06.05.2015, 14:35 Uhr
Den Hackern in Echtzeit auf der Spur
Der Schweizer Sicherheits-Spezialist Ispin hat heute in Zürich ein selbst entwickeltes System gezeigt, mit der Hacker-Attacken in Echtzeit erkannt und bekämpft werden können.
Viele Firmen tappen, wenn sie von professionellen Hackern angegriffen werden, ziemlich im Dunkeln. Erst hinterher, wenn wichtige Daten abhanden gekommen sind oder wichtige Systeme daniederliegen, entdecken sie, dass sie das Opfer eines Angriffs geworden sind. Dieser Ahnungslosigkeit will nun die Schweizer IT-Sicherheitsspezialistin Ispin entgegenwirken, und zwar mit «Sight First One», einem System, das Hackerangriffe live erkennt und mit dem die Attacken im Nachgang ausgewertet werden können. Es handle sich somit um ein Security Operations Centre (SOC) in einer Box und mehr, wie Andreas Rieder, Head Solutions Team CISSP von Ispin während einer Demonstration der Lösung meinte.
Sight First One findet tatsächlich in einem halben Server-Schrank Platz und besteht aus mehreren Überwachungssensoren, die von einer Big-Data-Schicht ausgewertet werden. Der Security-Verantwortliche kann sich die Sicherheits-Situation anzeigen lassen. Notfalls wird er via SMS alarmiert, dass in seiner IT-Umgebung eigenartige Vorgänge zu verzeichnen sind. Die Live-Demo fand bei der Ispin-Partnerin Thales in Zürich statt, welche das Case- und Event-Management für das Ispin-System entwickelt hat. Bei der Vorführung wurden drei verschieden Hackingangriffe auf ein Zielsystem gefahren. Neben einem einfachen Portscan wurde ein Angriff über einen Malware-Link und eine Überprüfung mit dem Schwachstellen-Scanner Nessus vorgeführt. Bei allen Formen schlug das sogenannte «Multi Sensor Dashboard» Alarm, das integrierte Intrusion Detection System (IDS) und das Security information and Event Management (SIEM) schlugen an. Doch der wachhabende Security Officer wird nicht nur gewarnt, dass in seiner Infrastruktur etwas nicht stimmt. Er kann die Attacke auch sehr schnell lokalisieren, etwa indem er die IP-Adresse des betroffenen Desktop-Rechners erfährt. Mit Sight First One sei aber noch mehr möglich: Die mit der Lösung gesammelten Vorkommnisse lassen sich auch im Nachhinein auswerten und etwa dem Risk Officer zur Verfügung stellen. Der kann dann gegebenenfalls seine Risiko-Analysen anpassen. Auch forensische Auswertungen lassen sich durchführen. Wie Ispin-Verkaufschef Antonio Sirera im Anschluss an die Demo gegenüber Computerworld ausführte, eigne sich Sight First One sowohl für Firmen, die bereits ein SIEM und eigene Sensoren im Betrieb haben, als auch für Unternehmen, die keinerlei Vorinstallationen haben und überhaupt erst einmal erfahren wollen, was in ihrem Netzwerk und in ihrer IT-Infrastruktur alles abläuft. Laut Ispin wird Sight First One im September erhältlich sein. Demos liessen sich aber schon jetzt bei potenziellen Kunden durchführen, hiess es.