Suchen

IBM bringt neue Appliance zur Netzwerk-Überwachung IBM XGS 5000 kombiniert SIEM- und IPS-Funktionen

| Autor / Redakteur: Michael Matzer / Stephan Augsten

Mit einer neuen Appliance für die Netzwerküberwachung verknüpft IBM eine Echtzeit-SIEM-Lösung mit den Kontrollfunktionen eines Intrusion Prevention Systems. Geht es nun Facebook-Nutzern an den Kragen?

Firma zum Thema

Eine IBM-Appliance mit IPS- und SIEM-Funktionen erlaubt eine bessere Netzwerk-Überwachung.
Eine IBM-Appliance mit IPS- und SIEM-Funktionen erlaubt eine bessere Netzwerk-Überwachung.
(Andrea Danti - Fotolia)

Die erste Appliance in der neuen Familie für Network Security, die IBM XGS 5000, integriert Überwachung, Schutz und Kontrolle in einem Gerät. Wie eine SIEM-Lösung (System Information and Event Management) kann sie sämtliche Aktivitäten, die an einem bestimmten Punkt in einem Netzwerk stattfinden, überwachen. Wie eine IPS ist sie in der Lage, bestimmte Aktivitäten von außer- oder innerhalb des Unternehmens zu blockieren.

Nun hat aber IBM bereits sowohl eine SIEM-Appliance und eine IPS Appliance. Stellt sich die Frage, was die XGS 5000 wirklich Neues bringt. „Bislang dienten unsere als Appliance ausgeführten Intrusion Prevention Systeme (IPS) vor allem dem Schutz vor Angriffen aus unsicheren Netzsegmenten sowie der Transparenz des Network Traffics“, erläutert Peter Häufel, Senior Solutions Sales Professional für IBM Security.

Bildergalerie

„Unsere Kunden forderten aber auch die Möglichkeit, konfigurierbare Nutzungs- und Zugangsbeschränkungen einrichten zu können, etwa für die Nutzung von Social Media und Webseiten“, so Häufel weiter. Dies lasse sich nun mit der XGS 5000 realisieren, also eine Zugriffskontrolle, die die Nutzung granular reglementiert.

„Viele Firmen wünschen sich, dass ihre Angestellten beispielsweise über Social Media kommunizieren, die Firmengeheimnisse gilt es allerdings zu schützen“, unterstreicht Häufel. „Hier braucht es einen angepassten Schutz. Die Parameter dafür sind z.B. ‚nur lesen, aber nicht posten’, ‚keine Anhänge versenden’ oder die Kommunikation nur zu bestimmten Tageszeiten (z.B. nicht während der Arbeitszeit).“ Das könne eine herkömmliche Firewall nicht leisten.

Die komplette Flow-Analyse ist laut Häufel nun auch mit der XGS 5000 möglich, natürlich nur an jenem Punkt im Netzwerk, an dem sie eingesetzt ist. Zur Flow-Analyse gehört nicht nur Verbindungsanalyse, wie bei Netzwerkkomponenten üblich, sondern die Untersuchung von Protokollverwendung, so etwa IRC auf HTTP. „Diese tiefere Analyse können wir auf der Appliance direkt auswerten, aber auch an unsere eigene SIEM-Lösung weiterleiten, die dann das große Bild des gesamten Netzwerkes transparent darstellt.“

Eine solche SIEM-Lösung wie etwa IBM Qradar überwacht ein komplettes Netzwerk mitsamt Datenbankzugriffen und Content-Nutzung. „Die XGS liefert jetzt einen noch tieferen Einblick, so dass besser abgesichert schnell Entscheidungen getroffen werden können“, freut sich Häufel.

Bei der genannten Flow-Überwachung und -Analyse erzeugt die XGS sogenannte Qflows , die sie zusammen mit den anderen Security Events an die Appliance QRadar weiterreicht, damit diese sie dann in Echtzeit mit Events aus anderen Quellen korreliert, um so APTs entdecken zu können. Denn diese Advanced Persistent Threats sind sehr schwer aufzuspüren.

Die XGS 5000 filtert 2,5 Gbit/s, was für die meisten Unternehmen des gehobenen Mittelstands und der Großkunden ausreichend sein dürfte. Zum Vergleich: Das aktuelle IPS Appliance Flaggschiff GX7800 bei IBM filtert bis zu 20 GBit/s. IBM hat also noch „Luft nach oben“.

Integration mit X-Force Research

Auch Webkategorien lassen sich nun reglementieren, so etwa nach Region, nach von Botnets infizierten Netzen usw. Die relevanten Informationen dazu liegen im X-Force-Katalog von IP-Adressen bereit, der als Liste und Repository der Appliance hinterlegt ist. „Unsere Forschungsergebnisse, sowohl in der Schwachstellenanalyse als auch in der Webanalyse, stecken in dieser Appliance“, berichtet Häufel.

„Unser X-Force Forschungsteam überwacht 15 Mrd. URLs in 68 Kategorien, forscht nach neuen Schwachstellen in Betriebssystemen und Applikationen. Wir wissen daher, wo Probleme zu erwarten sind und schützen rechtzeitig davor.“ Diese Probleme können auch aus der Nutzung von Social Media, YouTube oder Musik-Plattformen resultieren. Aktuelle Beispiele sind etwa bei Großunternehmen wie Procter & Gamble bekannt geworden.

Aber ist es sinnvoll, den Facebook-Zugang wegen der möglichen Risiken ganz abzuschalten? Das wäre mit der XGS 5000 ja leicht zu bewerkstelligen. „Den Facebook-Zugang zu verbieten, ist weder sinnvoll noch häufig wünschenswert“, entgegnet IBM-Experte Häufel. „Firmen bekräftigen teilweise, in modernen Medien vertreten zu sein, um das positive Image zu pflegen.“ Abschalten sei daher keine Lösung. Also gehe nur die Reglementierung, falls von der Firmenleitung gewünscht.

Die XGS 5000 soll als erste ihrer Klasse Ende August 2012 erhältlich sein, so Häufel - auch in Europa. „Die Preise werden in den nächsten Tagen bekannt gegeben. Ich bitte hier noch um Geduld.“ Alle Preise verstünden sich als Stückpreise, nicht als lizenz- oder nutzerbasierte Preise.

(ID:34907960)