kann entweder separat auf jedem einzelnen NIDS oder aber auch auf
einem zentralen Server installiert werden. Die von Symantec DeepSight Extractor gesammelten
Sicherheitsvorfallsdaten werden anonym an Symantecs Datenbank übermittelt. Es
werden dabei folgende Systeme unterstützt:
Intrusion Detection Systeme: Cisco Secure IDS, Enterasys Dragon, BlackICE, Real Secure,
Snort, Snort Portscan und Symantec NetProwler.
Firewalls: Cisco IOS, Cisco PIX, Firewall-1, IP Chains, IPF, NetScreen und ZoneAlarm.
Symantec Intruder Alert
Symantec Intruder Alert ist eine hostbasierte Lösung für die Erkennung von Angriffen
(Intrusion Detection) und das Richtlinien-Management.
Features:
• Überwachung von Systemen und Netzwerken in Echtzeit zur Erkennung und Unterbindung
nicht autorisierter Aktivitäten
• Ausarbeitung leistungsfähiger, individuell anpassbarer Intrusion Detection-Richtlinien
und entsprechender Reaktionen auf Sicherheitsverletzungen
4

• Durchsetzung der Sicherheitspolitik durch automatische Übernahme neuer Richtlinien
und aktualisierter Intrusion Detection-Signaturen
• Netzwerkweite Reaktion auf Sicherheitsverletzungen über eine zentrale Management-
Konsole
Technische Daten
Symantec Intruder Alert verfügt über spezielle Softwareagenten, die die meisten Serverplattformen,
darunter Windows, UNIX und Novell NetWare, unterstützen. Darüber hinaus
kann die Software für die Überwachung wichtiger, auf den Servern ausgeführter Anwendungen,
wie zum Beispiel Internet- und Datenbankprogramme, konfiguriert werden.
2.2 NetScreen
http://www.netscreen.com
NetScreen offeriert VPNs, Intrusion Dectection and Prevention (IDP) und Central Management
Systeme. NetScreen-IDP Management liefert einen Policy Editor, einen Log
Viewer, Integrated Security Incident Management und Reports.
Policy Editor
Das IDP System wird gesteurt durch eine Regel-basierte Sicherheitspolitik (rule-based
security policy). Diese Regeln definieren welchen Netzwerkverkehr anzuschauen und wie
reagiert werden soll infolge einer Attacke. Individuelle Regeln können an eine oder mehrere
Sensoren angehängt werden.
Log Viewer
Einige Features:
• Filtered views: Filterkritereien auf mehrere Spalten um das Datenset zu reduzieren.
• Multiple views: Darstellung mehrerer gefiltereten Ansichten mit real-time updates,
um die Daten einfacher in Beziehung zu setzen.
• Saved views: Gespeicherte Ansichten ermöglichen eine spätere Anfrage oder Vergleichung
der Daten.
Reporting
5

Die Reporting Funktion ermöglicht real-time alert und log filter Mechanismen. Diese Filter
können im Tool definiert werden und dann in real-time verfolgt werden um den Puls der
Netzwerkes zu verfolgen. Weiter konsolidiert es zum Beispiel duplicate event logs in ein
single event.
Technische Informationen:
• User Interface Platforms: Windows, Linux
• User Interface: Java Application, Command Line Interface
• Centralized Management: Policy Management, Log Viewing, Incident Management
• Log Exporting: Postgress SQL Database, XML File, CSV File
• Sensors: proprietary hardware
2.3 Counterpane
http://www.counterpane.com
Counterpane bietet mit Managed Security Monitoring (MSM) folgende Eigenschaften:
• Real-time monitoring von allen Netzwerkgeräten von ihrem Secure Operations Center
• Sofortige Detektion und Reaktion auf interne und externe Attacken
• zeigt detailierte Sicherheitsevents und Trends an
Counterpane übernimmt die Netzwerküberwachung ganzer Firmennetzwerke. Es ist somit
eine Dienstleistung und kein Produkt das man erwirbt. Counterpane benützt die bestehenden
Security devices und Software und ergänzen diese Daten mit ihrem Know-How.
Ablauf: Die Daten werden erfasst, sortiert, analysiert, in Beziehung zueinander gebracht
mit Hilfe von über 20,000 Security Filter der Analysis Engine, und schliesslich Alerts an
die Secure Operations Centers (SOC) gesendet.
Wichtige Einrichtungen:
Sentry
Der Sentry ist ein monitoring device das im Zielnetzwerk installiert wird. Es sammelt
den Input von allen Geräten im Netzwerk, filtert diese anhand von einem proprietären
Regelwerk und sendet sie and das SOC. Der Sentry versucht anhand von verschiedenen
6

Logquellen (IDS, Applikationen wie sendmail und bind) die Logs in Beziehung zu setzen
um falsche Alarme zu verhindern.
Socrates
Socrates ist das proprietäre Software System, dass die Meldungen von den Sentries über
verdächtige Angriffe erhält. Socrates kategorisiert und priorisiert diese Meldungen und
präsentiert den Analysten Informationen über den Vorfall.
Secure Operations Center (SOC)
Im SOC sitzen die Analysten welche das Netzwerk kontinuierlich überwachen.
2.4 Computer Associates
http://www.ca.com/
CA ist das fünftgrösste Software Unternehmen der Welt und bietet verschiede Security
Lösungen an.
Unter dem Namen eTrust solutions bietet CA eTrust Identity Management, eTrust Access
Management und eTrust Threat Management an, welche alle mit dem eTrust Security
Command Center visualisiert werden. Zum Security Command Center gehört eTrust Audit.
eTrust Audit sammelt Sicherheits Informationen von UNIX, Linux, Windows Servers,
Firewalls, Routers und RDBMS, wie auch von anderen eTrust Produkten, und speichert
diese in eine zentrale Datenbank für die Auswertung.
eTrust Security Command Center Features:
• Real-time security data on demand.
• Cyber security activity monitoring.
• Correlates, displays and analyzes enterprise security events.
• Multiple, fully customizable portal-based business views.
• Web-based intuitive interfaces.
• Easy report automation and centralized publication.
• Obtains key data from external security website resources.
• Integration with other eTrust solutions, as well as other CA and third-party technologies.
7

• Visualization of physical and IT security anomalies
• Transforms data into security intelligence.
Supported Environments
• Windows NT, 2000 and XP
• UNIX
• Linux
• Check Point Firewall-1
• Cisco PIX, Cisco Router
• Various database management applications, web servers, OS/390 systems and eTrust
products
2.5 Internet Security Systems
http://www.iss.net/
ISS bietet Sicherheitslösungen für Privatbenützer, KMU und grosse Unternehmen an. Die
Unternehmenslösungen sind in-house oder betreute (managed) Services. Bei ’Managed
Intrusion Protection Service’ gibt es drei Komponenten: die Sensoren, der Event Collector
(DB) und die Console.
RealSecure ist ein automatisches, real-time Intrusion Detection and Response System.
RealSecure besteht aus folgenden Komponenten:
• Sensoren: low-level Software das nach Attacken sucht und eine Reaktion generiert.
• Workgroup Manager: Das GUI und die Datenbank. Die Console ist eine Komponente
des Workgroup Managers.
Sensors Sensors sind entweder Network Sensors, OS Sensors (operating system sensors)
oder Server sensors. Beispiele von überwachten Aktivitäten:
• Telnet and FTP connections
• changing audit policies
• login attempts to disabled or expired accounts
8

Management Console Die Sensoren werden überwacht und kontrolliert von der RealSecure
Management Console.
Vorteile:
• ISS kann viel Erfahrung in Sicherheit bieten.
• Bietet Lösungen für Privatbenützer, KMU und grosse Unternehmen
Nachteil:
• Obwohl auch für KMU erhältlich sind die Lösungen keine Schnäppchen.
2.6 Applied Watch
http://www.appliedwatch.com/
Applied Watch hat ein Produkt, das aus drei Komponenten besteht: die Console, der
Agent und der Server. Der Agent sammelt real-time Daten und Events von Intrusion
Detection Systemen und sendet diese via SSL Tunnel zum zentralen Applied Watch Server.
Der Applied Watch Server speichert die Daten und die Console agiert als management
und monitoring Interface für die verteilten IDS Sensoren.
Applied Watch Agent Der Agent sammelt real-time Daten und Events von Intrusion
Detection Systemen und sendet diese via SSL Tunnel zum zentralen Applied Watch Server
zur Weiterverarbeitung. Der Agent bietet support für OpenBSD, Linux i386/Sparc und
Sun Solaris.
Applied Watch Server Der Applied Watch Server managed die Daten.
Features:
• Central event aggregation and correlation with a real-time backend data warehouse
• Event journals (user-supplied notes on each event)
• Event history recovery
• Central Snort signature and configuration management
9

• Supports Windows, Solaris, BSD, and Linux
• Remote administration of IDS sensors, Applied Watch Servers, and Applied Watch
Agents
• Raw Hex/ASCII text dump of packets for forensic analysis
Applied Watch Console Die Watch Console (Java) agiert als management und monitoring
Interface für die verteilten IDS Sensoren. Dank Java läuft die Watch Console auf
Unix, Linux, Windows und Mac OS Platformen. Die Watch Console ermöglicht das komplette
Management von remote IDS agent signatures, Konfiguration und event detection.
Features:
• Event Correlation
• Incident Response Notes
• Remote administration of IDS agents and Applied Watch Servers
• Prioritized alerts into High, Medium, and Low
• Complete packet payloads and headers for all events
• real-time alerting
Vorteile:
• Kleinere Firma, ev. kleiner Preis.
Nachteile:
• Kleinere Firma, kleinere Erfahrung in Loganalysen.
2.7 NetIQ
http://www.netiq.com/
NetIQ’s Incident and Event Management solutions automatisieren das Management und
die Analyse vom Logdaten, Intrusions und Events von mehreren Security Devices. Diese
bestehen unter anderem aus folgenden Produkten: Security Manager, VigilEnt Log
Analyzer, Security Reporting Center und VigilEnt Security Agents.
10

VigilEnt Log Analyzer VigilEnt Log Analyzer ermöglicht die Log Archivierung und
Konsolidierung, Security Event Analyse und Log Forensics.
Security Reporting Center Das Security Reporting Center analysiert die Firewall
Logfiles um Reports zu generieren. Diese Logs beinhalten wichtige Daten wie von wo Attacken
kommen, welche Angestellten die meisten e-mails versenden, wieviel Bandbreite die
Firma braucht und welche Benützer auf welche Webseiten zugreifen. NetIQ stützt sich auf
vorhandene Firewalls, es werden eine grosse Anzahl von Firewalls unterstützt wie 3Com,
Check Point, Cisco Systems, Lucent, Microsoft, Netopia, NetScreen, Sun Microsystems
und Symantec.
VigilEnt Security Agents NetIQ bietet VigilEnt Security Agents für Windows 2000/NT,
UNIX, Linux, iSeries, Netware, Microsoft IIS, Apache, SunOne, Oracle, Sybase, SQL Server,
CheckPoint VPN/Firewall-1 und Cisco Secure IDS.
2.8 Check Point
http://www.checkpoint.com/
Check Point ist der Marktführer auf den VPN- und Firewall-Märkten. Die zwei Produkt-
Flagschiffe sind Check Point VPN-1 Pro und Check Point FireWall-1. Check Point biete
jedoch auch eine Fülle von anderen Sicherheitsprodukten wie zum Beispiel der SmartView
Reporter und der SmartView Monitor.
SmartView Reporter SmartView Reporter bietet ein vollständiges Reporting-System,
indem er detaillierte Informationen zu Aktivitäten im Bereich Netzwerksicherheit sowie
zu Events der Check Point Log-Daten bereitstellt. Der Prozess sieht folgendermassen aus:
Step 1: Die Logs werden gesammelt, gespeichert und auf dem Management Server zusammengefasst.
Step 2: Nach dem konsolidierungs Prozess kann der Administrator mit dem SmartView
GUI die Report Generierung planen.
Step 3: Ein Administrator kann dann ein vordefinierter Report auswählen oder selbst
definieren indem die Filter mit dem SmartView Reporter GUI angepasst werden.
Step 4: Reports können gespeichert werden um später wieder darauf zugreifen zu könnnen.
11

SmartView Monitor Der Echtzeit-Monitor dient der Analyse der VPN-Leistung und
ermöglicht Anwendern die grafische Darstellung von Leistungsdaten zu End-to-End-VPN-
Tunneln, darunter Bandbreite, Round Trip-Zeit und Paketverlust. Mit den Informationen
des Echtzeit-Monitors können User den VPN-ROI maximieren, die Leistung verbessern
und Netzwerk-Ausgaben kontrollieren.
2.9 IBM
http://www.ibm.com
IBM gehört zu den grössten IT-Unternehmen der Welt und deckt mit ihrem Dienstleistungs-
, Hardware- und Softwareangebot ein riesiges Gebiet IT-Marktes ab.
IBM Tivoli Intrusion Manager Tivoli Intrusion Manager kontrolliert verschiedene
Ereignisquellen und warnt, wenn es einen Angriff erkennt. Ereignisse an unterschiedlichen
Stellen werden von einer zentralen Instanz gruppiert und sortiert; nur wirklich wichtige
Ereignisse werden gemeldet.
Der Intrusion Manager besteht aus einem Server, der zentral die Events konsolidiert und
korreliert, aus Sensoren, aus einer Java Console für die Darstellung und Monitoring der
Events und Probleme und einem Set von Crystal Reports.
Es werden eine Reihe von Quellen unterstützt - Checkpoint VPN-1/FireWall-1, ISS, Norton
AntiVirus, Cisco Secure PIX Firewall und Cisco Routers - die mit einem Signaturorientierten
Intrusion Detection System die Datenkolletion analysieren und ein einziges
Monitoring System bieten.
Features:
• centralized management console
• advanced event correlation
• reporting/analysis
• integrating a variety of sources and combining a Web Intrusion Detection System,
Network Intrusion Detection System
• brings together data collection, analysis, and problem resolution into a single monitoring
system
• Central consolidation of events from multiple products, such as Norton AntiVirus,
Cisco IDS, firewalls, and routers
12

• A Web and network intrusion detection system that provides added protection to
networks and Web servers
• Supported Platforms: Windows 2000
2.10 ArcSight
http://www.arcsight.com/
ArcSight bezeichnet sich als leading provider of security risk management software. Die
ArcSight Architektur besteht aus der Datensammlung und -speicherung um Netzwerkweite
Alarms und Alerts zu konsolidieren, aus Analysetools um Threats zu erkennen und
aus Display- und Report-Funktionen um die Resultate zu managen.
ArcSight kann in einer existierenden Infrastruktur eingeführt werden ohne zusätzliche
Hardware einzusetzen. Die Datensammlung unterstützt verschiedene Protokolle und Systeme
wie Checkpoint, Cisco SecureIDS, SNMP und syslog.
ArcSight Manager Der ArcSight Manager ist das Nervenzentrum. Es ist ein Serverbasiertes
System welche das Datenmanagement kontrolliert, mit einer correlation engine
und einem Informations Display.
Features:
• An automated notification system that can send messages to the console, a web
browser, pagers, and cell phones
• A Case Management system that houses the complete set of incident information
that can be viewed and updated
• A Knowledge Base wich is a ”living” system that can be continuously improved via
CVE and CERT alerts and vendor updates
• The ability to launch scripts and programs directly from the ArcSight Console to
immediately deal with an active incident.
• OS supported by ArcSight Manager: AIX 5.1; Linux Redhat v7.1, 7.3, 8.0; Solaris
7,8 & 9; Windows NT/2000
ArcSight Console Die ArcSight Console ist ein grafisches Display, die an den aktuellen
Task angepasst werden kann. Mit der Console können neue Rules und Reports definiert
werden.
13

Features:
• Event display in real-time or in replay mode (i.e., ability to playback events from a
given time period)
• The capability to quickly see events of similar characteristics with one mouse click,
such as the same Source IP
• A viewer architecture that enables the user to have a customized view of security
events in various formats including a grid table, charts, maps, and graphics
• The use of filters to select events within desired parameters and date/time ranges
• OS supported by ArcSight Console: Windows NT/2000 + Linux in development
The ArcSight Reporting System ArcSight bietet ein Reporting System mit verschiedenen
Levels und Schlussfolgerungen von den Sicherheitsaktivitäten im System. Die
vordefinierten Reports decken die meisten Management Information auf einer täglichen,
wöchentlichen oder monatlichen Basis.
Features:
• über 100 vordefinierten Reports
• Reports werden verglichen um Anomalien zu entecken
• Reportgenerierung mit Hilfe des GUIs
• Daten Export für die gebräuchlichsten Desktop Publishing Tools
• Beispiele an vordefinierten Reports: Attack Count by Severity, Attacks by Attacker,
Attacks for a Day, Attacks for a Target, Top 10 Attack Signatures, Top 10 Attacked
Hosts, Top 10 Intruders Trend Report for a Specific Event, Destination IP Address
Report, Events for an IP (Source or Target), Notification Log
2.11 e-Security
http://www.esecurityInc.com/
e-Security bezeichnet sich als ’the leading global provider of Security Event Management
software’. e-Security besteht aus 3 Modulen, dem Sentinel, dem Wizard und dem Advisor
die zusammen arbeiten und eine ausführliches Security Event Management via eine
zentrale Console ermöglichen.
14

Central Console (Sentinel) Der Sentinel ist das Nervenzentrum. Die zentrale Console
ermöglicht real-time monitoring eines heterogenen Umfeldes um kritische Informationen
zu schützen. Der Sentinel erhält standartisierte Alert Informationen, gesammelt von irgendeiner
Quelle im Netzwerk und priorisiert und korreliert sie in real-time. e-Security
sammelt Daten von allen Security Produkten auf dem Markt (siehe Wizard). Der Ablauf
sieht so aus: Collect - Normalize - Analyze - Report - Respond.
Agent Technology (Wizard) Der Wizard ermöglicht dem Benutzer Agents zu entwickeln
und anzupassen um alle möglichen Geräte zu überwachen. Es können Rules und
Filter zu definiert werden. Die Daten werden dann sicher zum Control Center gesendet. Es
werden verschiedene Quellen unterstützt wie log files, ODBC, sockets, Cisco und SNMP.
Unterstützte Produkte
• Intrusion Detection (host-based) : COPS - Network Associates CyberCop - Entercept
- Symantec Intruder Alert Manager - ISS NetworkIce
• LAN Equipment : Cabletron Switches - Cisco Routers
• Intrusion Detection (network-based) : Cisco Director - Cisco Secure IDS (NetRanger)
- Enterasys Dragon - Intrusion.com - ISS RealSecure - ISS SiteProtector -
Network Associates CyberCop - NetScreen - NFR - Snort - Symantec ManHunt -
Symantec Net Prowler
• Databases : Informix - MS-SQL Server - MySQL - Oracle - Sybase
• Firewalls : Checkpoint Firewall-1 - Cisco PIX - CyberGuard - IPChains - Lucent
Managed Firewall - NetScreen - Network Associates Gauntlet - Sonic Wall - Stonewall
- Symantec Raptor - WatchGuard
Correlation Die Korrelation ist essentiell für die exakete Analyse der Security Events.
Das Ziel ist es Ähnlichkeiten und Trends unter den Cyber-Attacken zu erkennen. Dies
wird mit Hilfe von historischen Analysen, WatchLists und (pre-built) Rules ermöglicht.
Intelligence Der Advisor greift auf die Vulnerability Datenbank von Symantec’s SecurityFocus
zu, eine der grössten Kollektion von bekannten Sicherheitsbedrohungen. Es
wird so verglichen, ob ein bekannte Sicherheitslücke bereits existiert und eventuelle Erklärungen
zur Eindämmung oder Verhinderung von weiteren Attacken liefern.
15

Reporting Reports basieren auf standartisierten Informationen von Security Informationsquellen.
Alle Reports sind Web-basiert und beinhalten:
• Trend analysis
• Security status of Lines of Business or critical assets
• Attack types
• Targeted assets
• Response times and resolution
2.12 Open Service (Open)
http://www.open.com/
Open Service ist ein Provider von Network Security Event Magement Solutions.
Security Threat Manager
Der Security Threat Manager liefert real-time correlation, alerting und forensische Analyse
in einer einzigen Security Event Management Software Suite. Die Kollektion besteht aus
folgenden Komponenten:
• SystemWatch: der Security Management Agent
• CorrelationCenter: real-time threat correlation
• Open Management Console: Alert- und Konfigurations-Management
• ThreatReporter: Forensic und Management Reports
SystemWatch SystemWacht sammelt Daten, es überwacht die CPU, das Memory, Prozesse
und andere Ressourcen.
Supported platforms: Checkpoint firewalls; Linux; Windows NT / 2000 / XP; Solaris;
HP-UX
16

CorrelationCenter Das CorrelationCenter wird mit vordefinierten Korrelations Modellen
geliefert, hat ein web-based Management GUI, verfolgt und korreliert Daten unabhänging
vom Produkt, Anbieter oder Sensor. Die out-of-the-box correlation models
beinhalten die folgenden, erweiterbaren Kategorien:
• Source IP
• Target IP
• Sensor IP
• Attack Category
• Watch lists
Die Engine unterhält eine watch list von Attackers welche sie verfolgt, und speichert diese
und die ThreatManager’s Datenbank für die spätere forensische Analyse und Reporting.
Realisiert wird dies mit Hilfe einer Kombination von finite state machine technology und
rules-based Analyse. Die Correlation Engine weist jeden Inbound Threat in eine Kategorie
ein, um wichtigere Threats schneller lokalisieren zu können. Eigene Kategorien können mit
dem GUI hinzugefügt werden.
Open Management Console Die Console organisiert und managed alle Komponenten
der Security Threat Manager Suite. Sie wird mit einer Sybase Datenbank ausgestattet, um
schnellstmöglich installiert zu werden. Alle Komponenten mit der web-based Management
Console gemanaged. Es werden folgende Informationen gesammelt:
• Event Time Stamp
• Pending Security Actions
• Agent Location
• Resources
• Priority Level
• Security Event Description
• Owner
• Security Category
17

Threat Reporting Summary Report Features:
• Interactive analyses navigated by clicking on the chart or data table
• Printer-friendly, non-Flash versions always available
• Browser-based solution for minimal roll-out costs
• Top 10 option to show the most pressing events first
• Shows correlated incidents or raw threats
2.13 GuardedNet
http://www.guarded.net/
GuardedNet entwickelt Security Management Produkte. neuSECURE ist eine Security
Event Management Softwarelösung um einen Überblick der Firmensicherheit zu bekommen.
Process: Centralize / Correlate -¿ Analyze / Prioritize -¿ Investigate / Respond -¿ Report
/ Remember
Security Event Daten werden von Geräten wie syslog, SNMP und XML akzeptiert, ohne
Agents zu benötigen. Es werden verschiedene Quellen aus dem Bereich NIDS, Firewall,
versch. OS, Routers und VPN’s unterstützt. Dann werden die nativen Logdaten in einem
’common format’ gespeichert. Die Correlation Engine ist verantwortlich für Verarbeitung
aller Event Daten und die Abwicklung der Business Rules. Die Central Console wird mit
dem Web-basierten Interface bedient um zu überwachen, zu erforschen und zu reagieren.
Die ’correlation and threat analysis technology’ bewältigt den komplexen Ablauf des Erkennens
und Priorisieren der Bedrohung. Schliesslich kann der Analyst vom Web-basierten
Interface aus statistische und historische Analysen auf den Daten durchführen, um Trends
und Patterns in der Organisation festzustellen.
Der Server läuft unter Linux und Solaris 8, der Client benötigt IE 5.5 und eine Java VM
ab 1.4.
2.14 Analysis Console for Intrusion Databases
http://acidlab.sourceforge.net/
ACID ist ein PHP basiertes Analysetool um eine Datenbank von Sicherheitsevents zu
bearbeiten und zu durchsuchen, die von verschiedenen IDS’s, Firewalls und Network Monitoring
Tools generiert worden sind.
18

Features:
• Query-builder and search interface
• Packet viewer (decoder)
• Alert management
• Chart and statistics generations
3 Zusammenfassung
Es existiert heute eine breite Palette an kleinen und grossen Firmen die sehr gute Produkte
und Dienstleistungen anbieten. Die meisten Lösungen richten sich jedoch and finanziell
starke Unternehmen, die ein grosses Firmennetzwerk abdecken müssen. Denn dort lässt
sich auch Geld verdienen. Kleinere Firmen müssen sich vornehmlich mit OpenSource Tools
zufrieden geben, die qualitätsmässig gut mithalten können, jedoch meistens lange nicht
so umfangreich sind wie Produkte kommerzieller Unternehmen.
19