Intrusion Detection und Prevention und SIEM
die intelligente Einbruchserkennung
Bei Intrusion Detection handelt es sich um ein Frühwarnsystem, das in der Lage ist, unsachgemäße Benutzung und Angriffe auf die IT-Infrastruktur aufzudecken. Zweckgemäß werden Intrusion Detection-Systeme (IDS) an strategischen Punkten im Netz des Unternehmens gesetzt. Um den hohen Sicherheitsstandards zu genügen, ist eine permanente Pflege und Feinabstimmung der Regeln der Intrusion Detection-Systeme notwendig. Wichtig ist es, Fehlalarme (False Positives) zu vermeiden, aber Angriffe (False Negatives) zu bemerken und beides voneinander unterscheiden zu können.
Eine ‚Protection‘ Komponente verhindert im Erkennungsfall den Zugang zum Netzwerk.
Network Admission Control (NAC) ist die Weiterentwicklung und prüft Endgeräte auf gewünschte Sicherheits-Standards, bevor der Zugang zum Netzwerk gewährt wird.
SIEM-Systeme (Security Incident and Event Management) sammeln zentral alle relevanten Daten in Ihrem Netzwerk und bieten Möglichkeiten zur Korrelation, Anomalieerkennung und automatischen Alarmierung. Ferner ermöglichen sie es, in historischen Daten zu suchen, um bei Auffälligkeiten auch Vergleiche mit anderen Systemen durchführen zu können.
Leider gibt es trotz aller Bemühungen keinen hundertprozentigen Schutz vor unbefugten Zugriffen. Um so wichtiger ist es, im Fall der Fälle eine aussagekräftige Dokumentation des Geschehenen zu haben. Hierfür ist es notwendig, die Logdaten der Systeme manipulationsgeschützt auf einem nicht löschbaren Medium zu archivieren. Sie können somit nicht nur den Urheber der Attacke ermitteln und den technischen Ablauf nachvollziehen, sondern sie haben gleichzeitig rechtskräftige Beweise für die strafrechtliche Verfolgung des Täters. Sollten Sie Ihre EDV-Systeme und Infrastruktur durch eine Ausfallversicherung gegen Hacker, Viren etc. abgesichert haben, dienen Ihnen diese Daten als Beweis zur Durchsetzung Ihrer Leistungsansprüche.