(openPR) Neue Shell Control Box (SCB) 3 F4 analysiert und blockiert in Echtzeit Attacken privilegierter IT-User
München, 20. Februar 2013 – BalaBit IT Security, Spezialist von Lösungen für die Kontrolle und Auditierung privilegierter IT-Nutzer, kündigt die neue Version 3 F4 seiner Shell Control BoxTM (SCB) an. Die Monitoring-Appliance kontrolliert und protokolliert die Aktivitäten von privilegierten IT-Usern und erstellt daraus Audit-Trails und Reports, die sich nach bestimmten Vorkommnissen durchsuchen lassen. Das Novum: Die SCB 3 F4 analysiert Aktivitäten eigener oder externer Benutzer in Echtzeit und unterbindet gefährliche Aktionen bei Bedarf.
Für die steigende Zahl der Cyber-Angriffe sind nicht nur externe Hacker verantwortlich, sondern – Stichwort Daten-CD-Affären von Banken – allzu oft auch „Insider“, also die eigenen Mitarbeiter. Sie machen es sich zu Nutze, dass sich Unternehmen zwar gegen Angriffe von außen mit vielfältigen Schutzschildern penibel wappnen – von Antivirussoftware und Firewalls bis Security Incident and Event Management (SIEM). Bei den eigenen Mitarbeitern oder den Beschäftigten ihrer IT-Dienstleister wird Loyalität ohne Kontrolle einfach vorausgesetzt. Die nutzen dieses Vertrauen jedoch nicht selten dreist aus.
Compliance-Regelwerke wie Chapter 10 des PCI-DSS (Payment Card Industry Data Security Standard) berücksichtigen diesen Unsicherheitsfaktor bereits. Sie wurden um Passagen ergänzt, die eine Kontrolle der Aktivitäten von Mitarbeitern vorsehen, speziell die der „privilegierten IT-User“ mit vielen Rechten. Denn Cyber-Attacken durch „privilegierte Insider“ sind besonders gefährlich: Sie verfügen über Insiderwissen und kennen die Schwachpunkte der firmeneigenen IT-Infrastruktur genau. Sie sind informiert, welche Daten sich nutzbringend verwerten lassen und wo diese zu finden sind.
Lücke geschlossen
Diese gravierende Lücke hat BalaBit mit der neusten Version seiner IT-Sicherheitsprodukte geschlossen. „Wir haben in die Shell Control Box Funktionen integriert, die in Echtzeit unzulässige Zugriffe erkennen, diese blockieren und die zuständigen IT-Sicherheitsfachleute informieren“, erklärt Zoltán Györko, Chief Executive Officer von BalaBit IT Security. „Diese Funktionen sind bei Lösungen für das Privileged Account Activity Management einzigartig. Dank dieser Verbesserungen können sicherheitssensitive Unternehmen wie Banken, Finanzdienstleister oder Telekommunikationsfirmen, für die besonders strenge Compliance-Auflagen gelten, Audits mit Erfolg bestehen.“ Mit der SCB ist es beispielsweise möglich, bei Bestehen eines Verdachts alle Arten von Textinformationen zu analysieren, die auf dem Display eines Nutzers angezeigt wurden. Das schließt Befehlseingaben von Administratoren, Kreditkartennummern et cetera mit ein.
SCB blockiert bei Gefahr Netzwerkverbindungen
Registriert die SCB eine verdächtige Aktion eines Nutzers, sendet sie umgehend eine Alarmmeldung an einen IT-Sicherheitsfachmann. Zudem kann sie eine Verbindung auf der Netzwerkebene unterbrechen, bevor der unzulässige Befehl eines illoyalen Systemverwalters Schaden anrichten kann. Auf diese Weise verhindert die SCB, dass die Aktivitäten von Nutzern negative Auswirkungen haben. Das System beschränkt sich somit nicht darauf, solche Vorkommnisse zu protokollieren oder entsprechende Berichte zu erstellen. Für Unternehmen und Organisationen, welche die SCB einsetzen, hat dies einen weiteren Vorteil: Sie können auf zeitaufwändige und kostspielige forensische Untersuchungen und Maßnahmen zur Fehleranalyse verzichten.
Neue Schlüsselfunktionen der Shell Control Box 3 F4
• Monitoring von Content in Echtzeit auf Basis von Content Policies: Die Shell Control Box (SCB) analysiert in Echtzeit den Datenverkehr auf einzelnen Verbindungen. Sobald die SCB dabei bestimmte Muster auf dem Bildschirm erkennt, etwa spezielle Befehlseingaben oder Textinformationen, kann sie unterschiedliche Aktionen durchführen. So lässt sich die Ausführung unzulässiger oder gefährlicher Befehle auf einem Server unterbinden. Zudem kann die Shell Control Box ein solches Ereignis in den System-Logs festhalten, sofort die Netzwerkverbindung terminieren, mittels einer E-Mail oder eines SNMP-Alarms die zuständigen IT-Fachleute informieren und das Event in der Connection Database der SCB dokumentieren. Diese Funktion ist derzeit für SSH (Secure Shell) verfügbar.
• Auditieren von HTTP- und HTTPS-Verbindungen: BalaBit hat den Funktionsumfang der Shell Control Box erweitert: Sie kontrolliert und auditiert nun auch den Zugriff auf Web-basierte Benutzeroberflächen von IT-Systemen und Anwendungen (Router, Appliances und Web-Services etc.) über das HTTP- und HTTPS-Protokoll. Die SCB erfasst die gesamte Kommunikation zwischen dem Client und dem Server. Die entsprechenden Audit-Trails enthalten alle HTTP-Requests und -Responses, inklusive der dazugehörigen Daten. Alle Audit-Trails werden indiziert. Dadurch ist es möglich, die Kommunikationsinhalte gezielt nach bestimmten Informationen zu durchsuchen, etwa nach speziellen POST-Requests, übermittelten Dateien etc.
Über BalaBits Shell Control Box
Die Shell Control Box (SCB) ist eine externe Monitoring-Appliance, die den Zugriff auf Server, Virtual Desktops und Netzwerksysteme sowie die Aktivitäten der zugreifenden Nutzer erfasst. Die Appliance protokolliert beispielsweise, wenn ein Systemadministrator über eine SSH-Verbindung einen Datenbankserver konfiguriert oder welche Aktionen ein privilegierter IT-User in einer Thin-Client-Umgebung auf Basis von VMware View durchführt. Die Audit Trails lassen sich wie ein Video abspielen, um Vorkommnisse genau im Detail zu analysieren. Eine Indexierung der Audit Trails beschleunigt die Suche nach einzelnen Events und vereinfacht das automatische Erstellen von Berichten.
Die Shell Control Box eignet sich vor allem für die Kontrolle und Nachvollziehbarkeit der Aktivitäten von IT-Nutzern mit privilegierten Rechten. Sie arbeitet unabhängig von Clients und Servern. Entsprechende Anwendungen müssen somit nicht modifiziert werden. Weitere Informationen stehen auf der Produktseite der SCB bereit: http://www.balabit.com/de/network-security/scb.
Ergänzende Informationen
• Trotz SIEM, PIM & Co. – Wissen Sie wirklich, was in Ihrem Netz los ist?
• Grafik: Real-time alerting and blocking by SCB:
• Video-Interview mit Szilárd Stange, Produktmanager Shell Control Box bei BalaBit IT Security:
• Blog-Post von Márton Illés, Chief Technology Officer von BalaBit IT Security, über die aktuellen Entwicklungen bei der SCB:
• Die Vorteile des Monitorings der Aktivitäten privilegierter IT-Nutzer im Vergleich zum Logging:
• Die neuen Funktionen der Shell Control Box 3 F4:
• Einsatz der Shell Control Box in der Praxis: In Echtzeit unzulässige Aktivitäten von privilegierten IT-Nutzern unterbinden:
