Logistikkünstler für die Loglast

Sicherheitsinformationsmanagement – Acht Verwaltungsplattformen haben beweisen müssen, wie geschickt und klug sie mit einer gewaltigen Log-Flut hantieren. Ein Veteran hat sich dabei besonders hervorgetan. Aber einige junge Hersteller sind ihm dicht auf den Fersen.

Zu Recht fordern Security-Verantwortliche von Security-Information-Plattformen (SIM) eine Menge. Die SIM-Werkzeuge sollen natürlich eine gewaltige Zahl von Quellen anzapfen – das Produkt »ArcSight ESM« allein versteht mehr als 200 unterschiedliche Log-Formate. Dann sollen sie schnell bestimmen, was in dieser monströsen Datenmenge eigentlich von Bedeutung ist. Zudem sollen sie diese Terabytes gescheit archivieren, klug analysieren, entscheidende Trends herauslesen, wobei sie neben der historischen Sicht auf die Situation unbedingt genauso gut die aktuelle Situation erfassen sollen. Die Tools müssen dabei anpassungsfähig sein, denn keine Organisation ist einer anderen gleich und hat ähnliche Wünsche. Die einen wollen Berichte zu Compliance-Themen generieren, die anderen mit ihrem SIM lieber das Netz live überwachen und kritische Ereignisse untersuchen. Jedes Ziel stellt unterschiedliche Anforderungen an die Funktionen und die Architektur der Produkte. Den Herstellern will dieser Spagat übrigens nicht so recht gelingen.

Wer sich schon länger mit dem SIM-Thema beschäftigt, hat schon bald feststellt, dass der Vergleich der Real-World Labs Lösungen einiger neuer Anbieter untersucht. Und er wird einige altbekannte Namen vermissen. Insgesamt 13 Software-Schmieden wurden zu dem Test eingeladen. Arcsight, High Tower Software, Loglogic, Network Intelligence, Openservice, Q1 Labs, Sensage und Symantec haben die Offerte angenommen. Alte Bekannte wie Esecurity (von Novell übernommen), Intellitactivs, Netforensics, und Guarded.net (von IBM akquiriert) haben genauso abgelehnt wie Cisco. CA zeigte Interesse, hat aber kein Produkt eingeschickt. Und Elqnetworks und Trigeo Network Security sind erst auf die Labs zugekommen, als der Test bereits abgelaufen war. Aus der Gruppe der etablierten SIM-Hersteller haben also nur Arcsight und Network Intelligence teilgenommen.

Der Test konzentrierte sich auf folgende Disziplinen: Datentransport, Archivierung, Berichte sowie die Echtzeit- und forensischen Werkzeuge. Die Laborinfrastruktur setzte sich aus verschiedenen Geräten zusammen: Firewalls, VPN-Konzentratoren, Switches, Router, Windows-2000, -2003 und Linux. Nach Plan waren die Hersteller gefordert, ihre Systeme im Labor zu installieren. Die Tester haben sich selbst intensiv dem alltäglichen Betrieb gewidmet. Die naive Hoffnung, dieser würde wie die Installation ähnlich klar strukturiert funktionieren, zerstreute sich aber rasch. Es war ein monatelanger Lernprozess nötig, in dem es galt, die unterschiedlichen User-Interfaces, die uneinheitliche Terminologie, die unvereinbaren Architekturen, Skripting-Sprachen, Korrelationsstrategien und Analysewerkzeuge zu verstehen.

Aktuelle Situation erfasst
Was sofort auffiel: Einige der SIM-Produkte ließen sich in nur einem Tag implementieren, sofern die Infrastruktur entsprechend präpariert war. Dazu gehört, die Logging-Funktionen auf den Quellgeräten zu aktivieren und so zu konfigurieren, dass sie ihre Informationen an einen zentralen Punkt schicken. Vor drei Jahren war es noch illusorisch, SIM-Produkte in dieser kurzen Zeit zum Laufen zu bringen. Natürlich gilt der Einwand, dass es um Welten leichter ist, wie im Test nur einige Dutzend Systeme in eine Logging-Infrastruktur einzubinden. Statt mehrerer Hundert oder Tausend. Vor drei Jahren sind die Lösungen aber schon an den Dutzend gnadenlos gescheitert. So dürfen die Hersteller es durchaus als Gewinn verbuchen, dass es ihnen inzwischen gelungen ist, die »kleinen« Herausforderungen zu meistern.

Es ist bemerkenswert, wie viele Anbieter einem schlüsselfertigen Konzept (Appliances) folgen. Vor drei Jahren schwor die Mehrheit noch auf reine Software-Modelle. Heute installieren die meisten der Testkandidaten ihre Produkte auf Appliances vor. Der Anwender muss keine weiteren Investitionen in Hardware, Betriebssystem- und Datenbanklizenzen einplanen. Und die Installationsphase ist schmerzfreier.

Das reine Software-Modell mag in großen, Multi-Terabyte-SAN-Projekten sicher Vorteile haben. Aber wie viele Projekte sind so groß und komplex? Die Real-World Labs sind überzeugt, dass solange die Patch-Prozesse von Betriebssystemen so ineffizient und zeitaufwändig gestaltet sind, jedes Appliance-orientierte Konzept Vorteile hat. Denn es ist unter dem Strich auch sicherer. Nur Arcsight und Sensage hängen noch dem reinen Software-Modell an.

In Details eintauchen
Für den Test wurde eine Kombination aus »syslog-ng« und einem UDP-Syslog-Relay ausgesetzt. Syslog-ng ist ein Open-Source-Paket, das Balazs Schneider als Ersatz für den originalen Unix-Syslog-Daemon entwickelte (www.balabit.com/ products/syslog_ng). Das Paket nutzt das Syslog-Protokoll, bringt aber mehr Funktionalität auf die Maschine. Es unterstützt beispielsweise Syslog via TCP und kann Nachrichten weitaus flexibler und zuverlässiger routen.

Alle Logdaten wurden am Relay-Host konzentriert, so dass jedes SIM-Produkt exakt auf den gleichen Datenbestand zugriff. Auf diese Weise war ausgeschlossen, dass irgendein Hersteller sich damit aus der Affäre zieht, er hätte andere oder unvollständige Logdaten erhalten.

Auf der Transportseite waren die Tester mit einem altbekannten Dilemma konfrontiert: entweder Agenten auf den Quellsystemen platzieren, um die Daten sicher an den Zielort zu befördern. Oder den klassischen, unzuverlässigen Weg über Syslog via UDP wählen. Bei Appliances wie der Pix von Cisco hat der Administrator keine Wahl. Er darf dort keine Agenten installieren. Widerwillig setzte der Test daher auf Syslog. Auch, weil der andere Weg – versuchen, auf jedes System Agenten zu bringen – noch mehr Bauchschmerzen verursacht hätte. Hätte der Testplan allein auf letzteres Prinzip gesetzt, Arcsight würde es am besten umsetzen. Denn in der Lösung des Herstellers sind Kollektoren enthalten, die die Daten nicht nur verschlüsseln, sondern ihren Transfer dosieren und so Bandbreite schonen. Diese Funktionen sind insbesondere bei Agenten wichtig, die ihre Daten über WAN-Strecken an die SIM-Zentrale schicken. Für die Mehrheit der Unternehmen ist es gewiss sinnvoll, in einigen Bereichen ohne Agenten zu arbeiten, andere Segmente dafür mit Agenten abzudecken. Daher sollte jeder skeptisch aufhorchen, sobald ein Hersteller fundamentalistisch nur eines der beiden Modelle propagiert.

Auf Archivseite musste zuerst die erforderliche Speicherkapazität geschätzt werden. Natürlich würde der Test kaum in Multi-Terabyte-Dimensionen großer Unternehmen vordringen. Aber die Tester wollten auf diesem Gebiet trotzdem keiner Fehleinschätzung aufsitzen. Nachdem auf allen Geräten Syslog aktiviert war, haben sie ein Syslog-ng-Linuxsystem eingerichtet, das als Zwischenspeicher fungierte. Nach einigen Wochen Laufzeit konnten sie das durchschnittliche wöchentliche Log-Volumen einschätzen. Wobei insgesamt knapp 40 Geräte, einige davon auf durchaus geschwätzige Weise, Logdaten generierten. Die lauten Systeme produzierten im Durchschnitt zwischen 40 und 60 Events pro Sekunde, also 3 GByte in der Woche. Da freut sich jeder Storage-Hersteller.

Unternehmen müssen diese Kapazitätskalkulation unbedingt durchführen. Es gibt Firmen, die in der Woche 1 TByte und mehr verdauen müssen. Nur wer weiß, wie viele Daten er speichern, wie viele er online versus offline vorhalten muss, kann ein SIM-Projekt erfolgreich abschließen. Im Test genügte übrigens eine Speicherkapazität von 500 GByte bis 1 TByte.

Noch ein anderer wichtiger Punkt: Die Backend-Systeme der SIM-Produkte haben ihre Schwächen. Die Lösungen von Network Intelligence und Sensage besitzen auf diesem Gebiet einige Vorteile, weil sich die Hersteller zu Gunsten eines proprietären Warenhausmechanismus’ von konventionellen, relationalen Datenbanken verabschiedet haben. Die aufwändigen Tabellenindizes und die RDBMS-Funktionen einer klassischen Datenbank sind für SIM nicht unbedingt nötig und bremsen nur. Verzichtet eine Datenbank darauf, kann sie auch Volumina von mehrfacher Terabyte-Größe recht schnell handhaben. Auf Grund der vergleichsweise geringen Logmenge im Test traten bei keinem der Produkte Leistungsprobleme auf.

Nachdem die Lösungen installiert und mit Logs gefüllt waren, wandte sich der Test operationalen Belangen zu. Das Interesse konzentrierte sich hierbei auf zwei Areale: Das Monitoring von als kritisch eingestuften Systemen; die Werkzeuge, mit denen die Monitoring-Resultate untersucht und mögliche Vorfälle analysiert werden.

Die Überwachungsstärke ist immens von den Korrelationskünsten der Plattform abhängig, vor allem, wenn die Log-Quellen mehrere Hundert Events in der Sekunde generieren. Scheitert ein SIM daran, diese vielen verschiedenen Ereignisse in ihrer Konsole zusammenzufassen und zu filtern, verliert der davor sitzende Verantwortliche den Wettlauf gegen die Informationsmenge. Gute Korrelationsregeln sind bei dieser Aufgabe also unverzichtbar. Sie bilden die Basis, zwischen wichtig und unwichtig zu unterscheiden. Und zwar bei allen Informationen und Quellen, seien es Firewalls, Intrusion-Detection-Systeme, Authentifizierungsdienste oder Hosts. Auf diesem Gebiet ist Arcsight ESM am besten vorgegangen. Die Korrelationslogik von Q1 Labs war dafür am leichtesten zu verstehen. Auch Envision von Network Intelligence sowie der »Security Information Manager 4500« von Symantec führen eine Reihe von Echtzeitkorrelationen gescheit durch. Verglichen hiermit liegen die Autorisierungsregeln von Sensages »Enterpise Security Analytics« auf einem Qualitätsniveau zwischen »extrem schmerzhaft« und »einfach unmöglich«. Zur Bedienungsfreundlichkeit hat letzteres Produkt noch einen langen, langen Weg vor sich.

Für den Test waren auch individuelle Korrelationsregeln gefordert. Nur wenige Systeme und Dienste im Labor sind von außen erreichbar. Diese »offenen Pfade« durch die Firewalls bedürfen besonderer Aufmerksamkeit. Eine Regel sollte daher alle Firewall-Allow-Statements mit geglückten Authentifizierungsversuchen in Verbindung setzen. Eine wichtige Regel. Denn eine Inbound-Verbindung, die aus keiner legalen User-Session resultiert, ist ein starkes Indiz für einen geglückten Service-Angriff. Es brauchte Zeit, diese Regel zu formulieren. Die Produkte von Arcsight, Q1 Labs und Symantec konnten sie am Ende geschickt umsetzen. Alle anderen Lösungen haben die Nerven der Tester bis zum Bersten strapaziert, so dass sie im Einzelfall kapitulieren und auf die Regel verzichten mussten.

Eine Kategorisierung der Systeme im Netz hilft bei der Priorisierung aller Events. Ein System, verantwortlich für die Finanz- oder Human-Ressources-Daten, ist sicher wichtiger als ein Server, der die Marketing-Daten vorhält. Und demnach auch seine Alarme. Hierbei hat der »Security Event Manager« von High Tower am besten abgeschnitten, da sein ausgereifter Prozess der Asset-Klassifizierung leicht zu verstehen ist und effizient funktioniert. Auch Envision und Arcsight ESM bieten diese Gewichtungsfunktionen. Wer sie einmal nutzte, wird kaum verstehen, wie er ohne sie überhaupt arbeiten konnte.

Die Berichtsfunktionen und ihre generelle Bedienungsfreundlichkeit muss die Mehrheit der Hersteller dagegen noch arg nachbessern. Wer eine gewisse Zeit hinter einer Konsole verbringt, verlangt zu Recht Drill-Down-Funktionen, Ad-hoc-Queries nach Username oder IP-Adresse, schöne Graphen und dahinter verborgene, klickbare Detailinformationen. Alles in einer grafischen Benutzungsoberfläche organisiert, auf der wichtige Punkte schnell zu finden sind. Die Produkte von High Tower und Arcsight sind am schnellsten, weil am einfachsten zu bedienen. Wobei das User-Interface (UI) von Arcsight noch flexibler und reichhaltiger wirkt als seine Rivalen. Die Oberfläche von Envision hat einige Verbesserungen erfahren, aber leider noch nicht genug. Das übrige Bild ist düster. Mit Ausnahme der Ad-hoc-Queries von Loglogic müssen alle anderen SIM-Hersteller die UI-Struktur und ihre -funktionen massiv überarbeiten.

Am Ende hat Arcsight ESM am besten abgeschnitten und sich die Auszeichnung »Referenz« der Network Computing verdient. Dicht gefolgt von Envision, High Tower und Qradar. Die grundlegenden Funktionen von Arcsight sind ausgereift. Leider steigt der Preis dieser Lösung ungewöhnlich rasch, je größer das Netz ist. SEM von High Tower besticht mit seiner Einfachheit. Auch das Angebot von Symantec ist interessant – vor allem die Integration ihrer Deepsight-Daten. Sie erlaubt es Unternehmen, auf Informationen anderer globaler Ressourcen zuzugreifen. Kein anderes Produkt ist in der Lage, Datenbestände über Organisationsgrenzen hinweg zu teilen.

Noch ein Wort zur Preiswertung im Test: Die Kosten sind gemäß der Testinstallation gestaltet. Soll heißen, die Lizenzen basieren auf knapp 40 Datenquellen. Die Testinfrastruktur ist damit verhältnismäßig klein. Produkte mit einer Pro-Gerät-Lizenz werden aber in großen Unternehmen exponenziell teurer. Es wäre natürlich ein Leichtes gewesen, die vorhandene Datenmenge aufzublasen und so ein größeres Netz zu simulieren. Selbst bei dem großen Einsatzfall hätten die Appliances von High Tower oder Loglogic kaum mehr gekostet. Ganz im Gegensatz zu den Produkten von Arcsight, Sensage oder Symantec. Das Fazit: Skalierbarkeit und Preis sind eng miteinander gekoppelt. Die mit 25 Prozent verhältnismäßig starke Wertung des Preises orientiert sich daher nicht allein an dem Produktpaket in der Testinstallation, sondern auch an künftigen Skalierungskosten.

ESM von Arcsight
Arcsight verkauft ihr ESM, wie der Name schon andeutet, unter der unscharfen Produktkategorie Enterprise-Security-Management. Es ist das fortschrittlichste Tool im Test und gewinnt nach 2003 schon zum zweiten Mal. ESM folgt einem »Connector«-Framework, das Bandbreitenansprüche bremsen und seine Datentransfers timen kann. Es enthält eine Web- und einer Java-Konsole, Berichts- und Analysetools. Das Tool zapft mehr als 120 Produkte von mehr als 60 Herstellern an und korreliert Events in Echtzeit effizient und aussagekräftig. Obwohl die Suite keineswegs fehlerfrei ist und durchaus preiswerter sein könnte, ist sie ihrer Konkurrenz derzeit zwei Schritte voraus. Wobei aber die Produkte von Network Intelligence und High Tower den Abstand durchaus verkürzen könnten.

Im Test wurde ESM auf drei Windows-2003-Servern aufgesetzt. Einer davon beheimatete den »Manager« und fungierte als Ziel für alle Korrelations- und Inbounddaten. Der zweite nahm als Backend-Server die Oracle-Datenbank auf, während der dritte die Java-Konsole betrieb. Ein Server allein für die Konsole? Wie anders vorgehen, wenn dieses Tool allein 2 GByte an RAM aufzehrt?

Im Default hat der Hersteller bereits einige Korrelationsregeln eingerichtet. Sie helfen, einer Reihe möglicherweise verwirrender Aktivitäten des Tools Sinn zu verleihen. Eine Regel löst beispielsweise bei potenziellen Wurmausbrüchen Alarm aus, wobei sie sich an Verkehrsmustern orientiert. Eine andere entdeckt verdächtiges Netzverhalten, indem sie Folgendes in Beziehung setzt: »Mehreren Firewall-Denies folgt ein Allow«. Eine weitere Default-Regel führt fehlgeschlagene Login-Versuche zusammen, die auf mehreren verschiedenen Systemen vorgefallen sind.

Wenig überraschend hat das Standardregelwerk anfangs einige Fehlalarme produziert. Die »Wurmausbruch«-Regel hat mehrmals falsch ausgeschlagen. Die ersten Male brach ein wenig Panik im Labor aus, und alle suchten mit schwitzenden Handflächen nach weiteren Anzeichen für die gemeldete Wurmwelle. Es stellte sich zum Glück bald heraus, dass diese Regel von ein bisschen übereifrigem Websurfen ausgelöst wurde – ein End-User hat rasend schnell mehrere Ziele gleichzeitig über die Firewall hinweg angesteuert. Dies hat die Korrelationsregel von ESM fehlgeleitet. Auch die »Dark Space«-Alarme haben Probleme bereitet. Dahinter verbirgt sich Verkehr, der von oder zu unserem Netzwerk über IP-Adressbereiche lief, die als »dark« klassifiziert sind. Diese Alarme wurden in Wahrheit durch veraltete IP-Listen ausgelöst. Die ungenauen Regeln wurden daraufhin justiert und die Fehlalarme beseitigt.

Arcsight ESM enthält neben einer Reihe vorkonfigurierter Dashboards eine Vielzahl von Werkzeugen für das Monitoring und das Management kompletter Systeme und Applikationen. Der Hersteller hat beispielsweise ein Dashboard eingebaut, das den Zustand und die Aktivität von Datenbanken kontrolliert. Es wird durch alle nötigen Echtzeitgraphen und Tabellen komplettiert.

Arcsight folgt einem Klassifizierungsprinzip, das Events und Alarmdaten in eine generische Klasse oder einen generischen Container einordnet. Ein Pix-Deny-Event wird beispielsweise in den Firewall-Regelverstoß-Container einsortiert. Der Ansatz hilft nicht nur dabei, Korrelationsregeln zu erstellen. Er hat den schönen Nebeneffekt, dass das Unternehmen gewisse Hersteller austauschen darf, ohne fürchten zu müssen, dass es die bereits aufgesetzten Regeln bricht oder aushebelt.

Die Schwächen der Lösung sind auf zwei Gebiete beschränkt: den Preis und Ad-hoc-Queries. Das Lizenzmodell des Herstellers gibt Rätsel auf. Er lizenziert nach CPU für den Manager, nach Java-Konsole, nach Connector-Typ und pro Gerät. Um es noch komplizierter zu gestalten, kosten einige Add-ons wie die Visualisierungs-Suite oder die Integration in Ticketing-Systeme extra.

Zum Vergleich: Hersteller wie High Tower lizenzieren nach Appliance und Zeit. Arcsight profitiert noch davon, als Marktführer die Bedingungen diktieren zu können. Ob der Hersteller mit dieser Preispolitik aber weiter so davonkommt, wenn sich die Konkurrenzsituation zunehmend verschärft?

Auf dem Gebiet der Queries gibt die Implementierung von Arcsight Grund zur Kritik. Wer Ad-hoc-Queries nach IP-Adresse durchführen will, muss zuerst Datenfelder und Range definieren. Dann eine große Datenmenge aus der Datenbank in die Konsole ziehen und erst danach seine Suche in dem quasi lokalen Datensatz starten. Zwar übernimmt das Konsolen-Applet einen Großteil der Arbeit, aber bis jemand ein Ergebnis erzeugen kann, sind einfach zu viele verwirrende Schritte notwendig. Der gesamte Prozess ist bei der Datenmenge und dem Zeitdruck einfach zu langsam und ineffizient. Vergleichbare Funktionen von Loglogic beispielsweise greifen direkt auf die Datenbank zu und sind daher unglaublich leicht zu bedienen und schnell.

Envision von Network Intelligence
Das schlüsselfertige, auf Windows aufsetzende SIM-Produkt hat seit dem vergangenen Test einen langen Weg zurückgelegt. Es beherrscht nun fortschrittlichere Korrelationskünste, anpassbare Dashboards und eine größere Zahl an Geräten und Transportprotokollen. Der Hersteller bemerkt gerne, dass er auf RDBMS verzichtete und lieber eine eigene Storage-Technik entwickelte. Er nennt seine Datenbank »LogSmart IPDB«, die auf unnötigen Schnickschnack kommerzieller RDBMs verzichtet. Zwar konnte der Test auf Grund zu kleiner Logmengen die TByte-Grenze nicht überschreiten. Diese wäre erforderlich, das Feature ein wenig unter Druck zu setzen. Aber der Schritt weg von konventioneller Datenbanktechnik könnte sich als richtig erweisen, sofern der alternative Ansatz des Herstellers gescheit durchdacht und umgesetzt ist.

Envision war innerhalb weniger Stunden online und in weniger als einem halben Tag soweit eingerichtet, dass das Tool die Daten aus den Logquellen begierig aufnahm. Die Einbindung der Quellen ist nicht so sanft umgesetzt wie bei High Tower. Jede musste einzeln definiert und konfiguriert werden, weil das Produkt noch keine Autodiscovery-Mechanismen beherrscht. Beim Test mit weniger als 40 Systemen nicht tragisch, in Netzen mit Hunderten, wenn nicht gar Tausenden von Quellen wohl nur schwer zu ertragen.

Nach einigen Testmonaten lässt sich über die Stärke von Envision sagen, dass das Tool die meisten funktionalen Anforderungen ausgesprochen gut meistert. Es enthält eine Echtzeitkonsole, Komponenten für Basisberichte, und es beherrscht Korrelationen. Alles in allem ließ sich das Produkt ohne viel Kopfschmerz bedienen. Seine Funktionen sind insgesamt aber nicht so fortschrittlich wie die von ESM, und auch die UI ist weitaus weniger ausgefeilt. Aber gerade weil Envision die meisten Aufgaben löst und einem simplen Preismodell folgt, wird sich dieses SIM auf dem Markt gut behaupten.

Security Event Manager von High Tower
Das ist der erste Test dieser Lösung, und die Ergebnisse der Appliance sind durchaus beeindruckend. Der »Security Event Manager« (SEM) lässt sich von allen Lösungen am einfachsten und schnellsten implementieren. Nicht nur die Konfiguration ist ein Kinderspiel, auch die Einbindung der Quellen war ein reines Vergnügen. Als die Syslog-Streams auf das System von High Tower geleitet wurden, hat es sofort jedes einzelne Gerät identifiziert, es als potenziellen Asset-Kandidaten gekennzeichnet und sogar recht treffsicher den Gerätetypen erraten. Sei es nun die Cisco-Pix oder ein Linux-Host. Die UI ordnete die Gerätetipps in dem »candidate«-Menü ein, wo der Administrator das Ergebnis nur bestätigen oder ablehnen muss. Dieser wohl durchdachte Prozess sparte schon in dem Testnetz eine Menge Zeit und Energie – wie wohl sein Effekt in großen Netzen sein wird?

Das Interface von SEM ist zudem das am wenigsten komplizierte im Test. Es übte gar eine gravitationsähnliche Wirkung aus. Während des Vergleichs haben die Tester beispielsweise einen Relay-Host falsch eingerichtet, was dazu führte, dass große Datenmengen an die Outbound-Internet-Links gesendet wurden. Die Antwortzeiten und Verzögerungsfristen kollabierten. Sofort schnellte die Zahl der Events im SEM-Dashboard von durchschnittlich 100 pro Sekunde auf 2000 hoch. Natürlich erzeugen auch alle anderen Produkte Graphen, die Werte für die Eventmenge pro Sekunde darstellen. Aber weil das Interface der SEM-Appliance so durchdacht und sauber strukturiert ist, wurde das Produkt während des Tests zur wichtigsten Informationsquelle für Fehleranalysen.

Das Produkt hat aber eindeutige Schwächen auf dem Gebiet der Berichte und Echtzeit-Korrelation. Die Berichtskünste sind bestenfalls simpel. Die Reports lassen sich zwar anpassen, ihre Aussagekraft bleibt dennoch bescheiden. Bei der Korrelation spielt SEM leider nicht in der gleichen Liga wie ESM, Envision, Qradar oder Symantec. In Version SEM 3.1 liefert High Tower 20 vorgefertigte Korrelationsregeln aus, die zwar nützlich sind. Vollkommen eigene Regeln lassen sich aber nicht hinzufügen. Die Appliance lässt lediglich zu, dass jemand die 20 existierenden Regeln modifiziert. Im Lauf des Jahres will High Tower die fehlenden Regelfunktionen per Version 3.2 nachrüsten und so den schärfsten Kritikpunkt beseitigen.

Das Preismodell des Herstellers ist direkt und simpel. Die Lizenzen seiner schlüsselfertigen Appliances orientieren sich an zwei Faktoren: Events pro Sekunde und Speicherkapazität. Das ist alles. Ist ein Unternehmen bereit, zu Gunsten der Bedienungsfreundlichkeit und schnellen Installation ein Stück weit auf Flexibilität und Funktionalität zu verzichten, dann ist der SEM von High Tower nur schwer zu schlagen.

Qradar von Q1 Labs
Das Tool Qradar hat seine Wurzeln in der Analyse von Verkehrsanomalien und den SIM-Teil erst kürzlich hinzugelernt. Dazu hat der Hersteller Q1 Labs seinem Werkzeug eine Korrelations-Engine verpasst und es soweit geöffnet, dass es Daten aus einer Vielzahl von Quellen importieren kann. Dank der ebenfalls eingebauten Berichts-Engine hat sich Qradar zu einem ernst zu nehmenden SIM-Produkt gewandelt.

Nur Q1 Labs und Openservice folgen sowohl einem reinen Software- als auch Appliance-Modell. Für den Test wurden die «»2102 QRadar« und der »1101 Flow Collector« untersucht, beides vorkonfigurierte Boxen. Letztere wurde übrigens nur eingesetzt, um das Netz besser zu inventarisieren. Denn die SIM-Intelligenz ist größtenteils in der 2102 untergebracht. Die 2102 sammelt auch die Logs der Infrastrukturkomponenten ein, die zweite Appliance Flow-Collector ist für nichts anderes konzipiert. Die Idee hinter beiden Systemen: Ein Unternehmen könnte mit dem Collector mehrere, verteilte Sammelstellen einrichten.

Die Korrelationssprache von Qradar ist am schnellsten zu verstehen. Im Gegensatz zu den regelorientierten Ansätzen von Arcsight oder Symantec ist ihre Formulierungsstruktur ganz nah am Englischen angelegt. Die Regeln sind hierarchisiert und wiederverwendbar. So kann der Administrator wiederkehrende Policy-Bausteine benutzen, um die Korrelationsbedingungen zu formulieren. Wer ein SIM-Produkt einsetzt, wird sich ohnehin mit der integrierten Korrelationstechnik und -sprache auseinandersetzen müssen. Bei Qradar wird er die geringste Zeit aufbringen müssen.

Auch die Einblicke in rohe Logdaten sind einfach gestaltet, weil im UI schnell zu finden. So konnten die Tester eine fehlerhafte Interpretation der Pix-Logs flott aufdecken, die der Hersteller übrigens innerhalb von 24 Stunden beseitigte. Wäre es nicht so einfach gewesen, auf die Rohdaten zuzugreifen, die Fehleranalyse hätte um einiges länger gedauert. Auch die anderen Produkte erlauben es dem Anwender, neben den normalisierten Logdaten auch ihre Rohformate zu einzusehen. Aber das reine, unveränderte Log ist bei den anderen Produkten viel schwerer zugänglich.

Die größten Kopfschmerzen bereiteten aber die anderen Funktionen in dem UI. Es macht nur wenig Spaß, Qradar gemäß seinen Aufgaben einzurichten. Es gehen viel Energie und Zeit in den schwach konstruierten HTML-Tabellen verloren. Außerdem ist nur selten einsichtig, welcher Ausschnitt und welche Option für welche Aufgaben zuständig sind. Aus Sicht der Bedienungsfreundlichkeit hat die Java-Konsole von Arcsight alle auf HTML setzenden UIs klar geschlagen. Obwohl generell auf Web-Interfaces zutrifft, dass sie gewisse Aufgaben nur unzureichend bewältigen. Das gilt eigentlich auch für Java-Konsolen, die meist behäbig und umständlich arbeiten. Arcsight bekämpft das Problem mit Ressourcen pur – 2 GByte an RAM? Zum Glück ist Hauptspeicher relativ günstig.

Die Schwächen der Qradar-Konsole fallen nicht so sehr ins Gewicht, sofern sie ab und zu Berichte generieren muss. Wer mit ihr aber tagtäglich mehrere Stunden verbringen muss, wird ihre Schwächen schmerzhaft spüren. Hier muss der Hersteller unbedingt nachbessern.

Security Information Manager 9500 von Symantec
Der gelbe Riese ist still und heimlich auf dem SIM-Markt aktiv geworden. Die Akquisition des kleinen Herstellers Mountain Wave im Jahr 2002 hat Symantec den Eintritt ermöglicht. Der Hersteller hat sein Engagement erst kürzlich forciert und mit seiner Appliance »Security Information Manager 9500« untermauert. Die Box war in einem Tag aufgesetzt und lauffähig, obwohl einige kleinere Probleme auftraten.

Im Gegensatz zu High Tower oder Loglogic setzt Symantec weiter auf individuelle Geräte-Kollektoren und interpretiert die Logs ebenfalls separat. Wer eine neue Geräteklasse einbinden möchte, muss zuerst den richtigen Parser-Code installieren. Eine zu bewältigende, aber umständliche Prozedur. Der Ansatz wirkt insofern befremdlich, da doch Symantec klar auf das Appliance-Prinzip setzt. Warum also nicht gleich alles vorinstallieren und den Anwender von solchen Grundaufgaben befreien? Bei der Klassifizierung von Geräten hat die 9500 das Niveau von High Tower nicht erreicht, da alle Logging-Quellen manuell einzurichten waren. Das wäre ein geringer Einwand, würde Symantec für ihre Appliance nicht 60000 Dollar und mehr verlangen.

Abgesehen von den Installationsnuancen ist das Produkt auf den Gebieten Echtzeitanalyse, Korrelation und Reporting recht ausgereift. Die Appliance unterstützt konfigurierbare Dashboards, Ticketing-Systeme, analysiert Vorfälle per Incident-Handling und erstellt vorgefertigte Berichte. Wie die Produkte von Arcsight, Q1 Labs und Network Intelligence kann der Anwender über das GUI der Appliance eigene Korrelationsregeln generieren. Der dafür zuständige Editor wirkt auf den ersten Blick ein wenig umständlich. Wer aber das »And«- und »Or«-Modell einmal versteht, wird eigene Regeln recht schnell bauen können.

Das Lizenzmodell von Symantec setzt sich aus einem Startpreis, einer Pro-Geräte-Lizenz und jährlichen Supportkosten zusammen, in denen auch die externen Informationsdienste enthalten sind. Das rein Appliance-bezogene Modell ist prinzipiell mit dem von High Tower vergleichbar. Symantec erhebt zusätzlich noch Gebühren pro Quelle, so dass der Preis den von High Tower übertrifft, aber den von Arcsight noch unterschreitet.

Als einziger Hersteller bietet Symantec einen zusätzlichen Informationsdienst an. Über den »DeepSighService« sind grundlegende, weltweite Analysedaten verfügbar, die die Appliance importieren kann. So bindet die Box Angreiferdaten in ihre Datenbank ein. Dies verschafft dem Anwender eine globale Perspektive auf die größten, aktuellen Gefahren aus dem Internet. Ein Beispiel: Alle SIM-Produkte im Test erkannten Port- und generelle Netzwerk-Scans. Indem die 9500 die Livedaten des Infodienstes einbindet, konnte sie gängige Angreifer aus dem Internet identifizieren und detaillierte Angaben zu dem Vorfall liefern. Darunter Wissen wie Angriffsfrequenz, Zeitlinien, erstes Erscheinen und so weiter. Diese Informationen sind extrem hilfreich, um zwischen untersuchungswürdigen Vorfällen und typischen Hintergrundgeräuschen zu unterscheiden.

ST 3000 und LX 2000 von Loglogic
Der Hersteller schickte zwei Appliances ins Labor. Die »LX 2000« führt klassisch Logs zusammen wie ein Monitoring- und Storage-Produkt. Die »ST 3000« ist für unveränderte, große Logvolumina (TByte) konzipiert, die sie per Textsuche untersucht. Beide Boxen importieren und speichern also Daten, wobei die ST für große Datensätze gedacht ist. Beide werden über die gleiche UI gesteuert, so dass sie nahtlos interagieren. Loglogic positioniert beide Appliances in Projekten, bei denen Unternehmen gern ad hoc große Datensätze untersuchen möchten.

Sowohl die Stärke als auch die Schwäche beider Produkte manifestiert sich in ihrer simplen Konzeption. Deshalb waren die Lösungen erfreulicherweise in nur wenigen Minuten betriebsbereit. Ähnlich wie das Produkt von High Tower, versuchen die Appliances von Loglogic, die Quellen selbstständig zu identifizieren, sobald sie deren erste Logdaten erhalten. Dadurch war die Konfiguration schnell erledigt. Das UI ist im Web-Browser angelegt und dadurch ein wenig zu überladen. Generelle Berichte und Ad-hoc-Queries wickelt es aber souverän ab.

Die Konfiguration und das User-Setup waren simpel. Selbst die Einbindung eines externen NAS-Systems für weitere Speicherkapazität war schnell abgewickelt. Loglogic liefert ebenfalls ein einfaches, aber ungemein nützliches Werkzeug für Ad-hoc-Queries aus. Der Anwender kann einen Textstring eingeben, und das Tool sucht den gesamten Datensatz danach ab, unabhängig von der Log-Quelle. Eine einfache Aufgabe, gewiss. Aber es hat schon überrascht, wie viele der anderen Produkte dazu nicht in der Lage waren. Die Tester haben daher auch immer auf dieses Werkzeug zugegriffen, wenn sie beispielsweise nach Usernamen suchten.

Aber die Einfachheit hat auch Nachteile. Loglogic scheint sich mehr auf die Pflege und das Archivieren von Logs zu konzentrieren als auf Echtzeit-Monitoring und -analysen. Das Produkt zeigt in einem einfachen Dashboard zwar die Last von Events pro Sekunde, den Gesundheitszustand von Systemen oder generelle Statistiken zum Log-Transport an. Es beherrscht aber keine Korrelationsregeln. Funktionen, die IT-Security-Verantwortliche schmerzlich vermissen werden. Daher eignen sich die Appliances kaum dazu, die Wirkung von Abwehrsystemen zu überwachen und zu verifizieren. Sie sind mehr dafür gedacht, den Status der Logging-Infrastruktur zu begutachten. Dieses auf Logs konzentrierte Engagement ist per se keineswegs schlecht – der Log-Transport, ihre Speicherung und Query-Funktionen sind allesamt wichtige Elemente des Security-Information-Managements. Sucht ein Unternehmen aber eine Lösung für ihr SOC, wo es auf fortschrittliche Korrelationsfunktionen ankommt, wird es neben Loglogic wohl oder übel in ein drittes Produkt investieren müssen, das diese Lücke schließt.

Enterprise Security Analytics von Sensage
Der Hersteller, früher unter dem Namen Addamark bekannt, ist mit einer eigenen Backend-Datenbank auf dem SIM-Markt gestartet. Ursprünglich hat er diese Technik mit Lösungen anderer SIM-Hersteller gekoppelt. In den vergangenen 18 Monaten ist der Anbieter aber dazu übergegangen, sein ESA-Produkt mit eigenen Funktionen aus dem SIM-Bereich anzureichern. Er hat einen kräftigen Intel-Multiprozessorserver ins Labor geschickt, auf dem ESA vorinstalliert war. Sensage folgt zwar auch einem Software-Modell, wollte aber unbedingt, dass die Real-World Labs die Lösung auf dieser spezifischen Hardware untersuchen.

Der Hersteller rühmt sich seiner proprietären, datenbankähnlichen Architektur, die sich von allem unnötigen Überbau anderer Datenbanken befreite. Die grundlegende Idee dahinter: Wer Daten auf bestimmte Weise strukturiert und indiziert, kann seine Online-SIM-Datenbank auf mehrere Terabyte aufblasen, ohne unter den Leistungsschwächen typischer RDBMS-Modelle zu leiden. Unternehmen, deren Datenmengen sich auf diesem Niveau bewegen, mag das Argument überzeugen. Der Test konnte die Performance auf Grund zu geringer Datenmengen aber nicht verifizieren.

Es wäre sicher interessant zu sehen, wie sich die SIM-Produkte bei TByte-Fluten verhalten. Unter dem Strich ist das Management solcher Volumina aber nur ein Aspekt unter vielen. Fehlen die Berichte, eine UI und Echtzeit-Analysen, so ist die Query-Geschwindigkeit automatisch zweitrangig. Leider muss der Hersteller gerade auf den anderen Gebieten noch viel Entwicklungszeit investieren.

Viele der wichtigen SIM-Disziplinen befinden sich auf einem anderen Entwicklungsstand. Das gesamte Paket erinnerte daran, wie unausgereift die Lösungen vor zwei oder drei Jahren noch waren. Der Installationsprozess beispielsweise war aufwändig und verschlang mehrere Tage. Einige Dienste sind abgestürzt und mussten neu gestartet werden. Und die UI erinnert eher an das Office-Menü, denn an eine ausgereifte SIM-Oberfläche. Auch die Einbindung neuer Geräte und Log-Parser war komplex, weil Einträge erstellt und manuell auf dem File-System kopiert werden mussten. Insgesamt hat alles irgendwie funktioniert, so dass keiner der Kritikpunkte für sich genommen den Ausschlag gab. Aber alle zusammengenommen, wirkt das Tool schlicht noch nicht fertig. Das Produkt ist zudem unverständlich teuer. Es kostet in der Testversion drei Mal soviel wie die anderen. ESA ist insgesamt das am wenigsten ausgereifte und das teuerste Produkt – keine guten Voraussetzungen, um den Test zu gewinnen.

Der Hersteller hat aber mit seinem Support überzeugt. Seine Techniker lösten alle Probleme, die im Test auftraten. Sie haben beispielsweise eine Lösung für einen fehlgeleiteten Arpwatch-Parser genauso schnell entwickelt wie einen Alarmmechanismus, den die Tester verlangten.

Vielleicht mögen die Skalierbarkeitsversprechen einige große Unternehmen dazu bewegen, die Unreife und den hohen Preis zu übersehen. Für die Mehrheit gilt aber: Der Hersteller muss viele seiner Produktfunktionen überarbeiten, um konkurrenzfähig zu werden.

Security Threat Manager 3.5 von Openservice
Der Hersteller vertraut weiterhin einem Software-Modell, obwohl er schon in der Vergangenheit beteuerte, bald auf ein Appliance-Konzept zu wechseln. Sein »Security Threat Manager 3.5« (STM) wurde daher auf einem Windows-2003-Server von Dell getestet. STM lässt sich auf unterschiedliche Weise implementieren. Für den Test wurden die Event-Collectoren und die Korrelations-Engine auf derselben Maschine untergebracht. Die primäre Installation ist ein wenig verwirrend, verhinderte aber nicht, dass das System in einigen wenigen Stunden aufgesetzt war und lief. Die Logdaten in den STM einzuspeisen war um einiges komplexer. Ingesamt war keiner der Arbeitsschritte, die die Lösung vorgab, intuitiv zu verstehen.

Openservice deckt viele der Grundanforderungen ab. Ihr STM unterstützt eine Vielzahl von Quellen, enthält Berichtswerkzeuge und kann Korrelationsregeln umsetzen. Und sie wird mit einem eingebauten Datenbank-Werkzeug ausgeliefert, das gespeicherte Daten importieren, exportieren und komprimieren kann. Nur wenige der anderen SIM-Lösungen boten dieses Feature. Der STM arbeitet außerdem mit einem ausgereiften auf Rollen basierenden Autorisierungssystem. Auf dieser Grundlage können Unternehmen den Zugang zu den SIM-Daten exakt an ihre organisatorischen Bedingungen anpassen. Es stehen mehrere Rollen bereit, die die Funktionen und Inhalte entsprechend zuweisen. So lassen sich unter anderem die Rechte für die Konfigurationsdateien, Geräteklassen, Alarme oder Datenbanken an bestimme Anwenderprofile binden.

STM fehlt aber ein intuitiv zu bedienendes UI. Dadurch fällt es generell schwer, die SIM-Informationen vernünftig zu verwalten. Die UI basiert auf HTML und Java. Ähnlich der UI von Qradar, zeigt STM eine Reihe aktueller Ereignisse in HTML-Tabellen an. Ihr Layout wirkt jedoch unübersichtlich und konfus. Dem STM fehlt zudem ein Syslog-Collection-Dienst. Openservice empfahl, für diesen Zweck die Lösung eines Drittherstellers zu installieren. Ein prinzipiell untragbarer Lösungsweg des Problems für SIM im Jahr 2006.

Der STM ist Teil eines größeren Netzwerkmanagement-Frameworks von Openservice. Dieses sprengte aber die Grenzen des Tests und wurde daher nicht untersucht. Sucht ein Unternehmen nach einer Lösung, die typische Aufgaben des Netzwerk- und Sicherheitsmanagements auf einer Plattform vereint, mag es mit diesem Ansatz glücklich werden. Aus reiner SIM-Sicht aber muss der Hersteller viele der STM-Funktionen unbedingt modernisieren.

Fazit
Seid dem jüngsten Test von SIM-Produkten vor drei Jahren hat sich viel getan. Die Hersteller setzen größtenteils auf Appliance-Konzepte, so dass ihre Lösungen innerhalb eines Tages installiert sind. Das war vor drei Jahren noch ganz anders. Auffällig war, dass die Produkte entweder sehr gute Echtzeitanalysen und Korrelationen beherrschten, oder die Logdaten ausgezeichnet organisieren und in Berichten auswerteten. Beides auf gleich gutem Niveau abzuwickeln, schafft noch kein Produkt. Der Test konzentrierte sich insgesamt auf folgende Funktionen: Datentransport, Archivierung, Berichte sowie die Echtzeit- und forensischen Werkzeuge.

Am Ende konnte Arcsight ESM am meisten überzeugen und hat sich die Auszeichnung »Referenz« der Network Computing verdient. Knapp dahinter folgen Envision, High Tower und Qradar. Auch die Lösung von Symantec ist interessant – dank der Integration eines globalen Informationsdienstes.

Die SIM-Lösung von Loglogic konzentriert sich stark auf den Log-Transport, ihre Speicherung und Query-Funktionen. Auf dem Gebiet der Korrelation hat das Produkt aber noch große Lücken. Sensage ist gut darin, mit ihrer proprietären Datenbank Volumina von mehreren TByte zu organisieren. Viele der wichtigen SIM-Analysefunktionen sind aber noch sehr unausgereift. Dem STM von Openservice fehlen einige wichtige Features. Und auch die Bedienung des Tools ist unglücklich umgesetzt.
pm@networkcomputing.de