Die Nadel im Heuhaufen finden
Welche Sicherheitsvorfälle sind wichtig und welche nicht?
Fortsetzung des Artikels von Teil 1
Je mehr Quellen desto besser
Die Bewertung eines Securityvorfalls erfolgt über Portale, die mehrere Security-Research-Tools zusammenfassen und dadurch Kontextinformationen verschiedensten Ursprungs miteinander verknüpfen. Dazu zählen Alexa, ActiveTrust, Google Custom Search, Malware Analysis und weitere. Grundsätzlich gilt: Je mehr Informationen über einen Security-Vorfall vorliegen und verschiedene Quellen kombiniert werden, umso rascher kann eine Bewertung erfolgen und auf die Bedrohung angemessen reagiert werden. Der Markt für Security-Technologien und -Lösungen ist diversifiziert und umfasst verschiedenste Anbieter, die jeweils ein spezielles Segment der Sicherheitskette abdecken.
Erfolgsrezept Integration verschiedener Lösungen
Einzelne Anbieter sind kaum in der Lage dazu, die große Spannweite an IT-Sicherheitsvorfällen abzudecken sowie sämtliche Sicherheits- sowie Compliance-Anforderungen zu berücksichtigen. Daher lohnt es, auf das gebündelte Wissen verschiedener Hersteller zu setzen. Aus diesem Grund gibt es im Security-Umfeld zahlreiche Allianzen, Integrationen und Kooperationen. Beispiel hierfür sind Network Access Control (NAC)-Lösungen, wie z. B. Aruba ClearPass und ForeScout CounterACT. Diese haben in der Regel keinen automatisierten Einblick in aktuelle IP-Adressdaten und das Domain Name System. Über Outbound Notification APIs können NAC-Lösungen wichtige IPAM-Daten zur Verfügung gestellt werden, die für NAC-Richtlinien und -Reporting genutzt werden.
Daten aus autoritativem IPAM sind ebenfalls hilfreich für Security-Lösungen für richtlinienbasierten Zugriff von Benutzern und Geräten, wie beispielswiese der Cisco Services Engine (ISE). Von einer DNS Firewall, z. B. von Infoblox entdeckte Securityvorfälle werden automatisch weitergegeben und eventuell infizierte Gerät in Quarantäne genommen. Um die Netzwerksicherheit für webbasierten als auch nicht-webbasierten Netzwerkverkehr zu erhöhen, kann DNS Security mit einer Web-Gateway-Lösung zusammenarbeiten. So wird der Austausch von Threat Intelligence sowie Informationen über Sicherheitsvorfälle verbessert, damit schneller und effektiver auf Angriffe reagiert werden kann.
Netzwerkdaten für Schwachstellenscanner
Für Schwachstellenscanner wie Qualys oder Tenable sind spezifische Netzwerkdaten eine nützliche Quelle. So können Informationen über die aktiven DHCP IPv6-Adressen an den Scanner weiterleitet werden und diese scannen dann gezielt die IPv6-Endgeräte und nicht pauschal alle Endgeräte.
Ein guter Rat in der oftmals verteilten Sicherheitslandschaft ist es, Insellösungen zu vermeiden und auf Integrationen zu setzen. Insellösungen kosten Geld, Ressourcen und sind langfristig keine gute Strategie. Es empfiehlt sich, Hersteller zu wählen, die in vielfältigen Ökosystemen Allianzen schmieden und Integrationen mit anderen Anbietern planen oder bereits umgesetzt haben.
Frank Ruge ist Regional Director Zentraleuropa bei Infoblox
- Welche Sicherheitsvorfälle sind wichtig und welche nicht?
- Je mehr Quellen desto besser
Lesen Sie mehr zum Thema
