Startseite > Security > Incident Response rückt in den Fokus

Cirosec stellt Sicherheitstrends und -innovationen vor

Incident Response rückt in den Fokus

24. Juni 2015, 8:55 Uhr | LANline/Dr. Wilhelm Greiner

Für die IT-Sicherheit gewinnen laut Stefan Strobel, Chef des Heilbronner Security-Anbieters Cirosec, neue Lösungsgattungen an Bedeutung. Als zunehmend relevant betrachtet er unter anderem Security Analytics, Incident Response und Mikrovirtualisierung.

Im Rahmen einer Security-Roadshow von Cirosec diskutierte Stefan Strobel Sicherheitstrends und eine Reihe von Lösungsneuheiten, die er als wichtig oder zumindest interessant einstuft. Zu den maßgeblichen Innovationen zählte er Werkzeuge für Security Analytics, also die Big-Data-gestützte Auswertung von IT-Parametern für die automatisierte, echtzeitnahe Erkennung von Auffälligkeiten im Netzwerk.

Security Analytics stuft Strobel als eine neue Welle von Security-Lösungen ein, die sich anschickt, SIEM-Tools (Security-Information- und Event-Management) abzulösen. Hier stößt er in das gleiche Horn wie diverse Branchengrößen, darunter zum Beispiel RSA-Präsident Amit Yoran (LANline berichtete).

„Beim Einsatz neuer Security-Analytics-Lösungen werden Logs nicht mehr in relationalen Datenbanken gespeichert und mittels Regeln korreliert“, so Stefan Strobel. „Vielmehr nutzen diese Lösungen Big-Data-Analysen und mathematische Modelle, um zu ermitteln: Was ist normal? Wo ist abweichendes Verhalten vorhanden? Wo werden Benutzerkonten missbraucht?“

Eine Pointe derartiger Security-Analytics-Software ist es, dass sie auf der Basis der genutzten mathematischen Modelle selbsttätig erkennt, was der Normalzustand ist und wo sich eine Abweichung manifestiert. Damit soll sich für das IT-Security-Team das SIEM-typische, aufwändige Handling einer Fülle von Regeln erübrigen.

Laut dem Cirosec-Geschäftsführer ist Security Analytics derzeit ein sehr lebhaftes Marktsegment: Allein in Israel gebe es zehn Hersteller, die in diesem Bereich aktiv sind, darunter zum Beispiel Lightcyber mit seiner Magna-Lösungsfamilie.

Solche Security-Analytics-Lösungen überwachen den Netzwerkverkehr ebenso wie das Verhalten der Endpunkte. Denn Angriffe, so Strobel, liefen zwar stets über das Netz, der Zugang zu den sensiblen Daten erfolge aber in aller Regel über einen kompromittierten Endpunkt. Deshalb müsse ein Security-Analytics-Tool die Endpunkte möglichst genau im Auge behalten, um möglichst viel Kontext zum Normalverhalten zu gewinnen.

Ein weiterer wichtiger Trend in der IT-Security-Branche ist laut Marktkenner Strobel der Fokus auf Incident Response (also die Reaktion auf Sicherheitsvorfälle und deren Eindämmung) statt nur auf die Vermeidung von Security Breaches. Viele Unternehmen seien in ihrer IT-Sicherheitsstrategie nach wie vor sehr stark auf die Vermeidung von Sicherheitsvorfällen konzentriert; bei einem gezielten Angriff verfüge man dann nicht über die nötigen Prozesse, um Angriffe strukturiert und effektiv eindämmen zu können. Dieser Tage liefert der in den Medien vieldiskutierte Einbruch in das Netzwerk des Bundestags einen nur allzu deutlichen Beleg für diese These.

„Eine der interessantesten neuen Incident-Response-Lösungen auf dem Markt“, so Strobel, „ist die des Anbieters Resilient Networks, dessen CTO Bruce Schneier ist. Der Mehrwert dieser Lösung liegt vor allem darin, dass sie einer IT-Organisation Unterstützung für die Prozesse beim Umgang mit Incidents an die Hand gibt – und damit Orientierung, was im Fall eines Angriffs zu tun ist.“

„Resilient Networks liefert eine Workflow Engine für den Spezialfall Incident Response“, so der Sicherheitsfachmann weiter. Zudem biete die Software „alle benötigten Schnittstellen zum Beispiel für den Informationsaustausch sowie Möglichkeiten für die Automation einzelner Schritte.“

Neben diesen beiden Trendthemen präsentierte Stefan Strobel in seinem Vortrag eine Reihe innovativer Sicherheitslösungen. Darunter fand sich vor allem die noch recht junge, aber nützliche Technik der Mikrovirtualisierung, die der 2010 gegründete Anbieter Bromium mit seiner Lösung Vsentry auf den Markt gebracht hat: „Die Mikrovirtualisierung von Bromium bedeutet einen großen Fortschritt für die Absicherung von Endgeräten“, so Strobel.

Bromium, gegründet von den Xensource-Vordenkern Simon Crosby und Ian Pratt, isoliert einzelne Prozesse – zum Beispiel die Seitenaufrufe eines Browsers – in jeweils eigenen, dynamisch erzeugten Mikro-VMs (Virtual Machines) auf der Basis einer VT-x-fähigen CPU. Zum Einsatz komme dabei ein „Microvisor“, der nach Art eines Type-2-Hypervisors funktioniere.

Damit, so erläuterte Strobel, könne Schadcode auf einer Website den Rechner nicht infizieren, da die Malware in der Mikro-VM isoliert bleibe. Mit dem Schließen des Browsers würden auch alle Mikro-VMs automatisch wieder abgebaut.

„Sinnvoll für den Einstieg ist es, mit der Mikrovirtualisierung des Browsers zu beginnen, um die IT-Abteilung davon zu überzeugen, dass der Bromium-Ansatz tatsächlich funktioniert“, kommentierte Strobel. „Der Endanwender merkt hingegen nichts davon, für ihn ist die Mikrovirtualisierung der Webseitenaufrufe vollkommen transparent. Danach kann man sich dem zweiten Problembereich, der E-Mail, zuwenden.“

Bislang gibt es die Bromium-Software laut Strobel nur auf English. Eine deutsche Version sei aber in Arbeit.

Weitere Informationen finden sich unter www.cirosec.de.