Managed Security Solutions

Ereignisübersicht des netplace Host-IDS

Für hochverfügbare Internetanwendungen im E-Commerce sind rudimentäre Sicherheitsmaßnahmen wie multiple Stromversorgung und Backup Generatoren, Gebäudeschutz und Wachdienste, Brandschutzanlagen zwar erforderlich, aber nicht ausreichend. Externe Sicherheitsrisiken wie Viren, Trojaner, Denial-Of-Service Attacken, und Host-Exploits sorgen in der Summe für weit höhere Verfügbarkeitseinbußen, als Stromausfall oder Brandschäden. Für die netplace Telematic GmbH gehört das Thema Information Security neben den klassischen ISP Diensten zu den Kernaufgaben. Der Focus liegt hier primär auf Research und Entwicklung auf der Basis offener Systeme. Die Information Security der netplace Telematic GmbH lässt sich in vier Bereiche zusammenfassen:

1. Research

Hierunter ist die möglichst tägliche Beobachtung verschiedener Quellen zum Thema Internet Security zu verstehen. Ziel ist es, ständig auf dem aktuellen Stand der identifizierten Bugs (Vulnerabilities) zu sein, sowie zu entscheiden, inwieweit diese relevant für die betreuten Systeme sind und mit welchen Mitteln die angebotenen Lösungen umgesetzt werden müssen.

2. Monitoring

Dieser Bereich umfasst die Bewertung von sicherheitsrelevanten Alarmen und Ereignissen, deren Weitermeldung und ggfs. die Initiierung einer Eskalation. Die Meldungen, die verarbeitet werden müssen, kommen aus Netz- und Host-Intrusion-Detection- Systemen, Firewall-Events, Netz-Logfiles, Policy-Audit-Alerts und Antivirus-Alerts. Eine Hauptaufgabe des Montorings besteht darin, die genannten Quellen stets aktuell und das Volumen an Meldungen unter Kontrolle zu halten, ohne wesentliche Informationen zu unterdrücken. Wichtige Komponenten der bei netplace eingesetzten Monitoring Tools wurden selbst entwickelt und können somit problemlos an individuelle Anforderungen angepasst werden.

3. Scanning

Darunter gehören programmgestütze "Vulnerability Scans" und Netzwerk-Audits. Diese Maßnahmen erhöhen das allgemeine Niveau und gewährleisten die schnelle Reaktion auf unvorhergesehene Risiken. Im Bereich Scanning verwenden wir haupsächlich Eigenentwicklungen auf der Basis freier Software, aber auch kommerzielle Systeme wie ISS oder Qualys. Auf Wunsch führen wir diese Sicherheitsüberprüfungen auch für angebundene Kundennetze durch.

4. Response und Reporting

Dieser Prozess beinhaltet formale Eskalations- und Reaktionsprozeduren für den Fall von Ereignissen. Das können Virenausbreitung, Denial-of-Service-Angriffe und Hacker-Einbrüche sein, die dazu führen, dass Systeme heruntergefahren werden müssen, IP-Adressen geblockt werden, höherwertige Filterregeln definiert werden (Bsp.: Code Red) oder ein Restore notwendig wird.