Entdecken. Reagieren. Verhindern - mit Splunk!

3. März 2016 - IT-Security
News
Upgrade auf den ESET Gold Partner Status
INFOSERVE ist nun ESET Gold Partner. Der Endpoint Security Hersteller ist mehrfach ausgezeichnet ...
Duales Studium bei INFOSERVE
Erfahren Sie im Interview mit unserem Informatik-Studenten Florian und IT-Leiter Dr. Philipp ...
INFOSERVE sponsert internationales SaarSchwimmfest
Zum zweiten Mal findet das internationale SaarSchwimmfest in Dudweiler statt. Ausgerichtet wird ...
Splunk Enterprise Security

Der eigene Tagesablauf veranschaulicht uns täglich aufs Neue, in welchem Maße die Informationstechnologie unser Leben durchdringt: unser Smartphone vernetzt uns überall und jederzeit mit der ganzen Welt, über das Internet wickeln wir Einkäufe und Bankgeschäfte ab, im Beruf interagieren wir mit einer Vielzahl von IT-Systemen. Die Vision vom "ubiquitous computing", der ständigen IT-Begleitung im Alltag, ist inzwischen weitgehend Realität. Es ist uns selbstverständlich geworden, mit einer Vielzahl von Zugangsdaten zu jonglieren und unsere Daten über Hunderte von Systemen zu verteilen. Im gleichen Maße wächst jedoch die Sorge um unsere vertraulichen Informationen, die in Millisekunden an praktisch jeden Ort der Erde transferiert werden können. Hier bleibt uns oft keine andere Möglichkeit, als auf den Partner zu vertrauen, mit dem wir unsere Informationen teilen. Und spätestens hier holt uns das Thema "IT-Sicherheit" ein, denn wenn unsere digitalen Daten einmal unterwegs sind, wollen wir sie sorgfältig und vertraulich behandelt wissen.

Als Unternehmen und Geschäftspartner seiner Kunden und Lieferanten steht man in dieser Situation vor einer schwierigen Aufgabe: die eigene "IT-Sicherheit" kann man nicht eben auf Anfrage nachweisen. Vertrauen kann daher nur entstehen, indem man jeden Tag aufs Neue beweist, dass man seine Systeme und ihre Sicherheit fest im Griff hat, wie weit verteilt und komplex sie auch sein mögen. Zuvorderst spielt hier die organisatorische Sicherheit eine Rolle, d.h. Regeln und Prozesse müssen eingehalten werden und sollen verhindern, dass die Sicherheit z. B. durch menschliches Versagen oder Social Engineering beeinträchtigt wird. Im Kern betrifft die IT-Sicherheit aber eben die IT, also jene komplexen vernetzten Systeme, die Daten speichern und Anwendungen bereitstellen.

Technische Hilfsmittel unterstützen deren Absicherung, von der Antivirensoftware am Büro-PC über das Monitoring wichtiger Dienste bis zur Firewall des Unternehmens. In der Regel sichern diese Hilfsmittel aber immer nur einen begrenzten Bereich ab: die Firewall sichert Netzübergänge, das Monitoring einzelne Dienste und die Antivirensoftware einen einzelnen PC. Ereignisse, die sich zwischen diesen Stützstellen abspielen, bleiben dabei unbemerkt. Insbesondere bei großen und weit verteilten IT-Infrastrukturen können diese weißen Flecken auf der Landkarte sehr groß werden. Weitere punktuelle Sicherheitsmaßnahmen führen dann zu einem immer größeren Administrationsaufwand, denn auch jedes neue Sicherheitssystem will installiert, gepflegt und überwacht werden. Einen Ausweg aus diesem Dilemma bietet die Softwareplattform Splunk, die nicht nur einzelne Stellen, sondern die IT-Infrastruktur als ​Ganzes ins Visier nimmt.​ Aus den unzähligen Ereignissen, die von den IT-Systemen im Unternehmen jede Sekunde aufgezeichnet werden, wird so ein schlüssiges Gesamtbild erzeugt. Diese konsolidierte Echtzeit-Sicht bietet neue Einblicke und ermöglicht bessere und schnellere Entscheidungen, was unter dem Schlagwort  "Operational Intelligence" ​zusammengefasst wird.

Splunk sammelt ​dazu ​an zentraler Stelle die Maschinendaten, die von den verteilten internen und externen IT-Systemen, einschließlich der Sicherheitssysteme, pausenlos erzeugt werden, und ermöglicht im einfachsten Fall, sie im Stil einer Suchmaschine in Echtzeit zu durchsuchen. Erste Ergebnisse erhält man im Regelfall binnen kurzer Zeit nach der ersten Installation, denn ein System anzubinden ist eine Frage von Minuten, und die rege globale Splunk-Community hat für viele gängige Systeme bereits vorgefertigte Module entwickelt.

Speziell für IT-Sicherheit existiert mit Splunk Enterprise Security (Splunk ES) eine Lösung auf Basis der Splunk-Plattform, die Einblicke in von Sicherheitstechnologien erzeugte Maschinendaten wie Angaben über Netzwerke, Endpunkte, Zugriffe, Schadsoftware, Schwachstellen sowie Identitätsdaten liefert. Sicherheitsteams können damit interne und externe Angriffe schnell erkennen und abwehren und somit das Threat Management vereinfachen, Risiken minimieren und Ihr Unternehmen schützen. Splunk Enterprise Security strafft sämtliche Aspekte von Sicherheitsprozessen und eignet sich für Unternehmen jeder Größe und Expertise. Es spielt dabei keine Rolle, ob Splunk ES für kontinuierliches Echtzeit-Monitoring, eine schnelle Reaktion bei Vorfällen, ein Security Operations Center oder für Führungskräfte eingesetzt wird, die eine Sicht auf Unternehmensrisiken brauchen. Splunk ES bietet dem Benutzer die Flexibilität, Korrelationssuchen, Benachrichtigungen, Berichte und Dashboards an spezifische Anforderungen anzupassen. Auf diese Weise können Echtzeit-Monitoring, Reaktion auf Sicherheitsvorfälle sowie schnelle und/oder tiefgehende Untersuchungen unterstützt und stark vereinfacht werden.

Vorgänge sichtbar zu machen, die vorher verborgen blieben, erleichtert einerseits die dauerhafte Überwachung der eigenen IT-Landschaft und die schnelle Reaktion auf sicherheitsrelevante Ereignisse, kann andererseits aber auch die eigene IT-Sicherheit z.B. anhand von Berichten belegbar machen. Indem Abläufe nachvollziehbar werden, die über viele Systeme verteilt stattfinden, und Muster erkannt werden können, die sich erst aus der Korrelation von verteilten Ereignissen ergeben, wird ein neuer Grad an IT-Sicherheit erreicht, der Transparenz schafft, wo man vorher nur darauf vertrauen konnte, dass auf einem weißen Fleck auf der IT-Landkarte gerade kein Überfall stattfindet.

INFOSERVE ist Splunk Partner. Wir unterstützen Sie bei Ihrem Operational Intelligence Projekt.