zurück zur Übersicht

Rise Again: Security-Produkt-Recycling!

Security Software Recycling: manchmal entpuppt sich "Shelfware" als nützlicher HelferViele Admins kennen den Anblick von sog. „Shelfware“ – Produkte die irgendwann einmal gekauft, danach kurzzeitig eingesetzt wurden und irgendwann ihren Weg in ein Regal (Shelf) gefunden haben. Ein ähnlich trostloses Dasein fristen Systeme die zwar noch aktiv sind, aber praktisch nicht genutzt werden – oft ist nicht bekannt, dass diese Systeme überhaupt noch vorhanden sind. Dabei sind all diese ungenutzten Security-Produkte in vielen Fällen weder veraltet noch nutzlos. Die Gründe warum ein Produkt praktisch vergessen wird, sind vielfältig. Vielleicht hat der zuständige Mitarbeiter das Unternehmen verlassen, vielleicht wurde das Produkt in einer zu frühen Phase der Entwicklung gekauft und wurde deshalb nie akzeptiert, vielleicht konnte das Produkt – scheinbar – kaum Mehrwert bieten oder der Aufwand für eine umfassende Anpassung an die Bedürfnisse war zu groß. Doch jetzt wird aufgeräumt: Wir starten das große Security-Produkt-Recycling!

Erschließung ungenutzter Potentiale

Es kann sich durchaus lohnen, solche vorhandenen Sicherheitssysteme immer wieder genau zu betrachten, anstatt viel Geld in ein neues Produkt zu investieren. Sehr oft ergeben sich durch die Kombination von verschiedenen Produkten ganz neue Möglichkeiten zur Absicherung eines IT-Systems. Als zentrales Bindeglied bietet sich ein Security Information and Event Management-Tool an. Systeme wie Splunk etwa erlauben es Maschinendaten (Logs, Alarme, SMTP-Traps etc.) von unterschiedlichsten Systemen aufzubereiten und in einer bisher unbekannten Weise zu verwenden.

Denkbar ist etwa ein Produkt, welches in einem Unternehmensnetzwerk zwar aktiv ist, auf Grund seiner schlechten Bedienbarkeit aber von der Belegschaft kaum genutzt wird. Wenn man nun davon ausgeht, dass das Produkt an sich seinen Zweck erfüllt und gekauft wurde, um eine gewisse Aufgabe zu erfüllen (z.B. Überwachung eines speziellen Angriffsvektors) geht einem Unternehmen wertvolle Information verloren, was auch erhebliche Auswirkungen auf dessen Security-Strategie haben kann. Die Informationen werden z.B. in Form von Logs vom Produkt generiert, werden aber nicht weiterverwertet. Werden nun die Informationen z.B. in Splunk abgelegt, können – mit überschaubarem Aufwand – nicht nur die damals angedachten Funktionalitäten umgesetzt werden. Durch die Korrelation mit anderen Sicherheitsdaten in Usecases können Angriffe schneller und sicherer erkannt und teils automatisch abgewehrt werden. Jede zusätzliche Informationsquelle leistet dazu einen Beitrag. Das System selbst muss dazu nicht mehr tun als weiterhin seine Logs zu schreiben.

Recycling von Shelfware am Beispiel

Nehmen wir ein konkretes Beispiel: Bei dem ungenutzten System handelt es sich um ein mächtiges aber komplexes Intrusion Detection System (IDS). Es wurde im Rahmen eines umfangreichen Projektes mit externer Unterstützung installiert. Nach Abschluss des Projektes blieb das System zwar online, wurde aber für andere Projekte nicht mehr explizit benötigt. Damals beteiligte und geschulte Mitarbeiter haben mittlerweile andere Aufgaben übernommen – die neuen Admins sind mit der Bedienung überfordert. All dies hat dazu geführt, dass die Nutzung dieses – eigentlich sehr nützlichen – Tools stark zurückgegangen ist.

Wir schließen dieses IDS an Splunk an. Die vom IDS generierten Events werden automatisch importiert. Das ermöglicht uns eine Vielzahl neuer Nutzungsmöglichkeiten: Etwa eine einfache und verständliche Aufbereitung der IDS-Alarme und die Integration dieser Alarme in bestehende Incident-Management-Prozesse. Durch Korrelation mit anderen Daten wird eine Reduktion von False Positives realisiert. Das System ist dadurch wieder ein produktiver Teil der Sicherheitsarchitektur. Die Funktion wurde sogar verbessert! Und alles bei reduziertem Aufwand, da das System von Splunk aus überwacht wird.

Natürlich wird für ein effektives Security-Produkt-Recycling eine gewisse Expertise benötigt. Die Verzahnung von Sicherheitselementen zu einer geschlossenen Architektur ist insgesamt nicht trivial, besonders wenn noch gar kein SIEM vorhanden ist, sondern das richtige Tool erst noch gesucht werden muss. Mehr Informationen dazu finden Sie im Bereich SIEM.

Haben Sie brachliegendes Potenzial? Meine Kollegen und ich beraten Sie gerne, wie sie Ihre vorhandenen Ressourcen am besten ausnutzen können und unterstützen Sie dabei, die Log-Daten, die Sie von Ihrer Infrastruktur erhalten, in Splunk und ähnliche Tools einzubinden. In einer Vielzahl von Projekten haben unsere Experten gezeigt, wie brachliegendes Datenpotential genutzt werden kann, um daraus wertvolle Informationen zu gewinnen. Nutzen Sie die Kommentarfunktion oder das Kontaktformular. Wir antworten gerne auf Ihre Fragen!

 


Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar