Neuer Artikel von Detken: Schutz und Anomalie-Erkennung durch ScanBox
Der Stand der IT-Sicherheitstechnik in Behörden und Unternehmen erstreckt sich heute von Firewalls über Proxys bis hin zu Anti-Viren-Systemen. Dabei steht meistens die Verfügbarkeit der Betriebsprozesse im Vordergrund und nicht die Analyse der IT-Sicherheit. Neuere Lösungen wie Network Access Control (NAC), Intrusion Detection System (IDS) oder Security Information and Event Management (SIEM) sucht man daher oftmals noch vergeblich. Dabei hat der Bundesrat im Mai 2021 die Umsetzung des IT-Sicherheitsgesetzes 2.0 gebilligt, welches nicht mehr nur KRITIS-Betreiber in die Pflicht nimmt ihre Sicherheitsmaßnahmen zu verstärken. Daher müssen sich Behörden und Unternehmen zunehmend mit ihrer internen Sicherheit beschäftigen und diese auch überprüfen lassen. Hier setzt das Monitoring- und Security-Analysetool ScanBox® der DECOIT® GmbH an. GmbH hinzugezogen wurde.
Angriffe kommen heute nicht mehr ausschließlich von außen, sondern werden in großem Maße von innen (absichtlich oder unabsichtlich) ausgeführt. Hier bieten typische Sicherheitslösungen, wie z.B. UTM-Firewalls oder AV-Systeme, keinen alleinigen Schutz mehr an. Um interne Netz- und Serverzugriffe wirksam schützen zu können, sind daher neue Systeme entwickelt worden, wie IDS-Systeme, die versuchen das interne Netzverhalten zu analysieren, Angriffe durch Muster zu erkennen und ggf. automatisierte Gegenmaßnahmen einzuleiten. IDS-Systeme sammeln Log- und Netzwerkdaten und bereiten diese Datenflut vornehmlich für IT-Sicherheitsexperten auf, weshalb sie den normalen IT-Administrator oftmals überfordern. Daher konnten sich solche Systeme nicht am Markt durchsetzen.
Die ScanBox® (www.scanbox-product.de) der DECOIT® GmbH setzt auf eine einfachere Handhabung. Die Appliance wird temporär oder permanent an einen Mirror-Port der internen Switches angeschlossen, um aktive oder passive Scans in regelmäßigen Abständen durchzuführen – es ist keine Installation an Client-/Serversystemen erforderlich. Dadurch werden alle IT-Systeme auf Schwachstellen untersucht und diese in Tickets veröffentlich. Gleichzeitig erfolgt ein Vergleich mit der aktuellen CVE-Datenbank, in der beispielsweise auch der Hersteller Microsoft seine MS-Exchange-Schwachstellen eingestellt hatte. Die Schwachstellen werden von der ScanBox® automatisch bewertet (kleines/mittleres/hohes Risiko) und in einem Dashboard übersichtlich dargestellt. Jeder Vorfall (Ticket) wird dabei mit einer leicht verständlichen Handlungsempfehlung versehen, wenn dies möglich ist. Aktive und passive Scans können getrennt voneinander ausgelöst werden, wodurch der Einsatz in IT- und OT-Netzen möglich ist.
Der Artikel ist im Sicherheitsmagazin in der KRITIS-Spezial-Ausgabe herausgekommen und kann in unserem Download-Center komplett nachgelesen werden.