1. Warum sind die PacketAlarm IDS & IPS Produkte so wichtig!

Transkript

1 Die PacketAlarm IDS & IPS Systeme Sieben Gründe für ihren Einsatz 1. Warum sind die PacketAlarm IDS & IPS Produkte so wichtig! Vernetzung und globale Kommunikation sind heute Unternehmensstandards, die aus unserem Geschäftsleben nicht mehr wegzudenken sind. Die extreme Zunahme von System-Angriffen hat gezeigt, dass trotz dem Schutz durch Firewalls und Virenscanner Netzwerke und Server empfindliche Schwachstellen aufweisen. Sobig, Sasser, Nimda und CodeRed, um hier nur einige der geläufigsten Vertreter von mehreren hundert bekannten netzwerkbasierenden Angriffen zu nennen, sind zu Synonymen der Unternehmensbedrohung geworden. Bei vielen Unternehmen herrscht nach wie vor die irrige Annahme vor, das Firewalls und Virenscanner alleine TCP/IP Payload umfassenden Schutz bieten. Diese Meinung ist so nicht richtig! Firewalls verarbeiten im TCP/IP Protokoll, nur Daten wie Source, Destination und Port S D P (SDP), nicht aber den Payload! Im Gegensatz dazu bearbeitet der Virenscanner nur Daten die bereits lokal auf der Festplatte sind! Deshalb können PacketAlarm IDS/IPS depth of inspection diese Systeme im Gegensatz zu IDS & IPS-Systemen, welche die SDP- und die PacketAlarm Depth of Inspection Payload-Daten verarbeiten, vor netzwerkbasierenden Angriffen nicht schützen. Die Kosten die mit solchen Attacken, beziehungsweise der System- und Datenwiederherstellung verbunden sind, können existenzielle Ausmaße für jedes Unternehmen erreichen. Bei einem Großteil der Systeme wird nicht einmal bemerkt, dass sie von Würmern und Trojanern befallen sind und immer wieder erfolgreich von Hackern angegriffen und erobert werden. Den meisten Unternehmen fehlt ein Instrument zur kontinuierlichen Erkennung, Überprüfung, Rückverfolgung und Vermeidung von Angriffen. Dadurch bleiben Systeme weiterhin ungeschützt und der Sicherheitsstatus eines Systems oder Netzwerkes kann nicht verbessert werden. PacketAlarm schützt Sie Die PacketAlarm Produktfamilie bietet IDS- & IPS-Systeme zentral administrierbar aus einer Hand. umfassend vor solchen Netzwerkattacken!

2 2. Um welche gesetzlichen Vorschriften sollten sich Unternehmen, in punkto IT-Sicherheit kümmern? Aus heutiger Sicht ist nicht nur der Schutz der IT-Infrastruktur vor dem Verlust der Verfügbarkeit, der Integrität und der Vertraulichkeit wichtig, sondern auch die Umsetzungen der gesetzlichen Richtlinien zum Thema Sicherheit in Unternehmen. Das am Markt immer noch nicht bei allen Unternehmen bekannte KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) verpflichtet Unternehmen u.a. zur Einführung eines Risikomanagement. Wird durch mangelnde IT-Sicherheit dem Unternehmen Schaden zugefügt so kann durch das KonTraG die Geschäftsleitung bzw. der Vorstand eines Unternehmen persönlich haftbar gemacht werden. Betroffen davon sind Unternehmen, die zwei der folgenden Kriterien in zwei aufeinander folgenden Jahren erfüllen: Bilanzsumme > 3,44 Mio. Umsatz > 6,87 Mio. Mitarbeiterzahl > 50 Wie die vorgenannten Kriterien beweisen, ist dieses Gesetz bei weitem nicht nur auf große Mittelstandsfirmen und Konzerne zutreffend, wie man oft von Unternehmen hört! Ein weiterer wichtiger Punkt sind die Banken-Ratings nach Basel II, welche die Kreditwürdigkeit eines Unternehmens prüft und in Deutschland zum Gesetz wird. Hier fließt die IT-Sicherheit in die Risikobewertung eines Unternehmens mit ein. Die Bedeutung der Einführung eines Sicherheitssystemes zusätzlich zu den gebräuchlichen Firewalls und Virenscannern wird dadurch mehr als deutlich, da ein Unternehmen mit ungenügender IT-Sicherheit schlechtere Ratings und dadurch schlechtere Kreditkonditionen erhält. Die Unternehmen brauchen für ein besseres Risikomanagement bessere Informationen über den Zustand ihrer IT-Infrastruktur. Gibt es Schwachstellen im Netzwerk? Sind Netzwerke oder Segmente daraus angreifbar? Gibt es aktuell Angriffe auf das Netzwerk und wie sehen diese aus? Wie können wir ihnen begegnen und wie können die Schwachstellen des Netzwerkes eliminiert werden. Diese Fragen kann ein PacketAlarm IDS/IPS-System beantworten und mit seinen Aktionen zur Die PacketAlarm bietet IDS- & IPS- Systeme zentral administrierbar aus einer Hand. wesentlichen Verbesserung der IT-Sicherheit beitragen!

3 3. Wie definiert sich ein IDS/IPS-System und welche Bestandteile zeichnen die PacketAlarm Produkte aus? Es gibt am Markt derzeit Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS), und Hybrid Firewalls, die IDS/IPS mit einer Firewall kombinieren. Hier die PacketAlarm Funktionalitäten im Überblick: PacketAlarm Product Features: IPS IDS Netzwerk basierend HA-Verfügbarkeit Integration Layer 2 (Bridging Mode) Integration Layer 3 (Routing Mode) Passive Integration (Sniffing Mode) TCP-Reset und Firewall-Hardening Auto-Prevention Event-Korrelation Anomalie Detection Vulnerablility Scanner Sensor Management Forensische Analyse Auto-Reporting Traffic-Trace Automat. Software and Pattern Update Integrierte Signaturen >6.200 >6.200 Stateful Inspection Firewall 4. Integrationsoptionen von PacketAlarm IDS/IPS und die Event- Korrelation zur Vermeidung von False Positives? PacketAlarm Intrusion Detection (IDS) Untersuchen und alarmieren IT-Infrastrukturen mit hohen Sicherheitsanforderungen benötigen eine Angriffserkennung für gesamte Netzwerksegmente, oder komplette Netzwerke ohne dabei deren Verfügbarkeit und Performance zu beeinträchtigen. So kann PacketAlarm IDS an Core-Switches oder mittels TAP-Devices an zentralen Stellen implementiert werden. Unsichtbar im Sniffing Modus lauscht PacketAlarm IDS am Netzwerk, liest alle vorbeifließenden Daten mit und analysiert sie auf auftretende Netzwerkangriffe (z.b. DOS-Attacken, Exploits, Würmer, unerlaubte Zugriffe). Auf Grund seines Betriebsstandortes an zentralen Switches wird der gesamte Datenverkehr eines Netzwerksegmentes analysiert. Die Überwachung des gesamten Datenverkehrs ist deshalb wichtig, da Angriffe nicht nur von außerhalb erfolgen. Laut Statistik kommen ca % der Angriffe auf ein Unternehmensnetzwerk aus der internen IT-Landschaft. Nur die IDS-Technologie bietet die

4 IDS Systeme im Sniffing Modus zur Überwachung des internen Datenverkehrs an einem Core-Switch Möglichkeit zur Überwachung des internen Datenverkehrs. Ein weiterer Vorteil der IDS- Technologie ist, dass es, im Gegensatz zur IPS- Technologie, durch das passive Sniffing des Datenstroms zu keinerlei Performance-Verlusten kommen kann und die Verfügbarkeit des Netzwerk nicht herabgesetzt wird. Das passive Sniffing-Interface besitzen dabei keinen eigenen IP-Stack bzw. IP-Adresse (Stealth-Modus) und ist somit nicht angreifbar. PacketAlarm Intrusion Prevention (IPS) Untersuchen und eliminieren PacketAlarm IPS untersucht in Echtzeit detailliert alle Datenpakete und nur der tatsächlich erwünschte Datenverkehr fließt ungehindert weiter. Die wesentlichen Bestandteile eines PacketAlarm IPS-Systems sind identisch mit dem des IDS- Systems. Deshalb identisch, denn nur was als unerwünscht erkannt wurde kann mittels des IPS verworfen werden. Als zweistufiges Sicherheitskonzept bildet ein IPS oft eine Einheit mit einer Stateful Inspection Firewall. Bei beiden Teilen werden die Datenpakete selbst und ihr Inhalt geprüft. Herzstück des IPS ist die Intrusion Prevention Engine, als der im System integrierten Firewall nachgeschaltetes Handlungsorgan, das letztendlich für pass oder drop der Datenpakete verantwortlich ist. Erkannte Angriffspakete können somit direkt am Gateway gedropped werden und erreichen damit das Zielsystem nicht. Im Gegensatz zu passiven im Sniffing Modus operierenden IDS-Systemen sind Intrusion Prevention Systeme inline, das IPS System im inline modus heißt im Datenstrom installiert. Ein besonderes Feature der PacketAlarm IPS Systeme ist die alternative Möglichkeit der Integration des Produktes auch auf Layer 2, im Bridging Mode! Dadurch kann das IPS einfach und quasi unsichtbar ohne Änderungen der Netzwerk-Konfiguration in bestehende Topologien integriert werden ohne dabei z.b. Gateways zu ändern. Die PacketAlarm IPS-Systeme sind alle als Hochverfügbarkeits-Lösungen (HA) erhältlich. Bei allen Vorteilen welche die IDS- und auch die IPS-Technologie dem Anwender bietet, liegt ein kritischer Punkt in der Erkennung und Minimierung so genannter False Positives und False Alarms. False Positives sind vom IDS/IPS gemeldete Angriffe, die in Wirklichkeit keine Angriffe sind, weil die Datenpakete nur zufälligerweise aussehen wie ein bekannter Angriff. False Alarms sind nun andererseits vom System alarmierte Angriffe auf Systeme die in der Realität nicht funktionieren können. Ist das Zielsystem beispielsweise ein Linux Apache Webserver so kann ein reiner Windows IIS Angriff darauf nicht funktionieren. Eine Minimierung der False Positives und False Alarms geschieht im Regelfall durch die kontinuierliche Anpassung der Signaturen an das zuschützende Netzwerk. Die Problemfelder der IDS/IPS-Technologie werden hier sichtbar. Zum einen die Minimierung, Vermeidung von falschen Alarmen und der Tatsache, dass im Unternehmen Personen und Know-how vorhanden sein müssen, die ent-

5 scheiden wie mit den Alarm-Meldungen im Einzelfall verfahren wird. Die PacketAlarm Event-Korrelation mit System-Attributen und gefundenen Schwachstellen (Vulnerabilities), bietet hierfür als einziges System am Markt eine optimale Lösung! PacketAlarm Event-Korrelation Hinter Event-Korrelation versteckt sich die Überprüfung, ob ein entdeckter Angriff auf dem Zielsystem überhaupt ausgeführt Gefundene Angriffe + Vulnerability Scan Ergebnisse + Systemattribute = Entscheidung werden könnte. Bei PacketAlarm wird anhand von definierten System- und Serviceattributen (z.b. x86, Linux, Apache, Sendmail) und mit Hilfe der vom Vulnerability Scanner gefundenen System- Schwachstellen, in Echtzeit mit gefundenen Angriffen korreliert. Jede Übereinstimmung erhöht dabei die Wahrscheinlichkeit, dass es sich um einen gefährlichen und ausführbaren Angriff handelt. Die Event-Korrelation bei allen PacketAlarm Produkten ermittelt in Echtzeit die Angriffsaussichten und reduziert dadurch den Administrationsaufwand erheblich. Es werden nur wirklich relevante Ereignisse für den Administrator entsprechend kenntlich gemacht. Alle PacketAlarm Produkte haben darüber hinaus, derzeit über Angriffssignaturen in den Systemen bereits hinterlegt! 5. Die PacketAlarm Features: Vulnerability Scanner, Auto-Prevention und Anomalie-Erkennung! Vulnerability Scanner Alle PacketAlarm Produkte verfügen über einen Vulnerability-Scanner (Schwachstellen-Detektor), der automatisch über im Scann-Bereich integrierte Maschinen und deren Schwachstellen berichtet. Netzwerkattacken nutzen Schwachstellen von Betriebssystemen für Ihre Angriffe aus. Sind diese bekannt, kann Abhilfe in Form von Patches und Updates geschaffen werden. Damit ist der Angriff wirkungslos! Der PacketAlarm Vulnerability Scanner kann automatisch oder manuell alle im Netzwerk befindlichen Maschinen auf diese Schwachstellen hin untersuchen und zu deren Abhilfe Reports generieren, die Lösungsvorschläge, bis hin zu Links für Patches und Updates enthalten. Die gefundenen Schwachstellen sind bis zu ihrer Beseitigung Gegenstand der bereits beschriebenen Event-Korrelation. Auto-Prevention Ein wichtiger Aspekt für die Praxistauglichkeit eines IPS sind so genannte Auto- Prevention Funktionen. Es spiegelt die grundsätzliche Arbeitsweise der besprochenen Event-Korrelation, plus der automatischen Umsetzung einer Handlungsempfehlung, mittels einer vordefinierten Policy wieder. Was nützt dem

6 Anwender das beste IPS-System, wenn es keine vordefinierten Entscheidungen für verschiedene Angriffe beinhaltet. Im Zweifelsfall müsste der Administrator ohne Auto-Prevention zu jeder Signatur einzeln, manuell entscheiden wie im speziellen darauf reagiert werden soll. Dieser Aufwand ist in der Praxis kaum zu bewältigen. Die PacketAlarm Produkte bieten diesen Automatismus! Ist die Auto-Prevention Funktion aktiviert, handelt das System gemäß der voreingestellten Handlungsoder Policy-Stufen unseres Expertensystems. Alle der über Signaturen sind sind darin in Ihrer Abwehrweise vordefiniert und Pattern-Updates werden automatisch diesen Richtlinien hinzugefügt. Wichtig ist in diesem Zusammenhang, dass Reaktionen auf Angriffe auch abweichend von diesen vordefinierten Policy-Stufen manuell anders definiert werden können. Anomalie-Erkennung Die Anomalie-Erkennung geht davon aus, dass Angriffe oder Auswirkungen von Angriffen normalerweise Abweichungen im Datenverkehr nach sich ziehen. Ein plötzliches Ansteigen der Datenmenge oder das drastische Absinken des Datenverkehr deuten dabei immer auf ungewöhnliche Vorkommnisse hin. Bei unterschrittenem durchschnittlichem Verkehraufkommen, könnte dies auf einen völlig lahmgelegten Dienst hinweisen. Weit überschrittene durchschnittliche Datenverkehre nun ihrerseits auf einen Angriff. Die Anomalie-Erkennung erlernt nun, was im Netzwerk ein normaler Datenverkehr ist. Sie kann dann die prozentuale Überoder Unterschreitungen vom definierten normalen Datenaufkommen anzeigen. Diese Abweichungen können von PacketAlarm zeitbezogen für Netze, Maschinen und einzelnen Ports auf Maschinen angezeigt werden. 6. Die PacketAlarm Features: Sensor Management, Forensische Analyse und Traffic-Trace! Der PacketALarm Sensor-Manager Betrieb ermöglicht es dem Betreiber eine beliebige Anzahl von PacketAlarm Systemen als Sensoren zur Überwachung von Netzwerksegmenten oder kompletten Netzen zu installieren. Diese einzeln in der Infrastruktur des Netzes verteilten Sensoren werden dann mit einem zentralen Manager konfiguriert, administriert und überwacht. Das zentrale Management bietet auch die Möglichkeit der Korrelation der Ereignisse über mehrere Sensoren hinweg. PacketAlarm bietet darüberhinaus damit auch die Möglichkeit installierte IDS und IPS Geräte ebenfalls zentral zu überwachen.

7 Forensische Analyse Alle PacketAlarm Produkte verfügen über eine detaillierte forensische Analyse die es ermöglicht gefundene Angriffe nach Abfrage- und Anzeigeoptionen innerhalb eines frei definierbaren Zeitraumes nach unterschiedlichen Kategorien aufzulisten. Es werden alle Angriffe inklusive des gesamten Angriffspaketes dargestellt, sowie deren Erfolgswahrscheinlichkeit bzw. deren Relevanz (mittels Korrelation) ausgewiesen. PacketAlarm verfügt darüber hinaus über die so genannte Auto-Report Funktion, welche die wichtigsten Angriffe und Regelverstöße in einem -report zyklisch und automatisch zusammenfassen. Traffic-Trace PacketAlarm Produkte verfügen standardmäßig über Traffic-Trace Funktionen. Hinter diesen Funktionen verbirgt sich die Möglichkeit, nicht nur das mit einer Angriffssignatur behaftete Datenpaket zur Analyse zu speichern, sondern nach diesem beliebig viele folgende. Bei PacketAlarm defaultseitig eingestellt sind 30 weitere Datenpakete. Dies gilt sowohl für eingehende, als auch für ausgehende Daten! Diese Funktion ist für die Unternehmen wichtig, die per Gesetz zur Speicherung des Datenverkehrs verpflichtet sind. Derzeit sind es die Schweizer Banken, aber es auch bereits seitens der EU sind Bestrebungen für einen solchen Erlass im Gange und nur eine Frage der Zeit bis unsere Unternehmen damit ebenfalls konfrontiert werden. 7. Die PacketAlarm Software- und Pattern-Updates Software- und Pattern-Updates und Services Die über in PacketAlarm beinhalteten Signaturen werden ständig aktualisiert und mit den neuesten ergänzt. Dies geschieht bei PacketAlarm online und automatisch jede Stunde! Bei Kauf eines PacketAlarm Produktes sind die ersten 12 Monate Softwareund Patternupdate bereits enthalten! Weitere Informationen erhalten Sie unter: