Marktanalyse
Marktanalyse
Marktanalyse
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Marktanalyse</strong><br />
Bruno Blumenthal und Roger Meyer<br />
17. Juli 2003<br />
Zusammenfassung<br />
<strong>Marktanalyse</strong> von Netzwerküberwachungs Tools und Dienstleistungen<br />
1
Inhaltsverzeichnis<br />
1 Einführung 1<br />
2 Firmenübersicht 2<br />
2.1 Symantec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2<br />
2.2 NetScreen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
2.3 Counterpane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4<br />
2.4 Computer Associates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5<br />
2.5 Internet Security Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
2.6 Applied Watch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8<br />
2.7 NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9<br />
2.8 Check Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10<br />
2.9 IBM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10<br />
2.10 ArcSight . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
2.11 e-Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13<br />
2.12 Open Service (Open) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15<br />
2.13 GuardedNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
2.14 Analysis Console for Intrusion Databases . . . . . . . . . . . . . . . . . . . 17<br />
3 Zusammenfassung 18<br />
2
1 Einführung<br />
Verschiedene Studien sagen der IT-Sicherheit goldene Zeiten voraus. Spätestens seit dem<br />
11. September 2001 sind sich alle einig, dass die Sicherheit, und die IT-Sicherheit im<br />
speziellen, eine immer wichtigere Rolle einnehmen wird. Die Sicherheits- und Ueberwachungsfirmen<br />
gehören zu den wenigen Unternehmen die von diesem tragischen Vorfall<br />
profitieren konnten. Seitdem investieren grosse und kleine Unternehmen und Regierungen<br />
aus aller Welt enorme Beträge um ihre Systeme abhör- und einbruchsicher zu machen.<br />
Viele Schutzmassnahmen gehen oft zu Lasten des Bedienerkomforts und der einfachen Administration.<br />
Zudem lähmen überhöhte Sicherheitsmechanismen häufig die Wirtschaftlichkeit<br />
des Unternehmens, verzögern produktive Arbeit oder führen zu zusätzlichen Kosten.<br />
Netzwerkanalyse Tools sollen hier einspringen um die Administration eines grösseren Netzwerkes<br />
zu erleichtern. Diese <strong>Marktanalyse</strong> soll eine kleine Zusammenstellung solcher Tools<br />
und Dienstleistungen bieten.<br />
Warum?<br />
• Übersicht an vorhandenen Firmen, Tools und Dienstleistungen in diesem Sektor<br />
• Verschiedene Lösungsmöglichkeiten sehen<br />
2 Firmenübersicht<br />
2.1 Symantec<br />
http://www.symantec.ch<br />
Symantec ist wohl der grösste Anbieter von Sicherheitslösungen. Gross geworden ist Symantec<br />
durch ihre Anti-Virus Programme. Inzwischen haben sie mehrere Firmen übernommen<br />
wie SecurityFocus.com.<br />
Ein kleiner Auszug aus dem riesigen Programmsortiment:<br />
Symantec Incident Manager: Sicherheitsmanagement für Unternehmensnetzwerke in<br />
Echtzeit.<br />
Symantec Incident Manager verwaltet Sicherheitsvorfälle in Echtzeit. Sie ordnet Sicherheitsdaten<br />
nach Prioritäten, gibt einen Gesamtüberblick über bestehende Sicherheitsrisiken<br />
und analysiert die Wirksamkeit bisher getätigter Sicherheitsinvestitionen.<br />
3
Features:<br />
• Erkennen von Sicherheitsvorfällen durch die Analyse und Korrelation von Ereignisdaten<br />
• Festlegen von Prioritäten für Reaktionen auf erkannte Sicherheitsvorfälle<br />
• Aufzeichnen aller Phasen eines Sicherheitsvorfalls, um die Lösung des Problems bis<br />
zum Abschluss zu verfolgen<br />
• Dokumentieren der getroffenen Massnahmen, um sämtliche Vorfallsdaten für spätere<br />
Prüfungen, juristische Fragen und Prozessoptimierungen zu archivieren<br />
Symantec DeepSight Analyzer<br />
DeepSight Analyzer zeichnet Sicherheitsvorfälle im Netzwerk auf und setzt die von verschiedenen<br />
Intrusion Detection- und Firewall-Lösungen erfassten Vorfälle automatisch<br />
zueinander in Beziehung.<br />
Die Sicherheitsvorfälle werden mit den Daten von Symantec’s eigener Datenbank über<br />
Schwachstellen verglichen und Angriffe bis zu ihrer Lösung aufgezeichnet. Ausserdem<br />
erstellt DeepSight Analyzer Statistiken über Sicherheitsvorfälle.<br />
Technische Informationen<br />
DeepSight Extractor kann entweder separat auf jedem einzelnen NIDS oder aber auch auf<br />
einem zentralen Server installiert werden. Die von Symantec DeepSight Extractor gesammelten<br />
Sicherheitsvorfallsdaten werden anonym an Symantecs Datenbank übermittelt. Es<br />
werden dabei folgende Systeme unterstützt:<br />
Intrusion Detection Systeme: Cisco Secure IDS, Enterasys Dragon, BlackICE, Real Secure,<br />
Snort, Snort Portscan und Symantec NetProwler.<br />
Firewalls: Cisco IOS, Cisco PIX, Firewall-1, IP Chains, IPF, NetScreen und ZoneAlarm.<br />
Symantec Intruder Alert<br />
Symantec Intruder Alert ist eine hostbasierte Lösung für die Erkennung von Angriffen<br />
(Intrusion Detection) und das Richtlinien-Management.<br />
Features:<br />
• Überwachung von Systemen und Netzwerken in Echtzeit zur Erkennung und Unterbindung<br />
nicht autorisierter Aktivitäten<br />
• Ausarbeitung leistungsfähiger, individuell anpassbarer Intrusion Detection-Richtlinien<br />
und entsprechender Reaktionen auf Sicherheitsverletzungen<br />
4
• Durchsetzung der Sicherheitspolitik durch automatische Übernahme neuer Richtlinien<br />
und aktualisierter Intrusion Detection-Signaturen<br />
• Netzwerkweite Reaktion auf Sicherheitsverletzungen über eine zentrale Management-<br />
Konsole<br />
Technische Daten<br />
Symantec Intruder Alert verfügt über spezielle Softwareagenten, die die meisten Serverplattformen,<br />
darunter Windows, UNIX und Novell NetWare, unterstützen. Darüber hinaus<br />
kann die Software für die Überwachung wichtiger, auf den Servern ausgeführter Anwendungen,<br />
wie zum Beispiel Internet- und Datenbankprogramme, konfiguriert werden.<br />
2.2 NetScreen<br />
http://www.netscreen.com<br />
NetScreen offeriert VPNs, Intrusion Dectection and Prevention (IDP) und Central Management<br />
Systeme. NetScreen-IDP Management liefert einen Policy Editor, einen Log<br />
Viewer, Integrated Security Incident Management und Reports.<br />
Policy Editor<br />
Das IDP System wird gesteurt durch eine Regel-basierte Sicherheitspolitik (rule-based<br />
security policy). Diese Regeln definieren welchen Netzwerkverkehr anzuschauen und wie<br />
reagiert werden soll infolge einer Attacke. Individuelle Regeln können an eine oder mehrere<br />
Sensoren angehängt werden.<br />
Log Viewer<br />
Einige Features:<br />
• Filtered views: Filterkritereien auf mehrere Spalten um das Datenset zu reduzieren.<br />
• Multiple views: Darstellung mehrerer gefiltereten Ansichten mit real-time updates,<br />
um die Daten einfacher in Beziehung zu setzen.<br />
• Saved views: Gespeicherte Ansichten ermöglichen eine spätere Anfrage oder Vergleichung<br />
der Daten.<br />
Reporting<br />
5
Die Reporting Funktion ermöglicht real-time alert und log filter Mechanismen. Diese Filter<br />
können im Tool definiert werden und dann in real-time verfolgt werden um den Puls der<br />
Netzwerkes zu verfolgen. Weiter konsolidiert es zum Beispiel duplicate event logs in ein<br />
single event.<br />
Technische Informationen:<br />
• User Interface Platforms: Windows, Linux<br />
• User Interface: Java Application, Command Line Interface<br />
• Centralized Management: Policy Management, Log Viewing, Incident Management<br />
• Log Exporting: Postgress SQL Database, XML File, CSV File<br />
• Sensors: proprietary hardware<br />
2.3 Counterpane<br />
http://www.counterpane.com<br />
Counterpane bietet mit Managed Security Monitoring (MSM) folgende Eigenschaften:<br />
• Real-time monitoring von allen Netzwerkgeräten von ihrem Secure Operations Center<br />
• Sofortige Detektion und Reaktion auf interne und externe Attacken<br />
• zeigt detailierte Sicherheitsevents und Trends an<br />
Counterpane übernimmt die Netzwerküberwachung ganzer Firmennetzwerke. Es ist somit<br />
eine Dienstleistung und kein Produkt das man erwirbt. Counterpane benützt die bestehenden<br />
Security devices und Software und ergänzen diese Daten mit ihrem Know-How.<br />
Ablauf: Die Daten werden erfasst, sortiert, analysiert, in Beziehung zueinander gebracht<br />
mit Hilfe von über 20,000 Security Filter der Analysis Engine, und schliesslich Alerts an<br />
die Secure Operations Centers (SOC) gesendet.<br />
Wichtige Einrichtungen:<br />
Sentry<br />
Der Sentry ist ein monitoring device das im Zielnetzwerk installiert wird. Es sammelt<br />
den Input von allen Geräten im Netzwerk, filtert diese anhand von einem proprietären<br />
Regelwerk und sendet sie and das SOC. Der Sentry versucht anhand von verschiedenen<br />
6
Logquellen (IDS, Applikationen wie sendmail und bind) die Logs in Beziehung zu setzen<br />
um falsche Alarme zu verhindern.<br />
Socrates<br />
Socrates ist das proprietäre Software System, dass die Meldungen von den Sentries über<br />
verdächtige Angriffe erhält. Socrates kategorisiert und priorisiert diese Meldungen und<br />
präsentiert den Analysten Informationen über den Vorfall.<br />
Secure Operations Center (SOC)<br />
Im SOC sitzen die Analysten welche das Netzwerk kontinuierlich überwachen.<br />
2.4 Computer Associates<br />
http://www.ca.com/<br />
CA ist das fünftgrösste Software Unternehmen der Welt und bietet verschiede Security<br />
Lösungen an.<br />
Unter dem Namen eTrust solutions bietet CA eTrust Identity Management, eTrust Access<br />
Management und eTrust Threat Management an, welche alle mit dem eTrust Security<br />
Command Center visualisiert werden. Zum Security Command Center gehört eTrust Audit.<br />
eTrust Audit sammelt Sicherheits Informationen von UNIX, Linux, Windows Servers,<br />
Firewalls, Routers und RDBMS, wie auch von anderen eTrust Produkten, und speichert<br />
diese in eine zentrale Datenbank für die Auswertung.<br />
eTrust Security Command Center Features:<br />
• Real-time security data on demand.<br />
• Cyber security activity monitoring.<br />
• Correlates, displays and analyzes enterprise security events.<br />
• Multiple, fully customizable portal-based business views.<br />
• Web-based intuitive interfaces.<br />
• Easy report automation and centralized publication.<br />
• Obtains key data from external security website resources.<br />
• Integration with other eTrust solutions, as well as other CA and third-party technologies.<br />
7
• Visualization of physical and IT security anomalies<br />
• Transforms data into security intelligence.<br />
Supported Environments<br />
• Windows NT, 2000 and XP<br />
• UNIX<br />
• Linux<br />
• Check Point Firewall-1<br />
• Cisco PIX, Cisco Router<br />
• Various database management applications, web servers, OS/390 systems and eTrust<br />
products<br />
2.5 Internet Security Systems<br />
http://www.iss.net/<br />
ISS bietet Sicherheitslösungen für Privatbenützer, KMU und grosse Unternehmen an. Die<br />
Unternehmenslösungen sind in-house oder betreute (managed) Services. Bei ’Managed<br />
Intrusion Protection Service’ gibt es drei Komponenten: die Sensoren, der Event Collector<br />
(DB) und die Console.<br />
RealSecure ist ein automatisches, real-time Intrusion Detection and Response System.<br />
RealSecure besteht aus folgenden Komponenten:<br />
• Sensoren: low-level Software das nach Attacken sucht und eine Reaktion generiert.<br />
• Workgroup Manager: Das GUI und die Datenbank. Die Console ist eine Komponente<br />
des Workgroup Managers.<br />
Sensors Sensors sind entweder Network Sensors, OS Sensors (operating system sensors)<br />
oder Server sensors. Beispiele von überwachten Aktivitäten:<br />
• Telnet and FTP connections<br />
• changing audit policies<br />
• login attempts to disabled or expired accounts<br />
8
Management Console Die Sensoren werden überwacht und kontrolliert von der RealSecure<br />
Management Console.<br />
Vorteile:<br />
• ISS kann viel Erfahrung in Sicherheit bieten.<br />
• Bietet Lösungen für Privatbenützer, KMU und grosse Unternehmen<br />
Nachteil:<br />
• Obwohl auch für KMU erhältlich sind die Lösungen keine Schnäppchen.<br />
2.6 Applied Watch<br />
http://www.appliedwatch.com/<br />
Applied Watch hat ein Produkt, das aus drei Komponenten besteht: die Console, der<br />
Agent und der Server. Der Agent sammelt real-time Daten und Events von Intrusion<br />
Detection Systemen und sendet diese via SSL Tunnel zum zentralen Applied Watch Server.<br />
Der Applied Watch Server speichert die Daten und die Console agiert als management<br />
und monitoring Interface für die verteilten IDS Sensoren.<br />
Applied Watch Agent Der Agent sammelt real-time Daten und Events von Intrusion<br />
Detection Systemen und sendet diese via SSL Tunnel zum zentralen Applied Watch Server<br />
zur Weiterverarbeitung. Der Agent bietet support für OpenBSD, Linux i386/Sparc und<br />
Sun Solaris.<br />
Applied Watch Server Der Applied Watch Server managed die Daten.<br />
Features:<br />
• Central event aggregation and correlation with a real-time backend data warehouse<br />
• Event journals (user-supplied notes on each event)<br />
• Event history recovery<br />
• Central Snort signature and configuration management<br />
9
• Supports Windows, Solaris, BSD, and Linux<br />
• Remote administration of IDS sensors, Applied Watch Servers, and Applied Watch<br />
Agents<br />
• Raw Hex/ASCII text dump of packets for forensic analysis<br />
Applied Watch Console Die Watch Console (Java) agiert als management und monitoring<br />
Interface für die verteilten IDS Sensoren. Dank Java läuft die Watch Console auf<br />
Unix, Linux, Windows und Mac OS Platformen. Die Watch Console ermöglicht das komplette<br />
Management von remote IDS agent signatures, Konfiguration und event detection.<br />
Features:<br />
• Event Correlation<br />
• Incident Response Notes<br />
• Remote administration of IDS agents and Applied Watch Servers<br />
• Prioritized alerts into High, Medium, and Low<br />
• Complete packet payloads and headers for all events<br />
• real-time alerting<br />
Vorteile:<br />
• Kleinere Firma, ev. kleiner Preis.<br />
Nachteile:<br />
• Kleinere Firma, kleinere Erfahrung in Loganalysen.<br />
2.7 NetIQ<br />
http://www.netiq.com/<br />
NetIQ’s Incident and Event Management solutions automatisieren das Management und<br />
die Analyse vom Logdaten, Intrusions und Events von mehreren Security Devices. Diese<br />
bestehen unter anderem aus folgenden Produkten: Security Manager, VigilEnt Log<br />
Analyzer, Security Reporting Center und VigilEnt Security Agents.<br />
10
VigilEnt Log Analyzer VigilEnt Log Analyzer ermöglicht die Log Archivierung und<br />
Konsolidierung, Security Event Analyse und Log Forensics.<br />
Security Reporting Center Das Security Reporting Center analysiert die Firewall<br />
Logfiles um Reports zu generieren. Diese Logs beinhalten wichtige Daten wie von wo Attacken<br />
kommen, welche Angestellten die meisten e-mails versenden, wieviel Bandbreite die<br />
Firma braucht und welche Benützer auf welche Webseiten zugreifen. NetIQ stützt sich auf<br />
vorhandene Firewalls, es werden eine grosse Anzahl von Firewalls unterstützt wie 3Com,<br />
Check Point, Cisco Systems, Lucent, Microsoft, Netopia, NetScreen, Sun Microsystems<br />
und Symantec.<br />
VigilEnt Security Agents NetIQ bietet VigilEnt Security Agents für Windows 2000/NT,<br />
UNIX, Linux, iSeries, Netware, Microsoft IIS, Apache, SunOne, Oracle, Sybase, SQL Server,<br />
CheckPoint VPN/Firewall-1 und Cisco Secure IDS.<br />
2.8 Check Point<br />
http://www.checkpoint.com/<br />
Check Point ist der Marktführer auf den VPN- und Firewall-Märkten. Die zwei Produkt-<br />
Flagschiffe sind Check Point VPN-1 Pro und Check Point FireWall-1. Check Point biete<br />
jedoch auch eine Fülle von anderen Sicherheitsprodukten wie zum Beispiel der SmartView<br />
Reporter und der SmartView Monitor.<br />
SmartView Reporter SmartView Reporter bietet ein vollständiges Reporting-System,<br />
indem er detaillierte Informationen zu Aktivitäten im Bereich Netzwerksicherheit sowie<br />
zu Events der Check Point Log-Daten bereitstellt. Der Prozess sieht folgendermassen aus:<br />
Step 1: Die Logs werden gesammelt, gespeichert und auf dem Management Server zusammengefasst.<br />
Step 2: Nach dem konsolidierungs Prozess kann der Administrator mit dem SmartView<br />
GUI die Report Generierung planen.<br />
Step 3: Ein Administrator kann dann ein vordefinierter Report auswählen oder selbst<br />
definieren indem die Filter mit dem SmartView Reporter GUI angepasst werden.<br />
Step 4: Reports können gespeichert werden um später wieder darauf zugreifen zu könnnen.<br />
11
SmartView Monitor Der Echtzeit-Monitor dient der Analyse der VPN-Leistung und<br />
ermöglicht Anwendern die grafische Darstellung von Leistungsdaten zu End-to-End-VPN-<br />
Tunneln, darunter Bandbreite, Round Trip-Zeit und Paketverlust. Mit den Informationen<br />
des Echtzeit-Monitors können User den VPN-ROI maximieren, die Leistung verbessern<br />
und Netzwerk-Ausgaben kontrollieren.<br />
2.9 IBM<br />
http://www.ibm.com<br />
IBM gehört zu den grössten IT-Unternehmen der Welt und deckt mit ihrem Dienstleistungs-<br />
, Hardware- und Softwareangebot ein riesiges Gebiet IT-Marktes ab.<br />
IBM Tivoli Intrusion Manager Tivoli Intrusion Manager kontrolliert verschiedene<br />
Ereignisquellen und warnt, wenn es einen Angriff erkennt. Ereignisse an unterschiedlichen<br />
Stellen werden von einer zentralen Instanz gruppiert und sortiert; nur wirklich wichtige<br />
Ereignisse werden gemeldet.<br />
Der Intrusion Manager besteht aus einem Server, der zentral die Events konsolidiert und<br />
korreliert, aus Sensoren, aus einer Java Console für die Darstellung und Monitoring der<br />
Events und Probleme und einem Set von Crystal Reports.<br />
Es werden eine Reihe von Quellen unterstützt - Checkpoint VPN-1/FireWall-1, ISS, Norton<br />
AntiVirus, Cisco Secure PIX Firewall und Cisco Routers - die mit einem Signaturorientierten<br />
Intrusion Detection System die Datenkolletion analysieren und ein einziges<br />
Monitoring System bieten.<br />
Features:<br />
• centralized management console<br />
• advanced event correlation<br />
• reporting/analysis<br />
• integrating a variety of sources and combining a Web Intrusion Detection System,<br />
Network Intrusion Detection System<br />
• brings together data collection, analysis, and problem resolution into a single monitoring<br />
system<br />
• Central consolidation of events from multiple products, such as Norton AntiVirus,<br />
Cisco IDS, firewalls, and routers<br />
12
• A Web and network intrusion detection system that provides added protection to<br />
networks and Web servers<br />
• Supported Platforms: Windows 2000<br />
2.10 ArcSight<br />
http://www.arcsight.com/<br />
ArcSight bezeichnet sich als leading provider of security risk management software. Die<br />
ArcSight Architektur besteht aus der Datensammlung und -speicherung um Netzwerkweite<br />
Alarms und Alerts zu konsolidieren, aus Analysetools um Threats zu erkennen und<br />
aus Display- und Report-Funktionen um die Resultate zu managen.<br />
ArcSight kann in einer existierenden Infrastruktur eingeführt werden ohne zusätzliche<br />
Hardware einzusetzen. Die Datensammlung unterstützt verschiedene Protokolle und Systeme<br />
wie Checkpoint, Cisco SecureIDS, SNMP und syslog.<br />
ArcSight Manager Der ArcSight Manager ist das Nervenzentrum. Es ist ein Serverbasiertes<br />
System welche das Datenmanagement kontrolliert, mit einer correlation engine<br />
und einem Informations Display.<br />
Features:<br />
• An automated notification system that can send messages to the console, a web<br />
browser, pagers, and cell phones<br />
• A Case Management system that houses the complete set of incident information<br />
that can be viewed and updated<br />
• A Knowledge Base wich is a ”living” system that can be continuously improved via<br />
CVE and CERT alerts and vendor updates<br />
• The ability to launch scripts and programs directly from the ArcSight Console to<br />
immediately deal with an active incident.<br />
• OS supported by ArcSight Manager: AIX 5.1; Linux Redhat v7.1, 7.3, 8.0; Solaris<br />
7,8 & 9; Windows NT/2000<br />
ArcSight Console Die ArcSight Console ist ein grafisches Display, die an den aktuellen<br />
Task angepasst werden kann. Mit der Console können neue Rules und Reports definiert<br />
werden.<br />
13
Features:<br />
• Event display in real-time or in replay mode (i.e., ability to playback events from a<br />
given time period)<br />
• The capability to quickly see events of similar characteristics with one mouse click,<br />
such as the same Source IP<br />
• A viewer architecture that enables the user to have a customized view of security<br />
events in various formats including a grid table, charts, maps, and graphics<br />
• The use of filters to select events within desired parameters and date/time ranges<br />
• OS supported by ArcSight Console: Windows NT/2000 + Linux in development<br />
The ArcSight Reporting System ArcSight bietet ein Reporting System mit verschiedenen<br />
Levels und Schlussfolgerungen von den Sicherheitsaktivitäten im System. Die<br />
vordefinierten Reports decken die meisten Management Information auf einer täglichen,<br />
wöchentlichen oder monatlichen Basis.<br />
Features:<br />
• über 100 vordefinierten Reports<br />
• Reports werden verglichen um Anomalien zu entecken<br />
• Reportgenerierung mit Hilfe des GUIs<br />
• Daten Export für die gebräuchlichsten Desktop Publishing Tools<br />
• Beispiele an vordefinierten Reports: Attack Count by Severity, Attacks by Attacker,<br />
Attacks for a Day, Attacks for a Target, Top 10 Attack Signatures, Top 10 Attacked<br />
Hosts, Top 10 Intruders Trend Report for a Specific Event, Destination IP Address<br />
Report, Events for an IP (Source or Target), Notification Log<br />
2.11 e-Security<br />
http://www.esecurityInc.com/<br />
e-Security bezeichnet sich als ’the leading global provider of Security Event Management<br />
software’. e-Security besteht aus 3 Modulen, dem Sentinel, dem Wizard und dem Advisor<br />
die zusammen arbeiten und eine ausführliches Security Event Management via eine<br />
zentrale Console ermöglichen.<br />
14
Central Console (Sentinel) Der Sentinel ist das Nervenzentrum. Die zentrale Console<br />
ermöglicht real-time monitoring eines heterogenen Umfeldes um kritische Informationen<br />
zu schützen. Der Sentinel erhält standartisierte Alert Informationen, gesammelt von irgendeiner<br />
Quelle im Netzwerk und priorisiert und korreliert sie in real-time. e-Security<br />
sammelt Daten von allen Security Produkten auf dem Markt (siehe Wizard). Der Ablauf<br />
sieht so aus: Collect - Normalize - Analyze - Report - Respond.<br />
Agent Technology (Wizard) Der Wizard ermöglicht dem Benutzer Agents zu entwickeln<br />
und anzupassen um alle möglichen Geräte zu überwachen. Es können Rules und<br />
Filter zu definiert werden. Die Daten werden dann sicher zum Control Center gesendet. Es<br />
werden verschiedene Quellen unterstützt wie log files, ODBC, sockets, Cisco und SNMP.<br />
Unterstützte Produkte<br />
• Intrusion Detection (host-based) : COPS - Network Associates CyberCop - Entercept<br />
- Symantec Intruder Alert Manager - ISS NetworkIce<br />
• LAN Equipment : Cabletron Switches - Cisco Routers<br />
• Intrusion Detection (network-based) : Cisco Director - Cisco Secure IDS (NetRanger)<br />
- Enterasys Dragon - Intrusion.com - ISS RealSecure - ISS SiteProtector -<br />
Network Associates CyberCop - NetScreen - NFR - Snort - Symantec ManHunt -<br />
Symantec Net Prowler<br />
• Databases : Informix - MS-SQL Server - MySQL - Oracle - Sybase<br />
• Firewalls : Checkpoint Firewall-1 - Cisco PIX - CyberGuard - IPChains - Lucent<br />
Managed Firewall - NetScreen - Network Associates Gauntlet - Sonic Wall - Stonewall<br />
- Symantec Raptor - WatchGuard<br />
Correlation Die Korrelation ist essentiell für die exakete Analyse der Security Events.<br />
Das Ziel ist es Ähnlichkeiten und Trends unter den Cyber-Attacken zu erkennen. Dies<br />
wird mit Hilfe von historischen Analysen, WatchLists und (pre-built) Rules ermöglicht.<br />
Intelligence Der Advisor greift auf die Vulnerability Datenbank von Symantec’s SecurityFocus<br />
zu, eine der grössten Kollektion von bekannten Sicherheitsbedrohungen. Es<br />
wird so verglichen, ob ein bekannte Sicherheitslücke bereits existiert und eventuelle Erklärungen<br />
zur Eindämmung oder Verhinderung von weiteren Attacken liefern.<br />
15
Reporting Reports basieren auf standartisierten Informationen von Security Informationsquellen.<br />
Alle Reports sind Web-basiert und beinhalten:<br />
• Trend analysis<br />
• Security status of Lines of Business or critical assets<br />
• Attack types<br />
• Targeted assets<br />
• Response times and resolution<br />
2.12 Open Service (Open)<br />
http://www.open.com/<br />
Open Service ist ein Provider von Network Security Event Magement Solutions.<br />
Security Threat Manager<br />
Der Security Threat Manager liefert real-time correlation, alerting und forensische Analyse<br />
in einer einzigen Security Event Management Software Suite. Die Kollektion besteht aus<br />
folgenden Komponenten:<br />
• SystemWatch: der Security Management Agent<br />
• CorrelationCenter: real-time threat correlation<br />
• Open Management Console: Alert- und Konfigurations-Management<br />
• ThreatReporter: Forensic und Management Reports<br />
SystemWatch SystemWacht sammelt Daten, es überwacht die CPU, das Memory, Prozesse<br />
und andere Ressourcen.<br />
Supported platforms: Checkpoint firewalls; Linux; Windows NT / 2000 / XP; Solaris;<br />
HP-UX<br />
16
CorrelationCenter Das CorrelationCenter wird mit vordefinierten Korrelations Modellen<br />
geliefert, hat ein web-based Management GUI, verfolgt und korreliert Daten unabhänging<br />
vom Produkt, Anbieter oder Sensor. Die out-of-the-box correlation models<br />
beinhalten die folgenden, erweiterbaren Kategorien:<br />
• Source IP<br />
• Target IP<br />
• Sensor IP<br />
• Attack Category<br />
• Watch lists<br />
Die Engine unterhält eine watch list von Attackers welche sie verfolgt, und speichert diese<br />
und die ThreatManager’s Datenbank für die spätere forensische Analyse und Reporting.<br />
Realisiert wird dies mit Hilfe einer Kombination von finite state machine technology und<br />
rules-based Analyse. Die Correlation Engine weist jeden Inbound Threat in eine Kategorie<br />
ein, um wichtigere Threats schneller lokalisieren zu können. Eigene Kategorien können mit<br />
dem GUI hinzugefügt werden.<br />
Open Management Console Die Console organisiert und managed alle Komponenten<br />
der Security Threat Manager Suite. Sie wird mit einer Sybase Datenbank ausgestattet, um<br />
schnellstmöglich installiert zu werden. Alle Komponenten mit der web-based Management<br />
Console gemanaged. Es werden folgende Informationen gesammelt:<br />
• Event Time Stamp<br />
• Pending Security Actions<br />
• Agent Location<br />
• Resources<br />
• Priority Level<br />
• Security Event Description<br />
• Owner<br />
• Security Category<br />
17
Threat Reporting Summary Report Features:<br />
• Interactive analyses navigated by clicking on the chart or data table<br />
• Printer-friendly, non-Flash versions always available<br />
• Browser-based solution for minimal roll-out costs<br />
• Top 10 option to show the most pressing events first<br />
• Shows correlated incidents or raw threats<br />
2.13 GuardedNet<br />
http://www.guarded.net/<br />
GuardedNet entwickelt Security Management Produkte. neuSECURE ist eine Security<br />
Event Management Softwarelösung um einen Überblick der Firmensicherheit zu bekommen.<br />
Process: Centralize / Correlate -¿ Analyze / Prioritize -¿ Investigate / Respond -¿ Report<br />
/ Remember<br />
Security Event Daten werden von Geräten wie syslog, SNMP und XML akzeptiert, ohne<br />
Agents zu benötigen. Es werden verschiedene Quellen aus dem Bereich NIDS, Firewall,<br />
versch. OS, Routers und VPN’s unterstützt. Dann werden die nativen Logdaten in einem<br />
’common format’ gespeichert. Die Correlation Engine ist verantwortlich für Verarbeitung<br />
aller Event Daten und die Abwicklung der Business Rules. Die Central Console wird mit<br />
dem Web-basierten Interface bedient um zu überwachen, zu erforschen und zu reagieren.<br />
Die ’correlation and threat analysis technology’ bewältigt den komplexen Ablauf des Erkennens<br />
und Priorisieren der Bedrohung. Schliesslich kann der Analyst vom Web-basierten<br />
Interface aus statistische und historische Analysen auf den Daten durchführen, um Trends<br />
und Patterns in der Organisation festzustellen.<br />
Der Server läuft unter Linux und Solaris 8, der Client benötigt IE 5.5 und eine Java VM<br />
ab 1.4.<br />
2.14 Analysis Console for Intrusion Databases<br />
http://acidlab.sourceforge.net/<br />
ACID ist ein PHP basiertes Analysetool um eine Datenbank von Sicherheitsevents zu<br />
bearbeiten und zu durchsuchen, die von verschiedenen IDS’s, Firewalls und Network Monitoring<br />
Tools generiert worden sind.<br />
18
Features:<br />
• Query-builder and search interface<br />
• Packet viewer (decoder)<br />
• Alert management<br />
• Chart and statistics generations<br />
3 Zusammenfassung<br />
Es existiert heute eine breite Palette an kleinen und grossen Firmen die sehr gute Produkte<br />
und Dienstleistungen anbieten. Die meisten Lösungen richten sich jedoch and finanziell<br />
starke Unternehmen, die ein grosses Firmennetzwerk abdecken müssen. Denn dort lässt<br />
sich auch Geld verdienen. Kleinere Firmen müssen sich vornehmlich mit OpenSource Tools<br />
zufrieden geben, die qualitätsmässig gut mithalten können, jedoch meistens lange nicht<br />
so umfangreich sind wie Produkte kommerzieller Unternehmen.<br />
19