Graphiqa-Stock - Fotolia

Vergleich der besten verfügbaren Security-Analytics-Tools

Wir stellen die Top-Produkte für Security Analytics vor. So können Sie entscheiden, welche Tools Ihren Anforderungen am besten entsprechen.

Security-Analytics-Tools sammeln, filtern, integrieren und verknüpfen verschiedene Arten von Sicherheitsereignisdaten, um einen umfassenderen Blick auf die Infrastruktursicherheit einer Organisation zu ermöglichen. So gut wie jede Organisation mit einer größeren Anzahl an Geräten – von Desktops über mobile Geräte bis hin zu Servern und Routern etc. – kann von Security Analytics profitieren.

Allerdings ändert sich der Markt für Security Analytics rasant. Hersteller schließen sich zusammen, Entwickler fügen neue Funktionen hinzu, und einst exklusiv On-Premise bereitgestellte Tools sind nun auch als Cloud-Dienste verfügbar. Doch trotz all dieser rapiden Neuerungen sehen die Anforderungen von Unternehmen immer noch relativ unverändert aus – etwa Funktionen, um Logs zu analysieren, Ereignisse zu korrelieren und Alarme zu generieren. Dieser vierte und letzte Beitrag in unserer Serie über Auswahl und Kauf von Security-Analytics-Tools vergleicht die wichtigsten Angebote auf dem Markt und gibt Tipps, damit Sie das zu Ihren Bedürfnissen passende Produkt finden.

Es gibt keine allgemeingültige Klassifizierung von Einsatzszenarien für Security Analytics, die alle Anforderungen strukturell erfasst, doch zu den gängigsten Anforderungen gehören:

  • Grundlegende Security Analytics mit minimalem Overhead
  • Einsatzszenarien für große Unternehmen
  • Priorität auf Advanced Persistent Threats
  • Priorität auf IT-Forensik
  • Mix verschiedener Sicherheits-Tools und -dienste

Diese Kategorien betonen die unterschiedliche Gewichtung wesentlicher Security-Analytics-Funktionen, zum Beispiel Bereitstellungsmodelle, Modularität, Umfang und Tiefe der Analyse, IT-Forensik sowie Monitoring, Reporting und Visualisierung. Wir stellen hier eine Reihe von Produkten vor. Dazu zählen: Blue Coat Security Analytics Platform, Lancope Stealth Watch System, Juniper Networks JSA Series Secure Analytics, EMC RSA Security Analytics NetWitness, FireEye Threat Analytics Platform, Arbor Networks Security Analytics, Click Security Click Commander und der Cloud-Dienst von Sumo Logic.

Grundlegende Security Analytics mit minimalem Overhead

Kleine und mittlere Organisationen sind oft ein verlockendes Ziel für Angreifer. Sie mögen nicht so viele wertvolle Datenbestände besitzen wie große Konzerne, aber die Hürden für erfolgreiche Attacken liegen niedriger. Firmen, die den branchenüblichen Regulierungen unterliegen, beispielsweise dem Payment Card Industry Data Security Standard (PCI DSS) oder im Gesundheitsbereich, müssen über Sicherheitskontrollen verfügen, um persönlich identifizierende Informationen (PII) zu schützen. Security-Analytics-Tools können dazu beitragen, das Risiko von Datenlecks und anderen Angriffen zu entschärfen, sollten jedoch einige Kriterien erfüllen, um die speziellen Einschränkungen von kleinen und mittleren Betrieben zu berücksichtigen.

So sollten Bereitstellungsmodelle den administrativen Overhead minimieren. Appliances und Cloud-Dienste erfüllen üblicherweise diese Kriterien, aber Bereitstellungen von virtuellen Maschinen können ebenso Implementierungen mit geringem Aufwand ermöglichen.

Wenn es einen Bereich in der IT gibt, in dem eine redundante Funktionalität erwünscht ist, ist es der Sicherheitsbereich.

Der Cloud-Dienst von Sumo Logic ist ein gutes Beispiel für einen Dienst, der sich an kleine und mittlere Organisationen richtet. Der Dienst für die Log-Analyse bietet ein zentrales Verwaltungs-Dashboard zur Überwachung von Anwendungen, Servern und Netzwerkressourcen. Da es sich um einen Cloud-Dienst handelt, entfällt die Installation und Wartung von Hardware oder Software. Der Dienst enthält vorgefertigte Reports, so dass er sich ideal für Firmen eignet, die Compliance-Berichte erstellen müssen, insbesondere für PCI DSS, ISO und COBIT. Unternehmen mit Geschäftsbeziehungen finden auch solche für den Sarbanes-Oxley Act (SOX). Inzwischen werden maschinell lernende Algorithmen zur Ereigniserkennung verwendet. Auf diese Weise muss man Regeln nicht mehr manuell anlegen. Und multidimensionale Key Performance Indicators (KPIs) lassen sich im Management-Dashboard nachverfolgen.

Wie bei anderen Cloud-Diensten basiert auch die Preisgestaltung von Sumo Logic auf der Anzahl der Nutzer und dem analysierten Datenvolumen. Details finden Sie hier.

Kleine und mittlere Unternehmen, die es vorziehen, dass ihre Security-Analytics-Software On-Premise läuft, sollten die Blue Coat Security Analytics Platform in Betracht ziehen. Die Lösung ist als virtuelle Maschine oder vorkonfigurierte Appliance erhältlich. Die Plattform von Blue Coat besitzt eine modulare Struktur, die es den Kunden erlaubt, die jeweils benötigten Komponenten auszuwählen. Diese werden dann als Module – Blades genannt – zur Verfügung gestellt.

Einsatzszenarien für große Unternehmen

Am anderen Ende des Spektrums befinden sich große Unternehmen. Diese achten bei einer Security-Analytics-Plattform mehr auf Skalierbarkeit, Tiefe und Umfang der Analyse, IT-Forensik und Monitoring. Ein geringer administrativer Overhead wäre ohne Zweifel begrüßenswert, doch das ist nur ein untergeordneter Aspekt. Im Mittelpunkt stehen umfangreiche, hochperformante Analysefähigkeiten.

Juniper Networks JSA Series Secure Analytics ist in mehreren Modellen verfügbar, die bis auf das Niveau von global tätigen Konzernen skalieren. Die Appliance JSA 5800 zum Beispiel ist für mittlere und größere Firmen konzipiert, während die JSA 7500 sich für globale Unternehmen eignet. Kleinere Unternehmen, die ein kräftiges Wachstum erwarten, können mit der JSA 3800 oder der JSA Virtual Appliance beginnen und später dann zu den entsprechend umfangreicheren Appliances wechseln. Wenn eine Organisation sich für die Virtual Appliance entscheidet, benötigt sie einen Server mit VMWare ESX 5.0 oder 5.1, 4 CPUs und 12 GByte RAM.

Die Plattform EMC RSA Security Analytics NetWitness umfasst zwei Gruppen von Modulen: eine für die Infrastrukturunterstützung, die andere für Analysedienste. Die Module werden in variierenden Konfigurationen bereitgestellt, um unterschiedliche Anforderungen hinsichtlich Traffic-Level und Analysefunktionen abzudecken.

Der RSA Security Analytics Decoder ist eine der Infrastruktur-Komponenten. Der Decoder ist eine Netzwerk-Appliance, die dazu gedacht ist, Paket- und Log-Daten in Echtzeit zu erfassen. Er enthält Unterstützung für eine breite Palette an Log-Typen. Um die Skalierbarkeit und Verfügbarkeit zu gewährleisten, lassen sich mehrere Decoder im Netzwerk bereitstellen. Der RSA Security Analytics Concentrator ist eine weitere Infrastrukturkomponente, die Daten von Decodern aggregiert. Sicherheitsanalysten und -Administratoren nutzen den RSA Security Analytics Broker/Analytic Server, um Daten abzufragen, die von Decodern gesammelt und von Konzentratoren aggregiert wurden.

Die verteilte Plattform RSA Security Analytics eignet sich gut für große Netzwerke. Bei zunehmendem Netzwerk-Traffic oder Log-Umfang können Infrastrukturkomponenten hinzugefügt werden. Verwaltung und Konfiguration können allerdings, wie bei anderen verteilten Systemen, schwieriger sein. Aus diesem Grund sollten Organisationen Mittel für eine ausreichende Unterstützung der System-Administration vorsehen, um die Security-Analytics-Plattform zu kontrollieren und zu warten.

Die Analysekomponenten der RSA-Plattform bieten eine Echtzeitanalyse von Netzwerk-, Log- und Endpunktdaten, um Ereignisse zu erkennen. Außerdem ist ein Archivmodul erhältlich, um die im Laufe der Zeit erfassten Sicherheitsdaten zu speichern und Berichte dazu zu erstellen.

Priorität auf Advanced Persistent Threats

Die Größe einer Organisation ist nur ein Faktor, um Einsatzszenarien für Security Analytics in Kategorien einzuteilen. Manchmal ist es hilfreicher, wenn man die wichtigsten Funktionen berücksichtigt, die eine Organisation nutzen will. Wenn beispielsweise eine Firma bereits über einen guten Schutz der Endpunkte und Funktionen zur Datenerfassung verfügt, steht vielleicht eher die Erkennung von Advanced Persistent Threats im Mittelpunkt. Security-Analytics-Lösungen, deren Schwerpunkt auf Umfang und Tiefe der Analyse sowie auf Unterstützung für IT-Forensik liegt, sind für dieses Einsatzszenario ideal.

Arbor Pravail Security Analytics verwendet mehrere Techniken, um Advanced Threats in Echtzeit zu entdecken. Diese Security-Analytics-Plattform nutzt das Full Packet Capture, um große Mengen an Rohdaten zu sammeln. Mit ihnen lässt sich eine Reihe von Angriffsvektoren identifizieren, die gegen Ihre Organisation gerichtet sind. Der Netzwerk-Traffic wird gespeichert und erneut analysiert, sobald neue Informationen vorhanden sind. Wenn etwa ein neuer Bedrohungstyp durch die Threat Intelligence des Anbieters entdeckt wird, können neue Erkennungsverfahren entwickelt und bereitgestellt werden. Mit diesen Verfahren lassen sich dann alte Daten untersuchen, um festzustellen, ob eine Attacke vorliegt.

Einige Angreifer kompromittieren ein Netzwerk und stellen anschließend ihre Aktivitäten für einige Wochen ein. Diese Phase des Abtauchens kann als Taktik im Sinne des Angreifers in einigen Fällen aufgehen, wenn eine minimale Hacker-Aktivität schwieriger zu entdecken ist als fortgesetzte Attacken, die ein erkennbares Angriffsmuster erzeugen. Organisationen können, indem sie die Verlaufsdaten des Traffics aufbewahren und diese auf Anzeichen von zurückliegenden Attacken scannen, einige Vorteile zunichtemachen, die Angreifer durch ihr zeitweises Abtauchen erlangen.

Um Advanced Persistent Threats aufzuspüren, sollten Sie nicht nur die Verlaufsdaten analysieren. Ebenso entscheidend ist es, auch den Traffic-Fluss zu untersuchen. Lancope Stealth Watch System, mittlerweile zu Cisco gehörig, verwendet sogenannte Flow Records zu Netzwerkereignissen, um die einzelnen Phasen von komplexen Angriffen zu erkennen. Das Lancope-System enthält einen Datenaggregator, der unterschiedliche Informationen zu einer einzigen, analysierbaren Quelle für Netzwerk- und Geräteereignisdaten konsolidiert. Eine Konsole bietet aktuelle Daten und Alarme zu wichtigen Ereignissen im Verlauf solch einer komplexen Attacke.

Der Click Commander von Click Security ist gut geeignet, um das Verhalten von Angreifern zu untersuchen. Dazu erstellt er ein Profil der Aktivitäten in unterschiedlichen Phasen der Kill Chain und gibt Warnmeldungen sowie andere anpassbare Benachrichtigungen aus. Dieses Programm enthält Visualisierungs-Tools, um Diagramme der Aktivitäten zu erstellen. Außerdem stellt es Täterprofile und Kontextdaten zur Analyse der Ereignisse bereit, die in den Diagrammen dargestellt werden.

Priorität auf IT-Forensik

Es gibt einige Überschneidungen bei den Einsatzszenarien, die sich auf Advanced Persistent Threats fokussieren, und denen, die sich auf IT-Forensik konzentrieren. Sowohl Arbor Pravail Security Analytics als auch Lancope Stealth Watch System sind gut geeignet für forensisch ausgerichtete Einsatzszenarien. Darüber hinaus können auch andere Systeme, die Daten sammeln und integrieren sowie umfassende Abfrage- und Analysefunktionen bereithalten, die Anforderung nach forensischer Unterstützung erfüllen.

Die Blue Coat Security Analytics Platform zum Beispiel ist gut in Sicherheits-Tools wie Firewalls, Data Loss Prevention, Intrusion Detection Systems/ Intrusion Prevention Systems und Malware-Scannern integriert. Die Plattform ist außerdem integriert in datenerzeugende oder datenliefernde Geräte und Tools, etwa von Dell, HP, McAfee, Palo Alto Networks und Splunk.

Mix verschiedener Sicherheits-Tools und -dienste

Für die Organisationen, die vorhandene Sicherheitskontrollen mit einer neuen Security-Analytics-Plattform kombinieren und beides aufeinander abstimmen müssen, eignet sich wohl am besten ein Produkt, mit dem sich ein System bereitstellen lässt, das funktionelle Lücken in ihrem Sicherheitssystem schließt. In diesem Fall können Hersteller eine gute Wahl sein, die modularisierte Funktionen bieten.

Die Blue Coat Security Analytics Platform zum Beispiel erlaubt es Kunden, verschiedene Module, die als Blades bezeichnet werden, zu integrieren. Mit den vielfältigen Bereitstellungsmodellen der Plattform – einschließlich Appliances und virtuellen Maschinen – können Kunden ein Security-Analytics-Tool mit der passenden Funktionalität und gewünschtem Skalierungsgrad bereitstellen.

Sofern Security-Analytics-Reporting eine Top-Priorität ist, kommt eventuell Sumo Logic mit seinen vordefinierten Compliance-Reports für Sie infrage. Organisationen, die eine langfristige Archivierung ihrer Sicherheitsdaten benötigen, sollten EMC RSA Security Analytics NetWitness in Erwägung ziehen.

Fazit

Security-Analytics-Tools eignen sich für die häufigsten Fragestellungen:

  • Wie lassen sich die verfügbaren Daten zu Ereignissen in der Infrastruktur einer Firma nutzen, um Bedrohungen und Angriffe zu identifizieren?
  • Wie lassen sich die Angriffsmethoden analysieren?
  • Wie lassen sich die System-Administratoren und Anwendungseigentümer bei verdächtigen Aktivitäten benachrichtigen?

Organisationen jeder Größe sind potenzielle Ziele.

Kleine Unternehmen gehen womöglich davon aus, dass sie für Profi-Hacker uninteressant sind, was so nicht stimmt. Vielleicht befinden sich unter ihren Kunden lukrative Ziele für Hacker, beispielsweise große börsennotierte Konzerne oder wichtige staatliche Einrichtungen. Security Analytics ist nicht die vorderste Verteidigungslinie für große oder kleine Organisationen, gewinnt aber zunehmend an Bedeutung.

IT-Fachleute, die für die Empfehlung, Evaluierung und Anschaffung einer Security-Analytics-Plattform verantwortlich sind, sollten die Anforderungen hinsichtlich existierender Sicherheitskontrollen und -anwendungen sorgfältig einschätzen. Wenn eine Organisation über Tools verfügt, die bereitgestellt wurden, um einige Security-Analytics-Anforderungen zu erfüllen, wird sie kaum weiteres Geld für eine bereits vorhandene Funktionalität ausgeben wollen. Andererseits: Wenn es einen Bereich in der IT gibt, in dem eine redundante Funktionalität erwünscht ist, ist es der Sicherheitsbereich.

Security-Analytics-Tools bieten eine Vielzahl an Funktionen. Einige, etwa der Cloud-basierte Dienst von Sumo Logic, richten sich an kleine und mittlere Unternehmen, die möglichst viel Sicherheit mit einem minimalen Overhead erreichen möchten.

Größere Unternehmen hingegen werden sich auf Systeme konzentrieren müssen, die auf ein hohes Traffic-Volumen skalieren und Daten von nationalen oder globalen Netzwerken sammeln können. In diese Kategorie fallen Angebote von Juniper Networks und EMC RSA.

In den Fällen, in denen die Erkennung von Advanced Persistent Threats und IT-Forensik weit oben auf der Prioritätenliste stehen, sollten Sie Tools berücksichtigen, die eine Echtzeitanalyse der Flüsse in Netzwerken bieten. Einige Hersteller bieten für ihre Security-Analytics-Plattformen modulare Komponenten an, die besonders hilfreich sein können, um einzelne Lücken in einer ansonsten guten Sicherheitsabdeckung zu schließen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close