Freigeben über


Sicherheit

4 Sicherheitstechnologien, die jedes IT-Unternehmen haben muss

Matt Clapham and Todd Thompson

 

Kurz zusammengefasst:

  • Risikomanagement-Dashboard
  • Antimalware
  • Erkennen von Netzwerkanomalien

Wenn es um IT-Sicherheit geht, haben die meisten Unternehmen so ziemlich die gleichen Probleme zu behandeln. Microsoft ist da keine Ausnahme. Wir haben zwei Jahre beim Risikomanagement- und Konformitätsteam für

Microsoft® Managed Solutions (MMS) verbracht. (Weitere Informationen zu MMS finden Sie unter Microsoft lädt Energizer-IT-Abteilung wieder auf.)

Aufgaben des Risikomanagement- und Konformitätsteams sind Definition, Überwachung und Korrektur der Risikosituation aller MMS-Umgebungen (sowohl für Dienste gegenüber Kunden als auch für die Infrastrukturkoordination). Schon frühzeitig hat unser Manager Arjuna Shunn erkannt, dass eine Technologielösung erforderlich war, die die gewünschte Steuerung und Überwachung in zentralisierter und zusammenhängender Form bereitstellte. Die hier erörterten Technologien sind ein direktes Ergebnis unserer frühen Ideen, gepaart mit zwei Jahren Erfahrung bei der Verwendung verschiedener Microsoft-Produkte und Produkte von Drittanbietern in unseren Betriebsvorgängen.

Zunächst brauchten wir Sicherheitstechnologien, die die drei primären Arten der Kontrolle, nämlich Vorbeugung, Nachweis und Abhilfe, abdecken und Überwachung und Berichte bereitstellen würden. Diese Toolsammlung ließ sich in vier Kategorien unterteilen: Risikomanagement-Dashboard, Antimalware, Erkennen von Netzwerkanomalien und Verwalten der gewünschten Konfiguration. Wir haben uns bemüht, mindestens einen Vertreter jeder Kategorie in unsere Risikomanagementvorgänge einzubeziehen. Dabei haben wir festgestellt, dass das IT-Sicherheitsteam durch die Nutzung von Technologien aus allen vier Bereichen ein vernünftiges Gleichgewicht zwischen Kosten und Effektivität erreichen kann.

Für die beiden primären Risikoverwaltungsvorgänge – Bekämpfung von Sicherheitsverletzungen und Konformitätsmanagement – war diese Vorgehensweise äußerst nützlich, aber wir sind noch weit davon entfernt, die Koordination zwischen den Tools zu erreichen, die wir letzten Endes wünschen. Ein zusammenhängender Satz von Technologien bietet erheblich mehr an betrieblicher Effizienz, doch leider verfügt die Branche noch nicht über dieses integrierte System.

Glücklicherweise ist für die IT-Sicherheitsteams nicht alles verloren. Es ist einfach eine Frage der Zeit, bis die vier Systeme beginnen, erfolgreicher zusammenzuarbeiten. Wenn diese Systeme erst einmal zusammenarbeiten, ermöglichen sie nicht nur die aktive Überwachung der Systemsicherheitslage, sondern werden sich auch bei anderen Überwachungsvorgängen oder dem routinemäßigem IT-Betrieb als praktisch erweisen. In diesem Artikel wird die ideale Funktion jedes Systems beschrieben, unter Einfügung einiger Beispiele aus unserer Laufzeitverwendung.

Risikomanagement-Dashboard

Unserer Meinung nach ist ein Risikomanagement-Dashboard (RMD) unbedingt erforderlich. Es ist die einzige unentbehrliche Technik für den Betrieb eines IT-Sicherheitsteams. Risiken in den Bereichen Vertraulichkeit, Integrität, Verfügbarkeit und Verantwortlichkeit (CIA2) werden in einem Unternehmen oft von unterschiedlichen Systemen und Prozessen ohne eine einzige Schnittstelle für die Zusammenführung und Korrelation von Daten und die Risikokorrektur überwacht. Außerdem steigen die gesetzlichen Anforderungen an die Transparenz von Unternehmensdaten immer mehr, und es gibt kein rationalisiertes System, um eine Richtlinie ohne weiteres von ihrer Aufstellung an bis zur Ausführung im Unternehmen nachzuverfolgen. Dies beweisen häufig auftretende Unternehmensschwierigkeiten bei Datenerfassung, Korrelation, Bewertung, Korrektur und Konformität. (Obwohl System Center Operations Manager 2007 keine vollständige RMD-Lösung ist, wie wir sie hier skizzieren, wird dadurch, wie in Abbildung 1 gezeigt, eine einzige Schnittstelle für die Überwachung mehrerer Ressourcen und die Sammlung zugehöriger Warnungen bereitgestellt.)

Abbildung 1 System Center Operations Manager 2007 stellt eine einzige Schnittstelle für die Anzeige von Warnungen und die Verwaltung von Ressourcen aus dem gesamten Netzwerk bereit.

Abbildung 1** System Center Operations Manager 2007 stellt eine einzige Schnittstelle für die Anzeige von Warnungen und die Verwaltung von Ressourcen aus dem gesamten Netzwerk bereit. **(Klicken Sie zum Vergrößern auf das Bild)

Die Datenerfassung wird dadurch beeinträchtigt, dass Daten aus unterschiedlichen Quellen nicht zusammengeführt und normalisiert werden können. Die Zusammenführung von Daten ist grundsätzlich eine Herausforderung, da dies ein Ausbrechen aus der allzu üblichen herkömmlichen Vorgehensweise bei der Sammlung von Daten und der Berichterstellung über Daten erfordert. Aber auch nach Abschluss der Zusammenführung von Daten stellt deren Normalisierung eine noch größere Herausforderung dar, da es äußerst schwierig ist, das erforderliche gemeinsame Framework zur Unterstützung der Datennormalisierung einzurichten. Ohne diese Normalisierung ist es unmöglich, von verschiedenen Systemen stammende sicherheits- und zustandsrelevante Ereignisse sinnvoll miteinander zu vergleichen.

Um die erforderliche Automatisierung durchzuführen, muss das Risikomanagement-Dashboard über Zugriff auf Datenfeeds aus anderen Quellen als den hier beschriebenen Sicherheitstechnologien verfügen. Es können bei der Bestimmung der Gesamtrisikosituation viele nicht sicherheitsrelevante Daten verwendet werden. Informationen wie Routerprotokolle, Ressourcenüberwachung, Patchstatus, derzeit angemeldete Benutzer, Leistungsberichte und Änderungsverwaltungsdaten können Informationen liefern, die für die Untersuchung des Vorfalls relevant sind. Folglich muss das Gesamtsystem auf alle diese Daten zugreifen können. Uns ist bewusst, dass auch zu den am stärksten Microsoft-zentrierten Unternehmensinfrastrukturen Technologien gehören, die nicht von Microsoft stammen, sodass das RMD über eine gemeinsame Schnittstelle Feeds von Nicht-Microsoft-Technologien annehmen muss.

Wenn Daten erfasst und normalisiert werden können, sind sie in einem nächsten Schritt zu korrelieren. Ziel ist es, eine Ereignissequenz, bestehend z. B. aus einem Netzwerkanomalieereignis, einem Antivirenberichtereignis und einem Abweichungsereignis von der gewünschten Konfiguration, zu einem Satz risikobezogener Daten zu korrelieren, die eine Grundlage für Aktionen bieten. Hierfür ist intensive manuelle Arbeit erforderlich, um die Korrelationslogik zu erstellen, die zu sinnvollen risikobasierten Warnungen führt. Ausgehend von den derzeit verfügbaren Technologien ist diese Korrelationslogik selbst im günstigsten Fall schwierig zu erzielen.

Auch die Datenbewertung erfordert intensive manuelle Arbeit. Selbst wenn Korrelation stattfindet, muss sich ein Analyst die korrelierten Daten noch anschauen, um ihre Wirksamkeit zu ermitteln. Die Wirksamkeit der korrelierten Daten ist nur so stark wie die Regeln, auf denen sie basieren. Dies führt zu weiterer menschlicher Analyse korrelierter Daten, um das Risiko für die IT-Umgebung zu bewerten. Ein klares und kodifiziertes Framework zur Risikoverwaltung könnte helfen, den Aufwand an manuellen Eingriffen zu verringern, die zum Erreichen einer Bewertungsebene erforderlich sind. Es ist schwierig, ohne dieses Framework in einer vorliegenden Implementierung einen praktikablen Satz von Korrelationsregeln zu entwickeln.

Wenn ein System den Punkt der Risikobewertung erreicht, ist der nächste Schritt die automatisierte Korrektur. Heute ist dies nur im Unternehmen wirklich verfügbar, und auch dann nur für einen begrenzten Satz von Technologien, z. B. Patchverwaltung oder Antivirusvorgänge. Eine automatisierte Korrektur, die vom RMD-System angeführt wird, gibt dem IT-Administrator beachtliche Möglichkeiten, ein akzeptables IT-Risikoniveau aufrechtzuerhalten. Wenn mehrere Risiken gleichzeitig erkannt werden, muss die Korrelationslogik aufgrund von Ressourcenklassifizierungsdaten bei der Priorisierung der Vorfallreaktion helfen können.

Schließlich ist der Nachweis der Einhaltung verschiedener gesetzlicher Anforderungen für IT-Abteilungen eine riesige Herausforderung, und dieses System muss, wie erwähnt, eine solche Funktionalität unterstützen. Ein zentralisiertes, in Richtlinien eingebundenes Risikoverwaltungssystem könnte bei Berichterstellung und Konformitätsnachweis sehr vorteilhaft sein. Die Richtlinie muss aber mehr beinhalten als die Frage nach dem Wo und Weshalb. Um die automatisierte Korrektur zu erleichtern, muss die Richtlinie in einen Satz von Standards übersetzt werden, den das Dashboard überwachen und erzwingen und über den es Feedback liefern kann.

Das ideale Risikomanagement-Dashboard kann also als eine Möglichkeit zusammengefasst werden, eine einheitliche Schnittstelle für Zustandsbewertung, Einhaltung gesetzlicher Vorschriften und Richtlinien sowie für den Prozess zur Verwaltung von Sicherheitsrisiken im Unternehmen bereitzustellen. Dies wird durch das Zusammenfassen von Informationen aus unterschiedlichen sicherheits- und zustandsbezogenen Produkten und Quellen in einer zusammenhängenden risikobezogenen Anzeige erreicht. Eine gute RMD-Lösung muss Folgendes können:

  • Daten aus unterschiedlichen Quellen zusammenführen, normalisieren und korrelieren
  • Automatisierte Informationssammlung und Risikoabschätzung bereitstellen
  • Den Richtlinien gesetzliche Anforderungen zuordnen und Überwachung und Berichterstellung unterstützen
  • Ein einheitliches Framework bereitstellen, das sich für die Anpassung an die Anforderungen eines Unternehmens modifizieren lässt

Das Dashboard muss die Anordnung und verständliche Anzeige von Daten ermöglichen, sodass zum Beispiel die wichtigsten Vorfälle geordnet nach Typ oder Quellsystem, ausstehende Vorfälle, gelöste Vorfälle und so weiter aufgeführt werden. Weiterhin muss dass Dashboard eine genaue Ansicht jedes einzelnen Berichtselements bieten. Der Benutzer muss beim Betrachten eines Ereignisses einfachen Zugriff auf alle etwaigen verwandten Daten haben. So können Entscheidungen verbessert und schneller getroffen werden.

Es muss darauf hingewiesen werden, dass das RMD auch für Administratoren nützlich ist, die nicht dem Sicherheitsteam angehören. Da das Dashboard eine ganzheitliche Ansicht der Umgebung umfasst, kann das RMD für alle Mitarbeiter als zentraler Punkt dienen, um den aktuellen Status anzuzeigen. Das Dashboard kann zum Beispiel das Messagingteam vor einem Denial-Of-Service-Angriff am SMTP-Gateway warnen. Dies stellt für das Risikomanagementteam zwar eine Sicherheitsverletzung dar, das Messagingteam betrachtet es jedoch als einen Verfügbarkeitsvorfall. Obwohl das Messagingteam möglicherweise nicht dafür verantwortlich ist, auf einen solchen Vorfall zu reagieren und ihn zu beheben, so will es doch wenigstens über derartige Vorfälle informiert sein, die sich auf die vom Team verwalteten Ressourcen auswirken.

Antimalwaretechnologien

Ein umfassendes Antimalwaresystem ist wichtig, um Ihre Infrastruktur gegen unvorhergesehene, in Code und Benutzeraktionen versteckte Bedrohungen zu schützen. Zurzeit gibt es generell zwei getrennte Arten von Tools für den Schutz gegen Malware: Antivirus und Antispyware. (Windows® Defender in Abbildung 2 fällt zum Beispiel in die zweite Kategorie.) Beide verhindern, erkennen und korrigieren effektiv verschiedene Infektionsarten. Es ist jedoch nur eine Frage der Zeit, bis diese zwei Schutztypen zu einer einzigen Lösung zusammengefasst werden, und es wird dann auf einem System nur noch einen einzigen Stapel Antimalware geben.

Abbildung 2 Windows Defender hilft beim Schutz des Client gegen Spyware

Abbildung 2** Windows Defender hilft beim Schutz des Client gegen Spyware **(Klicken Sie zum Vergrößern auf das Bild)

Eine gute Antimalwarelösung muss das System in Echtzeit überwachen und regelmäßig scannen. Sie muss bekannte Malware (einschließlich Viren, Spyware und Rootkits) sowie unbekannte Malware zentral melden, und zwar basierend auf typischem riskantem Verhalten. Stabile Antimalwaretechnologie überwacht alle klassischen Einstiegspunkte (einschließlich Dateisystem, Registrierung, Shell, Browser, E-Mail und verbundene Anwendungen) durch enge Integration in das Betriebssystem und die Anwendungen.

Außerdem muss eine Antimalwarelösung mehr leisten als nur das Hosten von Sicherheit. Sie muss allgemeine Messagingdienste sowie Dienste zur Zusammenarbeit überwachen, bei denen oft infizierte Dateien weitergeleitet werden, z. B. SharePoint® und Instant Messaging. Sie muss außerdem eine automatisierte Infektionsverhütung durch Beenden von (bekannten oder verdächtigen) Vorgängen sowie durch sorgfältiges Prüfen von Benutzerdaten bereitstellen, um beispielsweise Makroviren zu entfernen, die in Benutzerdokumenten versteckt sind und das System noch nicht infiziert haben.

Es versteht sich von selbst, dass Antimalware ohne Aktualisierungen nutzlos ist. Das System muss seine Signatur- und Entfernungssysteme auf dem jeweils neuesten Stand halten, um vor den aktuellsten Bedrohungen einen Vorsprung zu behalten. Wenn eine neue Bedrohung auftritt, muss der Lieferant vor den nächsten Zero-Day-Bedrohungslücken zusätzlichen Schutz einrichten. Eine einfach zu verwaltende Antimalwarelösung ist darüber hinaus zentral konfigurierbar und aktualisierbar.

Selbstverständlich darf dieser Schutz nicht auf Kosten der Leistung gehen. Wenn die Leistung leidet, leidet auch die Produktivität. Benutzer versuchen möglicherweise sogar, die Antimalwarelösung zu deaktivieren, sodass dann gar kein Schutz besteht.

Vergessen Sie schließlich nicht die Bedeutung von Hilfstechnologien, die das Antimalwaresystem unterstützen. Firewalls, eingeschränkte Benutzerrechte und sonstige Strategien verbessern ebenfalls den Schutz gegen schädlichen Code und Benutzeraktionen.

Erkennen von Netzwerkanomalien

Während Antimalware die Systeme im Auge behält, überwacht die Netzwerkanomalieerkennung (Network Anomaly Detection, NAD) die üblichen Wege, indem sie auf bekannte Indikatoren für verdächtiges Verhalten achtet und dem RMD diese Informationen zwecks Korrektur meldet. (Eine Firewall zum Beispiel würde wie in Abbildung 3 zu dieser Kategorie gehören.) Verdächtiges Verhalten besteht beispielsweise in bekanntem angreifendem Datenverkehr (z. B. einem Wurm oder Denial-Of-Service) oder in Daten, die in ein bestimmtes Muster passen (z. B. US-amerikanische Sozialversicherungsnummern) und über E-Mail versendet werden.

Abbildung 3 Eine Firewall ist ein wichtiger Teil einer Netzwerkanomalieerkennungslösung

Abbildung 3** Eine Firewall ist ein wichtiger Teil einer Netzwerkanomalieerkennungslösung **(Klicken Sie zum Vergrößern auf das Bild)

Trotz bester Bemühungen der IT-Verwaltung kommt es unvermeidlich in jedem großen Unternehmensnetzwerk hin und wieder zu einem Malwarevorfall. Die NAD stellt hierzu ein Frühwarnsystem bereit, das zu einer schnelleren Korrektur verhelfen kann. Darüber hinaus sind die Datenüberwachungsfunktionen der NAD und die Möglichkeit, vertrauliche Informationen zu erkennen und deren Durchsickern zu verhindern, praktische Tools für den Schutz von Informationen in einer Umgebung, in der Datenverlust und Einhaltung gesetzlicher Bestimmungen wichtig sind.

So wie Antimalwaretechnologien muss auch die NAD ständig an den aktuellsten Satz von Bedrohungen und die aktuellsten Typen vertraulicher Daten angepasst werden, um effektiv arbeiten zu können. Außerdem muss ein gutes NAD-System über ein bestimmtes Wissen zu den tatsächlichen Anomalien verfügen, um die Anzahl falscher Positivmeldungen zu minimieren. Ansonsten ignorieren Administratoren nach einer Weile womöglich die von der NAD kommenden Meldungen, weil sie annehmen, dass diese wieder nur ein falscher Alarm sind.

Nach einer gewissen Schulung bzw. Optimierung erkennt und überwacht das NAD-System typische Nutzungsmuster des Datenverkehrs. Dies ist wichtig, da sich neue Arten von Malware und anderen Angriffen möglicherweise durch eine Änderung der Nutzungsmuster bemerkbar machen. Netzwerkkomponenten spielen eine bedeutende Rolle im NAD-Gesamtsystem, da die Lösung Daten von Routern, Switches und Firewalls verarbeiten muss. Die NAD-Warnungen können dann vom Korrelationsmodul im RMD verarbeitet werden.

Eine interessante Möglichkeit besteht darin, die Erkennungsprogramme für Netzwerkanomalien in die Host-Antimalwaresoftware oder Firewall zu integrieren und somit ein Schutznetz zu schaffen, in dem alle einbezogenen Computer bei der Überwachung helfen und Angriffe möglicherweise abwehren, bevor sich Malware ausbreitet.

Verwalten der gewünschten Konfiguration

Eine der größten Herausforderungen für IT-Abteilungen in großen Unternehmen besteht darin, dass Systeme richtig konfiguriert bleiben. Es gibt viele Beweggründe, Systemkonfigurationen verwalten zu wollen: Erleichterung der Verwaltung, Vereinfachung der Skalierbarkeit, Sicherung der Konformität, Sperrung gegen verschiedene Angriffsformen sowie Förderung der Produktivität, um nur einige zu nennen. Viele dieser Gründe wirken sich auf die Sicherheit aus.

Das Verwalten der gewünschten Konfiguration wird in den meisten Unternehmen aus Gründen der Komplexität und der Startkosten weitgehend außer Acht gelassen. Studien zeigen jedoch, dass Systemverwaltung langfristig zu Kosteneinsparungen und erhöhter Zuverlässigkeit führt. Eine Überwachung der gewünschten Konfiguration (Desired Configuration Monitoring, DCM) kann hierbei helfen.

Ein gutes DCM-System muss automatisch das Netzwerk prüfen, um sicherzustellen, dass neue Systeme wie gewünscht bereitgestellt werden. Weiterhin muss überprüft werden, ob eingerichtete Systeme konform bleiben. Eine vollständige DCM-Lösung stellt sicher, dass der aktuellste Patch bereitgestellt oder die Anzahl der Benutzer mit Domänenberechtigung minimiert wird, vor allem aber muss sie Systeme konfigurieren, analysieren und Berichte darüber erstellen, wie nahe jede Konfiguration dem Ideal kommt. Die Korrekturen können einfach sein (z. B. das Patchen neuer Systeme bei Bereitstellung auf dem Netzwerk) oder zwangsweise erfolgen (z. B. das Erzwingen von E-Mail-Clienteinstellungen für Benutzer). Die Hauptsache ist, dass die Korrekturen nach den Richtlinien der Organisation und den gesetzlichen Vorschriften erfolgen. (DCM kann auch beim Erkennen und Entfernen von Malwareinfektionen helfen, da einfache Typen sofort in den Prüfergebnissen auffallen.)

DCM ist einer der primären Datenreporter an das Korrelationsmodul des RMD. DCM liefert wichtige Details über die Abweichung des fraglichen Hosts vom Normalzustand. Die Aktualität der zugehörigen Daten kann den Unterschied zwischen einer Sicherheitsverletzung mit einer einzigen Warnung und einer solchen mit fünf Warnungen ausmachen. Daher muss eine Ressource in einer Häufigkeit überprüft werden, die proportional zu ihrem Wert ist. So wird zum Beispiel eine Ressource von geringer Empfindlichkeit möglicherweise nur monatlich überprüft, während eine Ressource von mittlerer Empfindlichkeit wöchentlich und eine Ressource von hoher Empfindlichkeit mindestens einmal täglich überprüft wird.

Das Einrichten von DCM ist auch ein wesentlicher Teil eines guten Netzwerkzugriffsschutzmechanismus (Network Access Protection, NAP). Das System kann nämlich überprüfen, ob alle verbundenen Systeme richtig konfiguriert sind, und es kann neue oder unbekannte Systeme bis zu ihrer Überprüfung sperren. Außerdem muss DCM nach Sicherheitsrisiken der Konfiguration suchen (z. B. nach unsicheren Zugriffssteuerungslisten auf einer Freigabe), sodass Administratoren entsprechende Aktionen durchführen können.

Denken Sie nicht, DCM gilt nur für Hosts wie Clients oder Server. Netzwerkgeräte und sogar das Kernverzeichnis lassen sich sinnvoll in DCM einbeziehen. Wenn ein einigermaßen ausgereiftes Netzwerkdesign verfügbar ist, dürfte es für das ideale DCM-System ein Leichtes sein, Standards für zugeordnete Geräte zu erzwingen. Ungeahnte Möglichkeiten tun sich auf! Statt manueller Anpassung von Routerkonfigurationen kann DCM die Implementierung erledigen. Angenommen, ein Satz von Standardeinstellungen für Gruppenrichtlinien ist einem bestimmten Satz von Servern oder Clients zugeordnet. DCM überwacht diese Einstellungen und sendet eine Warnung, wenn sich die Domäneneinstellungen ändern.

Die von DCM gesammelten Daten müssen stabil genug sein, um in einer IT-Überwachung verwendet zu werden. Eine gute DCM-Lösung muss Hooks zu Steuerelementen der Änderungsverwaltung und den gesetzlichen Vorschriften haben, damit Überwachungsprobleme rechtzeitig und fortlaufend behandelt werden können. So besteht zum Beispiel eine unserer Routinekontrollen in der Überprüfung, ob sich die lokale Mitgliedschaft des Administrators auf MMS-Servern geändert hat. Der Zweck von DCM ist die Erzwingung dieser Regel!

Selbst wenn Ihre IT-Abteilung noch nicht für ein sich selbsttätig korrigierendes DCM-System geeignet ist, kann dennoch eine als Überwachung der gewünschten Konfiguration bekannte Variante bereitgestellt werden, die hervorragende Ergebnisse liefert. Auch diese bietet Berichte und Warnungen über Konfigurationsprobleme, es wird aber nicht unbedingt dieselbe Kosteneinsparung erreicht, da die Korrektur größtenteils manuell erfolgt. Wichtig aber ist, dass die Benachrichtigung und die Daten, die das RMD benötigt, für die Korrelation verfügbar sind.

Ein warnendes Wort allerdings. DCM muss in beiden soeben beschriebenen Formen auf ein Minimum der wichtigen Konfigurationselemente in Verbindung mit den Standard-Ressourcensammlungsdaten begrenzt werden. Ist dies nicht der Fall, wirkt sich DCM möglicherweise auf die Flexibilität aus, die das IT-Team benötigt. Falls die DCM-Konfigurationshandbücher veralten, wird man DCM schnell als eine Belastung für den Betrieb statt als nützliches Tool betrachten. Daher ist es wichtig, mit den neuesten Entwicklungen darüber, wie Ressourcen optimal zu konfigurieren sind, Schritt zu halten. Des Weiteren empfehlen wir, dass das DCM-System seine Konfigurationshandbücher gemäß den bewährten Methoden für die fragliche Ressource oder Anwendung um regelmäßige Aktualisierungen erweitert.

Schlussbemerkung

Das Dashboard ist für Ihr Team unentbehrlich, ob Sie es nun innerbetrieblich erstellen oder von einem zuverlässigen Lieferanten beziehen, da es als wichtigstes Tool für Vorfallreaktionen dient. Antimalware ist ebenfalls unerlässlich zum Schutz vor den täglich zunehmenden Bedrohungen. Die Netzwerkanomalieerkennung entwickelt sich zusehends von einer bloßen Erkennung von Malwaresignaturen und Hostangriffen zu einem System mit Datenverlusterkennung. Mithilfe dieser Funktion lässt sich möglicherweise der nächste Eindringversuch in Ihr Netzwerk verhindern. Obwohl das Verwalten der gewünschten Konfiguration eine relativ neue Funktion ist, wird sie mit Sicherheit bald unerlässlich für die Überwachung und Verwaltung von Konfigurationen sein. Unabhängig davon, wer diese Tools bereitstellt, brauchen Sie aus diesen vier Kategorien jeweils mindestens eines!

Bisher bietet kein einziger Lieferant (einschließlich Microsoft) eine einzige ganzheitliche Lösung an, die jeden der vier Bereiche abdeckt. Es bleibt Ihnen überlassen, die Produkte auszuwählen, die zu Ihren spezifischen Anforderungen passen. Dieser Artikel soll Ihnen einen Einblick dazu verschaffen, was Sie bei dieser Lösung bedenken müssen, welche Ziele sich damit erfüllen lassen und was die Ideallösung leisten kann.

Matt Clapham ist Security Engineer in der Infrastruktur- und Sicherheitsgruppe der Microsoft IT-Abteilung. Vorher arbeitete er zwei Jahre lang beim Risikomanagement- und Konformitätsteam für Microsoft Managed Solutions.

Todd Thompson ist Security Engineer in der Infrastruktur- und Sicherheitsgruppe der Microsoft IT-Abteilung. Vorher arbeitete er zwei Jahre lang beim Risikomanagement- und Konformitätsteam für Microsoft Managed Solutions.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.