Startseite
01.2009		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheit für webbasierte ERP-/CRM-Portale – Neue Möglichkeiten aber auch neue Herausforderungen

Outsourcing – Wer kontrolliert eigentlich die Dienstleister?

Dem Täter auf der Spur – Forensische Analysen

Managed Security Services – Überwachung, Alarmierung und Betriebsunterstützung
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

Managed Security Services – Überwachung, Alarmierung und Betriebsunterstützung

Guido Moezer, Product Manager Support- und Managed Services
Guido Moezer, Product Manager Support- und Managed ServicesManaged Security Services (MSS) beschäftigt sich vor allem mit der Überwachung, Alarmierung und Betriebsunterstützung von IT-Security Systemen des Kunden. MSS unterteilt sich wiederum in die Services SecureWatch (proaktiv, Co-Managed) und die SecureManage (aktiv, Fully-Managed) und wird – damit eine qualitativ hochwertige Durch­führung dieser Dienstleistungen gewähr­leistet ist – weltweit durch mehrere Security Operation Centern (SOC) der Integralis angeboten. Der Kunde profitiert so von einem Rund-um-die-Uhr-Service mit hoch­quali­fizierten Sicherheitsexperten.

Was genau bietet MSS der Integralis?
Integralis hat eine eigene weltweite, ausfallsichere Architektur auf­ge­baut und mit dem Integralis Security Information Service (ISIS), einem eigenen Security Information und Event Management (SIEM) und der Security Service Appliance (SSA) vorausschauende Ent­­wick­lungs­arbeit geleistet. Die im Kundennetzwerk installierte SSA bietet die einzigartige Möglichkeit, die angebundenen Systeme zu über­wachen und darüber hinaus, die Analyse von Logfiles (Be­triebs­system und Applikation) in Echtzeit durchzuführen. Es werden täglich Hun­dert­tausende von Log-Einträgen analysiert, ohne dass diese Daten­mengen über das Netz transferiert werden müssen und somit die Daten­leitungen des Kunden belasten. Die Auswertung der von den Systemen erhaltenen Daten erfolgt direkt in der SSA, welche die verdichteten und korrelierten Daten dann zur weiteren Auswertung über eine sichere, ausfallgeschützte Verbindung in die Integralis-SOCs überträgt. Gleichzeitig dient die SSA als gesicherter Remote-Zugang zu den im Hause des Kunden betreuten Systemen. Bei Ausfall der Internetleitung oder der Firewall erfolgt der Ver­bin­dungs­aufbau automatisiert über zusätzliche Dial Up-Leitungen. Diese Ent­wick­lungs­arbeit trägt entscheidend dazu bei, dass Integralis seinen Kunden den in dieser Form einzigartigen Managed Security Service weltweit anbieten kann.

Immer ein Optimum an Sicherheit
Die in den SOCs beheimateten Sicherheitsexperten von Integralis sind rund um das Thema Sicherheit ausgebildet und zertifiziert. Dies be­dingt nicht nur Trainings in Sicherheitstechnologien, Sicher­heits­archi­tek­turen und den damit verbundenen Produkten, sondern ins­be­son­dere auch die Umsetzung von Prozessen und Richtlinien, die durch entsprechende Zertifizierungen der SOCs dokumentiert sind. Ein welt­weites Team aus Sicherheitsexperten konzentriert sich aus­schließ­lich auf den Schutz der Systeme und der Vermögenswerte der Kunden. Somit können sich Integralis Kunden darauf verlassen, immer ein Optimum an Sicherheit zu erhalten.
Die Integralis bietet ihren Kunden eine große Auswahl an Services an, die entsprechend der kundenindividuellen Geschäftsanforderungen auch angepasst werden können:

 Integralis Secure Managed Services
Integralis übernimmt die permanente (7x24) Echtzeitüberwachung sowie die Wartung und den Betrieb der überwachten Kundensysteme. Die Leistungen werden remote über gesicherte Zugänge erbracht.

Der Service umfasst im Wesentlichen:
  • Die Überwachung und Alarmierung rund um die Uhr an 365 Tagen im Jahr.
  • Die Überwachung der Funktionsfähigkeit der Systeme.
  • Die Überprüfung der Verfügbarkeit der Systeme.
  • Die Echtzeitüberwachung relevanter Systemparameter.
  • Die detaillierte Auswertung und Analyse der Logdateien nach Angriffen und Abwehr von Gefahren durch verschlüsselten Zugriff auf die Systeme.
  • Die Eskalation der notwendigen Aktionen auf Basis der Analyse.
  • Tägliche Berichte über kritische Vorfälle und einen wöchentlichen Statusbericht mit Aufgliederung der geloggten Verbindungen nach Abweichung von der vereinbarten Policy, abrufbar über das sichere Integralis Web-Portal (ISIS Portal).
  • Individuell über das Web-Portal zu erstellende Statistiken.
  • Die Darstellung der Angriffe in über das Web-Portal abrufbaren Berichten.
  • Die Überprüfung der Verfügbarkeit weiterer Dienste und Systeme.
  • Alarmierung anhand von gemeinsam definierten Reaktionsstufen.
  • Die Information über neue Veröffentlichungen zu Sicherheitslücken für die eingesetzte Security Software.
  • Die Entwicklung eines Maßnahmenplans in Zusammenarbeit mit dem Kunden, um die Reaktionen je nach Grad der Gefährdung zu definieren.
  • Die Umsetzung der notwendigen Aktionen, die aus der Analyse ermittelt wurden.
  • Ein Systemplattform-Management, welches Konfiguration, Sicherung, Backup und Patch-Management beinhaltet.
  • Ein Regelsatz-Management sowie remote Disaster Recovery.
Der Integralis SecureManage Premium Service wertet zudem, neben den relevanten Betriebsparametern, alle Ereignisse der Applikations-Log-Datei aus, fasst diese korreliert zusammen und ist mit diesen gewonnenen Informationen in der Lage, nahezu alle verdächtigen Aktionen zu erkennen, um daraus eine vollständige Sicherheitsanalyse abzuleiten. Mit der Echtzeitanalyse von Sicherheitsvorfällen im Netzwerk rund um die Uhr können selbst äußerst komplexe Hacker-Angriffe aufgespürt werden. Die potenziellen Angriffe werden ent­sprechend ihrem Gefährdungspotenzial priorisiert und in den SOCs manuell qualifiziert. Darauf werden die mit dem Kunden vereinbarten Gegen­maß­nahmen eingeleitet (Incident und Change Management).

Logfile Analyse
Im Bereich der Logfile-Analyse überwacht und analysiert Integralis die Protokolldateien der definierten Systeme. Die Protokolldateien werden hierbei für Sicherheits- und Verfügbarkeits-Zwecke ausgewertet. So können nicht nur Missbräuche erkannt und eskaliert werden, auch lassen sich unter anderem durch plötzlich verändertes Log-Verhalten z.B. nichtautorisierte Änderungen an Sicherheits-Applikationen oder Viren- und Wurmausbrüche aufdecken (statistische Analysen). Im Anschluss werden die Informationen aufbereitet und an das Incident Management weitergegeben.
Weiterhin werden durch die Protokoll-Analyse wichtige Informationen über die Effektivität der Policies, die Qualität der Security-An­wen­dungen, die Bedrohungsstatistiken und das Miss­brauchs­ver­halten sowie allgemeine KPIs über Sicherheitsparameter für Reports ge­wonnen.

Incident Management
Beim Incident Management werden kritische Incidents an Hand einer Protokolldaten-Analyse gemeldet. Das Incident Management be­in­hal­tet die Bearbeitung von Anfragen und Störungen aller Art, mit dem Ziel der schnellstmöglichen Wiederherstellung der Service Leistung und Minimierung der Beeinträchtigung von Geschäftsprozessen.

Change Management
Beim Change Verfahren werden zusammen mit dem Kunden im Vorfeld folgende Punkte definiert:
  • Regelbasisänderung aufgrund kritischer Incidents/Sicherheitsvorfälle
  • Regelbasisänderungen, eingereicht durch Kunden
  • Regelbasisänderungen, auf Empfehlung von Integralis
Bei allen Vorgängen wird eine automatische Dokumentation in ISIS (Integralis Security Information Service) vorgenommen. Alle Akti­vi­täten lassen sich durch Reports visualisieren.

Weitere Informationen gibt es unter www.integralis.com



E-Mail an den Autor     Artikel weiterempfehlen