computerwoche.de

Security

Risk-Manager bewerten Gefahrenpotenzial

21.02.2006
Von Tanja Möhler

Für die Korrelation bietet das Tool vier generelle Regeln, die bezüglich Absender beziehungsweise Ursprung einer Aktion, Ereigniskategorie und Empfänger (Ziel) des Angriffs kombiniert werden können. So lässt sich etwa feststellen, ob eine Denial-of-Service-Attacke von vielen Absendern mit mehreren Angriffsarten auf ein bestimmtes Ziel stattfindet.

Grenzwerte für den Alarm

Darüber hinaus verfügt die Software über eine Funktion, mit der sich Ereignisse je nach Gefahrenpotenzial gewichten und echte Gefahren von weniger wichtigen Meldungen unterscheiden lassen. Überschreitet ein Wert ein zuvor festgelegtes Niveau, wird ein Alarm ausgelöst. Zusätzlich zur Management-Konsole, auf der die Alarmmeldungen und Ereignisse in Echtzeit angezeigt werden, verfügt der TRM über eine relationale Datenbank zur Speicherung der Ereignisse. Mit Analysewerkzeugen und Reporting-Tools lassen sie sich von dort aus weiterverarbeiten. Es besteht auch die Möglichkeit, die Daten in ein Data-Warehouse-System zu überführen und zu analysieren.

Neben Security-Komponenten lassen sich über den Tivoli Risk Manager auch Informationsquellen wie Middleware, Standardsoftware und Eigenentwicklungen anbinden. Die gesammelten Daten können anschließend nach individuellen Gesichtspunkten oder entsprechend den gesetzlichen Anforderungen ausgewertet werden.

CA Inc. bietet für das zentrale Sicherheitsinformations-Management das "eTrust Security Command Center r8" an. Mit diesem Tool können Anwender Daten über sicherheitsbezogene Ereignisse aus Betriebssystemen, Anwendungen, Sicherheitssoft- und -hardware, Kommunikationssystemen, physikalischen Kontrollsystemen und anderen Infrastrukturkomponenten zentral zusammenführen und korrelieren. Dadurch werden die Rohdaten zu Informationen für Berichte und die Risikobewertung umgewandelt. Regeln für die Datenkorrelation finden sich in einer Bibliothek, lassen sich mit Hilfe eines Assistenten aber auch selbst erstellen. Über Web-Update-Services werden dem Anwender kontinuierlich neue Formeln für die Korrelation zur Verfügung gestellt.