1 17 Table of Contents 19 52

NET 09/2021

18 www.net-im-web.de 09/21 Verfügbarkeit ist nicht alles nagement (SIEM); • Security Orchestration Automation and Response (SOAR); • Endpoint Detection and Response (EDR); • Extended Detection and Response (XDR). IDS/IPS-Systeme versuchen das interne Netzverhalten zu analysieren, Angriffe durch Muster zu erkennen und ggf. auto- matisierte Gegenmaßnahmen einzuleiten. Hier unterscheidet man zwischen host- und netzbasierten IDS-Lösungen, die auch in Kombination eingesetzt werden können. Das hostbasierte IDS schützt das Betriebs- system eines Server- oder Client-Rechners und analysiert Log- undKernel-Daten sowie andere Systemdaten, wie z.B. Datenbanken. Das netzbasierte IDS zeichnet hingegen den Netzverkehr auf und gibt Alarm bei verdächtigen Aktivitäten. Es wird versucht, ein Angriffsmuster zu erkennen und dieses mit den bekanntenMustern abzugleichen. Durch immer schnellere Netze und der entstehenden Datenflut, ist der IT-Admi- nistrator aber oftmals überfordert. Um sich gegen Viren, Würmer und nichtautorisierte Zugriffe auf Server- systeme zu schützen, kann ebenfalls eine sog. Zugangskontrolle (Network Access Control – NAC) eingeführt werden. Der NAC-Ansatz ist auf Mitarbeiter und End- geräte fokussiert und kontrolliert diese während des Anmeldungsprozesses auf Richtlinienkonformität (Bild 1). Ein typisches Szenario ist es, wenn bei der Authentifizierung die Aktualität des Vi- renscanners bzw. seiner musterbasierten Datenbank abgefragt wird. Ist diese auf dem neuesten Stand, wird entsprechend der Nutzerrichtlinie der Zugriff gewährt. Ist hingegen der Virenscanner veraltet, wird das Endgerät in die Quarantäne- zone geschoben. Dort hat es nur Zugriff auf das öffentliche Internet sowie den Update-Server. Ist das Endgerät wieder auf einem Sicherheitsstand, der den Si- cherheitsrichtlinien entspricht, kann er auf das Unternehmensnetz wie gewohnt zugreifen. Die erforderlichen Funktionen verteilen sich auf verschiedene Netzkom- ponenten wie Router, WLAN-APs und Switche oder entsprechende Appliances, die gebündelt die Funktionalität anbieten. Falsches Nutzerverhalten und Angriffe auf Applikationsebene können allerdings nicht erkannt werden. SIEM-Lösungen stellen hingegen eine Kombination aus ehemals unterschied- lichen Produktkategorien dar: Security Information Management (SIM) und Se- curity Event Management (SEM). Die SIEM-Technik ermöglicht die Echtzeit- analyse von Security-Alarmen, die von Netzkomponenten oder Anwendungen generiert werden. SIEM-Lösungen kann Bild 1: Der NAC-Ansatz ist auf Mitarbeiter und Endgeräte fokussiert und führt während des Anmeldeprozesses eine Richtliniensteuerung durch (Quelle: https://www.extreme - networks.com/product/extremecontrol/)

RkJQdWJsaXNoZXIy MjE2Mzk=