Security Intelligence (SI)
In dem Zusammenhang Security Intelligence wird durch den Begriff Intelligence eine verwertbare Information gekennzeichnet. Diese Information kann einer Organisation eine Entscheidungshilfe bieten oder ihr möglicherweise einen strategischen Vorteil verschaffen. Security Intelligence oder kurz SI ist ein umfassender Ansatz, der mehrere Prozesse und Praktiken zum Schutz von Unternehmen oder Organisationen integriert.
Welche Bestandteile gehören zu Security Intelligence?
Log-Management: Dies betrifft die gesamten Prozesse und Richtlinien, die Protokolldaten einzusammeln, zu übertragen und zu analysieren. Schlussendlich sind damit auch die Speicherung und die Löschung der nicht mehr benötigen Logfiles und Informationen verbunden, die innerhalb einer IT-Umgebung erzeugt werden.
SIEM (Security Information and Event Management): Hierbei handelt es sich um einen Ansatz, der versucht eine ganzheitliche Sicht auf die Sicherheit einer IT-Umgebung eines Unternehmens zu bieten. Die meisten SIEM-Lösungen setzen auf Agenten, um sicherheitsrelevante Ereignisse von Servern, Firewalls, IPS/IDS-Lösungen und Endanwendergeräten und weiteren Systemen zu erfassen. Diese Ereignisse werden dann an ein zentrales System übergeben, dort korreliert und analysiert. Dadurch lassen sich Anomalien kennzeichnen.
Network Behavior Anomaly Detection (NBAD, Erkennnung von Anomalien im Netzwerk): Dies umfasst die kontinuierliche Überwachung eines Netzwerks auf ungewöhnliche Ereignisse oder Entwicklungen. Eine NBAD-Lösung überwacht kritische Netzwerkmerkmale in Echtzeit. Bei ungewöhnlichen Ereignissen oder Entwicklungen wird eine Alarmmeldung generiert, die dann ihrerseits auf das Vorhandensein einer möglichen Bedrohung hinweist. NBAD ist üblicherweise integraler Bestsandteil einer verhaltensbasierte Netzwerkanalyse oder NBA (Network Behavior Analysis)
Risikomanagement: Zum Risikomanagement gehören die Abläufe zur Identifizierung, Bewertung und Kontrolle von Bedrohungen, die den Geschäftsbetrieb und damit auch die Geschäftsergebnisse beeinflussen können. Neben Sicherheitsbedrohungen der IT gehören dazu auch andere klassische Unwägbarkeiten wie rechtliche Haftung, Managementfehler, Unfälle oder Katastrophenfälle.
Netzwerkforensik: Dieses Gebiet beinhaltet die Erfassung, Aufzeichnung und Analyse von Netzwerkereignissen mit dem Ziel, die Quelle von Sicherheitsangriffen oder anderen problematischen Vorfällen aufzudecken. Dabei gibt es unterschiedliche Herangehensweisen. Bei manchen Ansätzen werden alle Daten, die einen bestimmten Verkehrsknotenpunkt im Netzwerk passieren, gespeichert zu anschließend in einem Batch-Modus analysiert. Andere Systeme führen eine rudimentäre Analyse im Speicher durch und speichern nur bestimmte Daten für spätere Analysen.