(openPR) BalaBit IT Security auf der it-sa 2012: Halle 12, Stand 401
München, 8. Oktober 2012 – IT-Nutzer mit privilegierten Rechten aber wenig Ahnung von IT-Systemen können ein erhebliches Sicherheitsrisiko darstellen. Das belegen erste Ergebnisse der aktuellen „Sysadmin Survey“ von BalaBit IT Security, Hersteller von Lösungen für die Kontrolle und Auditierung privilegierter IT-Nutzer. Auf der it-sa stellt BalaBit seine Monitoring-Appliances Shell Control Box (SCB) vor, mit der sich die Aktivitäten dieser „Firmen-Insider“ lückenlos kontrollieren und protokollieren – und künftig auch unterbinden lassen.
Privilegierte IT-Nutzer, etwa Systemverwalter und „Super-User" mit erweiterten Rechten sind in jedem Unternehmen zu finden. Doch diese Nutzer können ein erhebliches Sicherheitsrisiko darstellen, so die Studie „Sysadmin Survey“, deren erste Ergebnisse BalaBit IT Security auf der it-sa 2012 (Halle 12, Stand 401) vorstellt. Für 53 Prozent der Systemadministratoren stellen demnach die Aktivitäten von Insidern eine größere Herausforderung in Bezug auf die IT-Sicherheit dar als Attacken durch externe Angreifer (47 Prozent). Der Grund: Privilegierte User haben Zugang zu sensitiven Daten wie Firmenunterlagen, Konfigurationseinstellungen von Rechnern und Netzwerksystemen und Account-Daten. Diese Informationen können sie kopieren, verändern oder gar löschen.
Verantwortlich für solche „Aktionen“ sind sogenannte „1-Bit-User“. Ihr gefährliches Handeln erfolgt zwar häufig ohne Absicht, ist aber auch durch wenig Fachkenntnis der IT-Systeme getrübt, die sie nutzen. Von diesen Usern geht eine um 36 Prozent größere Gefahr aus als von erfahrenen Nutzern.
Doch auch Systemadministratoren gehen selten mit gutem Beispiel voran: So räumten rund 52 Prozent der insgesamt 250 befragten IT-Fachleute aus Mittel- und Osteuropa ein, dass sie sich mit Kollegen Account-Daten teilen, acht Prozent sogar mit 10 bis 20 anderen IT-Fachleuten. Damit nicht genug: Gut 68 Prozent der IT-Administratoren geben vertrauliche Account-Informationen über höchst unsichere Kommunikationskanäle weiter – per mündlicher Mitteilung, über SMS, nicht verschlüsselte E-Mails oder gar auf Klebe-Zetteln, die an Monitoren oder IT-Systemen befestigt werden. Nicht einmal ein Drittel (32 Prozent) der Systemverwalter, CIOs und „Super-User“ verwendet abgesicherte Passwort-Datenbanken, verschlüsselte Dateien oder Tools für das Passwort-Management.
Mangelnde Transparenz ist ein Sicherheitsrisiko
Eine Folge dieser Nachlässigkeit ist, dass sich nur schwer nachvollziehen lässt, welcher Administrator für eine bestimmte Aktion verantwortlich war, etwa wer die Konfigurationseinstellungen eines bestimmten Servers geändert hat oder versehentlich wichtige Daten auf einem Storage-System gelöscht hat. Diese Intransparenz ist nicht akzeptabel.
„Nur wenn klar ist, welcher Mitarbeiter wann welche Änderungen an einem IT-System vorgenommen hat, lässt sich ein Firmennetzwerk wirkungsvoll absichern“, erläutert Zoltán Györko, Geschäftsführer von BalaBit IT Security. „Zudem ist es für Unternehmen alleine aus Compliance-Gründen unerlässlich, die Aktivitäten privilegierter Nutzer lückenlos zu kontrollieren und zu auditieren. Deshalb ist eine Lösung wie die Shell Control Box (SCB) von BalaBit IT Security für Unternehmen geradezu ein Muss.“
Shell Control Box protokolliert Aktivitäten von privilegierten IT-Nutzern
Die Shell Control Box von BalaBit dokumentiert alle administrativen Zugriffe auf geschäftskritische IT-Systeme. Eine detaillierte Zugriffskontrolle erfasst lückenlos, wer wann auf welche IT-Systeme zugreift, von wo aus dies erfolgt und welche Aktionen der Betreffende durchführt. Die Aufzeichnungen (Audit Trails) werden verschlüsselt und signiert abgelegt. Sie liefern beweiskräftige Dokumentationen und die Grundlage für forensische Analysen. Die Audit Trails lassen sich wie ein Video abspielen, um Vorkommnisse im Detail zu analysieren.
Eine Besonderheit der Shell Control Box ist die Proxy-Architektur. Die Appliance lässt sich daher transparent in das Netzwerk integrieren, ohne dass Änderungen an Servern und Clients erforderlich sind. Die Anwender können weiterhin ohne Einschränkungen ihre gewohnten Applikationen, Tools und Scripts verwenden. Die aktuelle Version der SCB erlaubt zudem das Monitoring von Zugriffen auf Citrix XenDesktop-Umgebungen sowie die Kontrolle von Telnet- und VNC-Verbindungen (Virtual Network Computing), die mit TLS und SSL verschlüsselt sind.
Der nächste Schritt: Unzulässige Aktivitäten unterbinden
„Die Ergebnisse unserer Studie zeigen, dass es in vielen Fällen nicht ausreicht, im Nachhinein forensische Untersuchungen durchzuführen, also dann, wenn sich ein sicherheitsrelevanter Vorfall bereits ereignet hat“, ergänzt Zoltán Györko. „Es ist erforderlich, Security Incidents bereits im Vorfeld zu verhindern. Intrusion-Detection- und Intrusion-Prevention-Systeme können das in dieser Dimension nicht leisten.“
Laut Györko besteht ein Bedarf an Monitoring-Tools, die in Echtzeit unzulässige Aktionen verhindern und Sicherheitsverantwortliche über solche Vorkommnisse informieren. „Ein solches Tool muss in der Lage sein, die Eingaben von Administratoren zu analysieren und bei Bedarf zu blockieren.“ Das setzt voraus, dass eine Monitoring-Lösung den Netzwerkverkehr auf der Anwendungsebene (Layer 7 des ISO/OSI-Modells) kontrolliert.
„BalaBit arbeitet bereits daran, diese Anforderungen des Marktes zu erfüllen und die Shell Control Box weiter zu verbessern“, resümiert Zoltán Györko.
BalaBit IT Security auf der it-sa
Produkte: BalaBit IT Security präsentiert seine Lösungen auf der it-sa in Halle 12, Stand 401. Neben der Shell Control Box sind dies syslog-ng PE, der weltweit anerkannte De-facto-Industriestandard für den Aufbau einer sicheren und zuverlässigen Logging-Infrastruktur, sowie die darauf basierende syslog-ng Store Box.
Vortrag: Zudem wird Martin Grauel, Pre-Sales Engineer bei BalaBit IT Security, auf der it-sa einen Vortrag zu folgendem hoch brisanten Thema halten:
„Trotz SIEM, PIM & Co – Wissen Sie wirklich, was in Ihrem Netz los ist?“
Wann: Mittwoch, 17. Oktober, 14:00 bis 14:15 Uhr
Wo: Halle 12, Forum Rot
Beratung und Meinungsaustausch: Experten von BalaBit stehen am Stand von Exclusive Networks (Halle 12, Stand 401) während der gesamten Dauer der Messe (16.-18.10.2012) für Fachgespräche zur Verfügung.
