System State Intelligence (SSI): Der sechste Sinn für IT-Sicherheit

Systemintelligenz ist ein neuer Begriff im Security-Bereich. Es soll Anwendern sofort mitteilen, wenn Sie ein Sicherheitsproblem haben, was deren Ursache ist und welche Gegenmaßnahmen geeignet sind. Ulrich Parthier stellte sechs Fragen an Michael Loger (siehe Foto), Senior Systems Engineer von Tripwire , was hinter diesem Terminus steckt.
  
it security: Beschreibungen Sie bitte kurz was sich hinter dem Begriff verbirgt!
 

michael_loger_tripwire-160.jpeg

 
Michael Loger: Das System sagt den Anwendern wie der aktuelle Status lautet. Dazu zählen etwa Compliance-Status, unerwartete Änderungen oder verdächtige Aktionen. Darüber hinaus ermittelt er wie der Status sein sollte. Das sind etwa der Originalzustand und deren Abweichungen, die Meldung von Complianceverstöße sowie Härtungsempfehlungen der Hersteller. Er meldet war passiert ist (was wurde von wem/was in welcher Weise manipuliert) und wie der Zustand direkt vor dem Incident war.
  
it security: Welchen Nutzen hat der Anwender?
Michael Loger: Zunächst einmal Transparenz, denn SSI macht Systeme wieder im Detail kontrollierbar, denn Systeme und deren Modifikationen wie auch der Status hinsichtlich Compliance, Härtung und Einhalten der Change Prozesse sind revisionssicher dokumentiert.
it security: Wo liegt das Alleinstellungsmerkmal des Produktes?
Michael Loger: Das sind die Echtzeitcompliance, die Echtzeit Change Kontrolle und das Echtzeit Risk Management und damit erreichen wir die größte Abdeckung der IT-Infrastruktur im gesamten IT Security-Markt.
it security: Ist es ein Produkt für den operativen Einsatz (also wenn der Schadensfall eingetreten ist) oder zur proaktiven Schadenbegrenzung (Antizipation von Gefahren)?
Michael Loger: Beides, durch die Einhaltung von Compliance-Richtlinien und Härtungsempfehlungen werden Systeme robuster gegen Angriffe. Aber auch die Kontrolle von Change Prozessen (etwa ITIL) sorgt für ein bessere Security Awareness bei den Mitarbeitern.
it security: Gehört das Produkt in die Kategorie IT-Infrastruktur, zur IT-Sicherheit, zum Risk Management oder zur Compliance?
Michael Loger: Tripwire VIA deckt alle Bereiche ab. Für die Anwender also ein komfortables Szenario. Für die IT-Infrastruktur ist die automatisierte Dokumentation von Systemveränderungen und die zentralisierte Verwaltung von Systemlogs extrem hilfreich, um etwa SLAs einfacher und effizienter einzuhalten, da Probleme zeitnah erkannt und behoben werden können.
In Bereich IT-Sicherheit wird die Durchsetzung von Compliance, Härtungs- und Changeprozessen vereinfacht. Tripwire ist als „last line of defense“ das letzte Tool das noch Sicherheitsvorfälle entdecken kann, wenn alle anderen Tools wie AV, Firewall und IDS versagt haben sollten. Kaum ein Hacker oder Malware kommt ohne Manipulationen des Systems aus. Das was das Produkt so sexy macht ist die Tatsache, dass wenn doch einmal etwas passiert ist, mit Tripwire VIA alle Daten wieder zur Verfügung stehen, der Umfang des Vorfalls im Detail zu erkennen und zu beheben ist. Das kann sonst kein anderes Tool.
Bleibt last but not least das Risk Management. Hier kombiniert und orchestriert die Software alle zur Verfügung stehenden Informationen und fügt sie zu einem kompletten Bild für den IT Risk Manager zusammen. Und: Sie sagt ihm, wo er sicherheitstechnisch steht, wo er hin sollte und wie der Zustand auf dem Weg dorthin ist. 
it security: Wie erfolgt die Bewertung von guten und schlechten Änderungen? 
Michael Loger: Dazu gibt es eine Vielzahl an Möglichkeiten. Etwa ist eine Änderung erwartet worden (etwa per Ticket im Ticketsystem, Changewindows oder Referenzsysteme) oder handelt es sich um eine per se verdächtige Änderung (Tripwire Cybercrime Rules) oder aber verstößt die Änderung gegen eine Policy (BSI Grundschutz, eigene Unternehmenspolicy usw.)
it security: Herr Loger, wir danken für das Gespräch!

Anzeige
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.