atsec

English | 汉语

 zurück zur Liste der Services

Sicherheits-Monitoring

atsecs Service

atsec bietet Unterstützung in drei Bereichen:

• Auswahl des am besten geeigneten SIEM-Produkts
• Installation einer auf Open-Source-Produkten basierenden kostengünstigen SIEM-Lösung
• Trainingsmaßnahmen

Modul „Analysis”
Jedes Projekt beginnt mit einer gründlichen Analyse der Ist-Situation. Erfahrene atsec-Mitarbeiter werden vor Ort Einblick in die relevante Dokumentation nehmen, sowie die Netzstruktur und das normale Verkehrsaufkommen begutachten. Sofern notwendig, wird atsec weitere Informationen in Form von Gesprächen mit dem verantwortlichen Personal des Kunden sammeln. Das Ergebnis dieses Moduls ist ein Bericht, der die festgestellten Mängel des aktuellen Zustands aufzeigt und konkrete Handlungsempfehlungen zur Verbesserung der Situation gibt. Insbesondere wird diskutiert, ob eine auf Open-Source-Produkten basierende SIEM-Lösung als angemessene Lösung infrage kommt.

Modul „Requirements”
Dieses Modul dient als Vorbereitung einer tiefgehenden Analyse von Produkten, die prinzipiell als Lösung infrage kommen (vgl. Modul „Vendor Selection + Testing“). Basierend auf den Ergebnissen der Analyse-Phase stellt atsec einen individuellen Katalog von Anforderungen zusammen, die ein SIEM-Produkt für den Einsatz in der vorliegenden Umgebung erfüllen muss. Diese Anforderungen basieren zum einen auf Best-Practice-Erfahrungen und zum anderen auf kundenspezifischen Wünschen bzw. Anforderungen. Der Anforderungskatalog kann für Herstelleranfragen (RFI/RFQ) verwendet werden. Für die Berücksichtigung kommerzieller Aspekte in den Herstellerangaben gibt atsec zusätzlich eine Schätzung der für eine effiziente Installation notwendigen Anzahl an Komponenten ab.

Modul „Vendor Selection + Testing”
Mit diesem Modul bietet atsec Unterstützung bei der konkreten Auswahl des aus technischer Sicht am besten geeigneten Produktes an. Zunächst werden die Herstellerangaben zu den gestellten Anforderungen ausgewertet. Da viele der Herstellerantworten nicht einfach „Ja“ oder „Nein“ sein werden, ist es wichtig, die gemachten Angaben richtig zu interpretieren, um daraus die vielversprechendsten Kandidaten für eine Testinstallation (Proof of Concept, PoC) zu identifizieren.
Für eine effiziente Durchführung eines PoC ist es wichtig, einen detaillierten Testplan zu entwickeln. atsec wird unter Berücksichtigung der kundenspezifischen Anforderungen Testfälle definieren und sie in die speziell für diese Zwecke entwickelte Test-Suite integrieren, in der bereits eine Reihe gängiger Szenarien abgebildet sind. atsec wird die Test-Suite auf die Produkte des PoCs anwenden und das Ergebnis auswerten.
Das Gesamtergebnis dieses Moduls ist ein Bericht, in dem detailliert die Stärken und Schwächen der einzelnen Produkte bezüglich der kundenspezifischen Anforderungen dargelegt werden. Die abschließende Empfehlung basiert rein auf technischen Fakten und stellt eine fundierte Entscheidungsgrundlage dar.

Modul „Open Source Solution (Planning + Customization)”
In einigen Fällen, insbesondere für kleine und mittlere Unternehmen, ist es nicht unbedingt notwendig, in ein kommerzielles SIEM-Produkt zu investieren. Es gibt verschiedene Open-Source-Produkte, die Teile einer umfassenden SIEM-Lösung implementieren und kostenlos zur Verfügung stehen. Basierend auf den Kundenanforderungen stellt atsec eine passende Kombination von Open-Source-Werkzeugen zusammen, die in Kombination eine ausreichende SIEM-Funktionalität bieten. So werden beispielsweise das Intrusion Detection System „snort“, das Korrelationswerkzeug „SEC“, die Überwachungswerkzeuge „pads“, „p0f“ und „arpwatch“, sowie die syslog-Nachrichten der Server- und Client-Systeme geeignet kombiniert. Auf Wunsch plant atsec auch die Integration standardisierter Audit-Nachrichten kommerzieller Produkte wie z.B. die Log-Daten kommerzieller Firewalls.

Modul „Creation of Paperwork“
Um die SIEM-Lösung in das Unternehmen zu integrieren, muss eine entsprechende Dokumentation erstellt werden. Dies umfasst in der Regel verschiedene Konzepte wie z.B. ein Überwachungskonzept, ein Korrelationskonzept, ein Konzept für den Umgang mit Sicherheitsvorfällen, ein Berichtskonzept, ein Trainingskonzept, usw. atsec unterstützt den Kunden bei der Erstellung einer gut durchdachten Dokumentenlandschaft.

Modul „Rollout“
Nachdem die Entscheidung für ein bestimmtes Produkt gefallen ist, muss dessen Rollout im Unternehmen geplant werden. atsec bietet Unterstützung bei der Erstellung eines realistischen Rollout-Plans und bietet dem Produkthersteller Konfigurationsvorgaben an, um das Produkt optimal gemäß den identifizierten Anforderungen in die bestehende Infrastruktur zu integrieren. Im Falle einer Entscheidung für die empfohlene Open-Source-Lösung wird atsec diese installieren und konfigurieren. Sowohl bei einer kommerziellen als auch einer Open-Source-Lösung bietet atsec ein Tuning der wichtigsten SIEM-Komponenten an. Intrusion Detection Systeme müssen an die konkrete Einsatzumgebung angepasst werden, um Fehlmeldungen weitestgehend zu eliminieren. Des Weiteren müssen die vom Hersteller ausgelieferten Korrelationsregeln in der Regel angepasst und erweitert werden. Hierzu unterstützt atsec bei der Definition relevanter Angriffsszenarien und der gewünschten Systemreaktion auf diese Vorfälle.

Modul „Incident Handling + Response Team“
Jedes Unternehmen sollte ein speziell ausgebildetes Team von Mitarbeitern haben, das sich der auftretenden Sicherheitsvorfälle annimmt. atsec unterstützt beim Aufbau eines solchen Teams, indem ein Plan der benötigten Ressourcen, sowie die notwendige Dokumentation erstellt wird. Des Weiteren bietet atsec speziell ausgerichtete Trainingskurse an, um den Team-Mitgliedern das für ihre Aufgaben notwendige Wissen zu vermitteln.

Modul „Training“
atsec bietet verschiedene Trainingskurse an, die unterschiedliche Aspekte des Bereichs „SIEM“ detailliert beleuchten. Ein Kurs behandelt detailliert das Intrusion Detection System „snort“. Ein weiterer versetzt die Teilnehmer in die Lage, die auf Open-Source-Produkten basierende SIEM-Lösung zu betreiben, die durch atsec installiert wurde. Darüber hinaus bietet atsec Kurse für Mitglieder von Incident Handling and Response Teams an. Sämtliche Kurse finden auf Wunsch an Standorten des Kunden statt. Kurse mit kleinen Teilnehmerzahlen werden auch in den Räumen von atsec in München oder Köln durchgeführt.

Warum dieser Service wichtig für Sie ist

Jede Organisation schützt ihre IT-Infrastruktur durch eine Reihe von Maßnahmen gegen die verschiedensten Angriffe. Ein absoluter Schutz gegen alle möglichen Angriffe ist aber prinzipiell nicht erreichbar. Aus diesem Grund ist es unabdingbar, den Sicherheitszustand des Netzwerks, sowie der wichtigsten Dienste unablässig zu beobachten. Ist es einem Angreifer trotz der implementierten Schutzmaßnahmen gelungen, in das Netzwerk einzudringen, kann der Schaden nur durch eine umgehende Entdeckung und Durchführung geeigneter Gegenmaßnahmen begrenzt werden. Um die Zeit zwischen dem Einbruch und dessen Entdeckung zu minimieren, muss auf einen automatisierten Ansatz zur Überwachung des aktuellen Sicherheitszustands zurückgegriffen werden.

So genannte Security Incident and Event Management (SIEM) Systeme sammeln und analysieren die Daten verschiedenster Quellen. Dies betrifft nicht nur die Daten von Sicherheitsgeräten wie Firewalls und Intrusion Detection Systemen, sondern auch die Log-Daten der wichtigsten Systeme und Dienste. Das SIEM-System analysiert und korreliert die eingehenden Daten, um dadurch höherwertige Informationen über den Gesamtzustand des Systems ableiten zu können. Im Falle eines Sicherheitsvorfalls werden die zuständigen Personen umgehend alarmiert und können adäquate Gegenmaßnahmen implementieren.

Weitere Informationen

Bitte beachten Sie unsere IT-Security-Ressourcen.