Einer der wichtigsten – wenn nicht DER wichtigste – Vermögenswert vieler Unternehmen von heute sind ihre Daten. Es ist so wichtig und wertvoll, dass viele böswillige Einzelpersonen oder Organisationen große Anstrengungen unternehmen, um diese wertvollen Daten zu stehlen. Dabei verwenden sie eine Vielzahl von Techniken und Technologien, um sich unbefugten Zugriff auf Netzwerke und Systeme zu verschaffen. Die Zahl solcher Versuche scheint ständig exponentiell zuzunehmen. Um dies zu verhindern, werden Systeme namens Intrusion Prevention Systems oder IPS von Unternehmen eingesetzt, die ihre Datenbestände schützen möchten. Der SolarWinds Log & Event Manager sowie Splunk sind zwei unkonventionelle Produkte in diesem Bereich. Heute vergleichen wir die beiden.
Wir beginnen unsere Erkundung mit einem Blick auf Intrusion Prevention im Allgemeinen. Es wird helfen, den Tisch für das zu decken, was kommt. Wir werden versuchen, es so nicht-technisch wie möglich zu halten. Unsere Idee ist nicht, Sie zu Experten für Intrusion Prevention zu machen, sondern sicherzustellen, dass wir alle auf derselben Seite sind, wenn wir beide Produkte weiter untersuchen. Apropos Erkunden der Produkte, das haben wir als nächstes. Wir beschreiben zunächst die Hauptfunktionen des SolarWinds Log & Event Manager, werfen anschließend einen Blick auf die Stärken und Schwächen des Produkts sowie seine Vor- und Nachteile, wie sie von Benutzern der Plattform gemeldet werden, und schließen unseren Überblick ab des Produkts, indem Sie sich dessen Preis- und Lizenzstruktur ansehen. Wir werden Splunk dann in einem identischen Format mit den Produktfunktionen, seinen Stärken und Schwächen, seinen Vor- und Nachteilen und seiner Preisstruktur überprüfen. Abschließend werden wir mit dem abschließen, was Benutzer über die beiden Produkte zu sagen haben.
Inhaltsverzeichnis
Intrusion Prevention – Worum geht es?
Vor Jahren waren Viren so ziemlich die einzigen Sorgen von Systemadministratoren. Viren erreichten einen Punkt, an dem sie so verbreitet waren, dass die Industrie mit der Entwicklung von Virenschutz-Tools reagierte. Heutzutage käme kein ernsthafter, vernünftiger Benutzer auf die Idee, einen Computer ohne Virenschutz zu betreiben. Obwohl wir nicht mehr viel von Viren hören, ist das Eindringen – oder der unbefugte Zugriff auf Ihre Daten durch böswillige Benutzer – eine neue Bedrohung. Da Daten oft das wichtigste Gut eines Unternehmens sind, sind Unternehmensnetzwerke zum Ziel böswilliger Hacker geworden, die große Anstrengungen unternehmen, um Zugang zu Daten zu erhalten. So wie Virenschutzsoftware die Antwort auf die Verbreitung von Viren war, sind Intrusion Prevention-Systeme die Antwort auf Eindringlingsangriffe.
Intrusion Prevention-Systeme tun im Wesentlichen zwei Dinge. Erstens erkennen sie Einbruchsversuche, und wenn sie verdächtige Aktivitäten entdecken, wenden sie verschiedene Methoden an, um sie zu stoppen oder zu blockieren. Es gibt zwei verschiedene Möglichkeiten, wie Einbruchsversuche erkannt werden können. Die signaturbasierte Erkennung funktioniert, indem sie den Netzwerkverkehr und die Daten analysiert und nach bestimmten Mustern sucht, die mit Einbruchsversuchen verbunden sind. Dies ähnelt herkömmlichen Virenschutzsystemen, die auf Virendefinitionen beruhen. Die signaturbasierte Angriffserkennung basiert auf Angriffssignaturen oder -mustern. Der Hauptnachteil dieser Erkennungsmethode besteht darin, dass die richtigen Signaturen in die Software geladen werden müssen. Und bei einer neuen Angriffsmethode gibt es normalerweise eine Verzögerung, bevor die Angriffssignaturen aktualisiert werden. Einige Anbieter sind sehr schnell bei der Bereitstellung aktualisierter Angriffssignaturen, während andere viel langsamer sind. Wie oft und wie schnell Signaturen aktualisiert werden, ist ein wichtiger Faktor, der bei der Auswahl eines Anbieters zu berücksichtigen ist.
Anomalie-basierte Erkennung bietet besseren Schutz vor Zero-Day-Angriffen, die stattfinden, bevor Erkennungssignaturen aktualisiert werden konnten. Der Prozess sucht nach Anomalien, anstatt zu versuchen, bekannte Angriffsmuster zu erkennen. Es würde beispielsweise ausgelöst, wenn jemand mehrmals hintereinander versucht, mit einem falschen Passwort auf ein System zuzugreifen, ein häufiges Zeichen für einen Brute-Force-Angriff. Dies ist nur ein Beispiel, und normalerweise gibt es Hunderte verschiedener verdächtiger Aktivitäten, die diese Systeme auslösen können. Beide Nachweismethoden haben Vor- und Nachteile. Die besten Tools sind diejenigen, die eine Kombination aus Signatur- und Verhaltensanalyse für den besten Schutz verwenden.
Das Erkennen von Eindringversuchen ist einer der ersten Schritte, um sie zu verhindern. Einmal erkannt, arbeiten Intrusion Prevention-Systeme aktiv daran, die erkannten Aktivitäten zu stoppen. Durch diese Systeme können mehrere unterschiedliche Abhilfemaßnahmen vorgenommen werden. Sie könnten beispielsweise Benutzerkonten sperren oder anderweitig deaktivieren. Eine weitere typische Aktion ist das Blockieren der Quell-IP-Adresse des Angriffs oder das Ändern von Firewall-Regeln. Wenn böswillige Aktivitäten von einem bestimmten Prozess ausgehen, könnte das Präventionssystem den Prozess beenden. Das Starten eines Schutzprozesses ist eine weitere häufige Reaktion, und im schlimmsten Fall können ganze Systeme heruntergefahren werden, um potenzielle Schäden zu begrenzen. Eine weitere wichtige Aufgabe von Intrusion Prevention-Systemen besteht darin, Administratoren zu alarmieren, das Ereignis aufzuzeichnen und verdächtige Aktivitäten zu melden.
Passive Intrusion Prevention-Maßnahmen
Obwohl Intrusion-Prevention-Systeme Sie vor zahlreichen Arten von Angriffen schützen können, geht nichts über gute, altmodische passive Intrusion-Prevention-Maßnahmen. Beispielsweise ist die Vorgabe starker Kennwörter eine hervorragende Möglichkeit, sich vor vielen Eindringlingen zu schützen. Eine weitere einfache Schutzmaßnahme ist das Ändern der Standardkennwörter der Geräte. Während es in Unternehmensnetzwerken weniger häufig vorkommt – obwohl es nicht ungewöhnlich ist – habe ich nur zu oft Internet-Gateways gesehen, die noch ihr Standard-Admin-Passwort hatten. Apropos Passwörter: Die Passwortalterung ist ein weiterer konkreter Schritt, der ergriffen werden kann, um Einbruchsversuche zu reduzieren. Jedes Passwort, selbst das beste, kann irgendwann geknackt werden, wenn man genügend Zeit hat. Die Passwortalterung stellt sicher, dass Passwörter geändert werden, bevor sie geknackt wurden.
SolarWinds ist ein bekannter Name in der Netzwerkadministration. Es genießt einen soliden Ruf für die Herstellung einiger der besten Netzwerk- und Systemverwaltungstools. Sein Flaggschiffprodukt, der Network Performance Monitor, punktet durchweg unter den besten verfügbaren Tools zur Überwachung der Netzwerkbandbreite. SolarWinds ist auch für seine vielen kostenlosen Tools bekannt, die jeweils auf einen bestimmten Bedarf von Netzwerkadministratoren eingehen. Der Kiwi Syslog Server oder der SolarWinds TFTP Server sind zwei hervorragende Beispiele für diese kostenlosen Tools.
Lassen Sie sich nicht SolarWinds Protokoll- und EreignismanagerDer Name täuscht dich. Es steckt viel mehr dahinter, als man denkt. Einige der erweiterten Funktionen dieses Produkts qualifizieren es als Intrusion Detection and Prevention System, während andere es in die Security Information and Event Management (SIEM)-Reihe einordnen. Das Tool bietet zum Beispiel Echtzeit-Ereigniskorrelation und Echtzeit-Korrektur.
Der SolarWinds Protokoll- und Ereignismanager verfügt über eine sofortige Erkennung verdächtiger Aktivitäten (eine Intrusion Detection-Funktion) und automatisierte Reaktionen (eine Intrusion Prevention-Funktion). Dieses Tool kann auch zur Untersuchung und Forensik von Sicherheitsereignissen verwendet werden. Es kann für Minderungs- und Compliance-Zwecke verwendet werden. Das Tool verfügt über auditgeprüfte Berichte, die auch verwendet werden können, um die Einhaltung verschiedener regulatorischer Rahmenbedingungen wie HIPAA, PCI-DSS und SOX nachzuweisen. Das Tool verfügt auch über eine Dateiintegritätsüberwachung und eine USB-Geräteüberwachung. All die fortschrittlichen Funktionen der Software machen sie zu einer integrierten Sicherheitsplattform und nicht nur zu einem Protokoll- und Ereignisverwaltungssystem, wie der Name vermuten lässt.
Die Intrusion Prevention-Funktionen des SolarWinds Protokoll- und Ereignismanager funktioniert durch die Implementierung von Aktionen, die als Active Responses bezeichnet werden, sobald Bedrohungen erkannt werden. Verschiedene Antworten können mit bestimmten Warnungen verknüpft werden. Beispielsweise kann das System in Firewall-Tabellen schreiben, um den Netzwerkzugriff einer Quell-IP-Adresse zu blockieren, die als verdächtige Aktivitäten identifiziert wurde. Das Tool kann auch Benutzerkonten sperren, Prozesse stoppen oder starten und Systeme herunterfahren. Sie werden sich daran erinnern, dass dies genau die Korrekturmaßnahmen sind, die wir zuvor identifiziert haben.
Stärken und Schwächen
Laut Gartner ist die SolarWinds Protokoll- und Ereignismanager „bietet eine gut integrierte Lösung, die dank ihrer einfachen Architektur, einfachen Lizenzierung und robusten sofort einsatzbereiten Inhalte und Funktionen besonders gut für kleine und mittlere Unternehmen geeignet ist“. Das Tool verfügt über mehrere Ereignisquellen und bietet einige Funktionen zur Eindämmung von Bedrohungen und zur Quarantänekontrolle, die bei Konkurrenzprodukten normalerweise nicht verfügbar sind.
Das Forschungsunternehmen weist jedoch auch darauf hin, dass dieses Produkt ein geschlossenes Ökosystem ist, was die Integration mit Sicherheitslösungen von Drittanbietern wie Advanced Threat Detection, Threat Intelligence Feeds und UEBA-Tools schwierig macht. Wie das Unternehmen schrieb: „Integrationen mit Service-Desk-Tools sind ebenfalls auf Einwegverbindungen per E-Mail und SNMP beschränkt“.
Darüber hinaus wird die Überwachung von SaaS-Umgebungen nicht vom Produkt unterstützt und die Überwachung von IaaS ist eingeschränkt. Kunden, die ihre Überwachung auf Netzwerke und Anwendungen ausdehnen möchten, müssen andere SolarWinds-Produkte erwerben.
Vor-und Nachteile
Wir haben die wichtigsten Vor- und Nachteile zusammengestellt, die Benutzer des SolarWinds Log & Event Managers gemeldet haben. Hier ist, was sie zu sagen haben.
Vorteile
Das Produkt ist unglaublich einfach einzurichten. Es wurde bereitgestellt und hatte Protokollquellen, die darauf verwiesen, und führte innerhalb eines Tages grundlegende Korrelationen durch.
Die automatisierten Antworten, die nach der Bereitstellung des Agenten verfügbar sind, geben Ihnen eine unglaubliche Kontrolle, um auf Ereignisse in Ihrem Netzwerk zu reagieren.
Die Benutzeroberfläche des Tools ist benutzerfreundlich. Einige konkurrierende Produkte können entmutigend sein, um zu lernen, wie man sie benutzt und sich daran gewöhnt, aber die SolarWinds Protokoll- und Ereignismanager hat ein intuitives Layout und ist sehr einfach zu erlernen und zu verwenden.
Nachteile
Das Produkt hat keinen benutzerdefinierten Parser. Es wird zwangsläufig ein Produkt in Ihrem Netzwerk geben, das The SolarWinds Protokoll- und Ereignismanager wird nicht wissen, wie man analysiert. Einige konkurrierende Lösungen nutzen aus diesem Grund benutzerdefinierte Parser. Dieses Produkt bietet keine Unterstützung für das Erstellen benutzerdefinierter Parser, sodass unbekannte Protokollformate nicht geparst werden.
Das Tool kann manchmal zu einfach sein. Es ist ein ausgezeichnetes Werkzeug zur Durchführung grundlegender Korrelationen in einer kleinen bis mittelgroßen Umgebung. Wenn Sie jedoch versuchen, mit den Korrelationen, die Sie durchführen möchten, zu weit fortgeschritten zu sein, werden Sie möglicherweise über die mangelnde Funktionalität des Tools frustriert, was hauptsächlich auf die Art und Weise zurückzuführen ist, wie es Daten analysiert.
Preise und Lizenzierung
Die Preise für den SolarWinds Log & Event Manager variieren je nach Anzahl der überwachten Knoten. Die Preise beginnen bei 4.585 US-Dollar für bis zu 30 überwachte Knoten und Lizenzen für bis zu 2500 Knoten können mit mehreren Lizenzstufen dazwischen erworben werden, wodurch das Produkt hochgradig skalierbar wird. Wenn Sie das Produkt testen und selbst sehen möchten, ob es das Richtige für Sie ist, steht eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung.
Splunk ist möglicherweise eines der beliebtesten Intrusion Prevention-Systeme. Es ist in mehreren verschiedenen Editionen mit unterschiedlichen Feature-Sets erhältlich. Splunk Enterprise-Sicherheit-oder Splunk ES, wie es oft genannt wird, ist das, was Sie für echte Intrusion Prevention brauchen. Und das sehen wir uns heute an. Die Software überwacht die Daten Ihres Systems in Echtzeit und sucht nach Schwachstellen und Anzeichen abnormaler Aktivitäten. Obwohl das Ziel, Eindringlinge zu verhindern, dem von SolarWinds ähnelt, ist die Art und Weise, wie es dies erreicht, anders.
Sicherheitsreaktion ist eine der Splunk, was es zu einem Intrusion Prevention System und einer Alternative zu dem gerade getesteten SolarWinds-Produkt macht. Es verwendet das, was der Anbieter das Adaptive Response Framework (ARF) nennt. Das Tool lässt sich in Geräte von mehr als 55 Sicherheitsanbietern integrieren und kann automatisierte Reaktionen durchführen, manuelle Aufgaben beschleunigen und eine schnellere Reaktion ermöglichen. Die Kombination aus automatisierter Behebung und manuellem Eingriff bietet Ihnen beste Chancen, schnell die Oberhand zu gewinnen. Das Tool hat eine einfache und übersichtliche Benutzeroberfläche, was es zu einer erfolgreichen Lösung macht. Weitere interessante Schutzfunktionen sind die „Notables“-Funktion, die vom Benutzer anpassbare Warnungen anzeigt, und der „Asset Investigator“, um böswillige Aktivitäten zu kennzeichnen und weitere Probleme zu verhindern.
Stärken und Schwächen
SplunkDas große Partner-Ökosystem von bietet Integration und Splunk-spezifische Inhalte über den Splunkbase App Store. Die vollständige Lösungssuite des Anbieters macht es Benutzern auch leicht, sich im Laufe der Zeit in die Plattform einzuarbeiten, und erweiterte Analysefunktionen sind auf vielfältige Weise überall verfügbar Splunk Ökosystem.
Auf der Unterseite, Splunk bietet keine Appliance-Version der Lösung an, und Gartner-Kunden haben Bedenken hinsichtlich des Lizenzmodells und der Implementierungskosten geäußert – als Reaktion darauf Splunk hat neue Lizenzansätze eingeführt, darunter das Enterprise Adoption Agreement (EAA).
Vor-und Nachteile
Wie beim vorherigen Produkt finden Sie hier eine Liste der wichtigsten Vor- und Nachteile, die von Benutzern von berichtet wurden Splunk.
Vorteile
Das Tool sammelt sehr gut Protokolle von fast allen Maschinentypen – die meisten Alternativprodukte können dies nicht ganz so gut.
Splunk stellt dem Benutzer visuelle Elemente bereit und gibt ihm die Möglichkeit, Protokolle in visuelle Elemente wie Tortendiagramme, Diagramme, Tabellen usw. umzuwandeln.
Es ist sehr schnell bei der Meldung und Warnung bei Anomalien. Es gibt wenig Verzögerung.
Nachteile
SplunkDie Suchsprache von geht sehr tief. Einige der fortgeschritteneren Formatierungen oder statistischen Analysen erfordern jedoch eine gewisse Lernkurve. Splunk Für das Erlernen der Suchsprache und die Manipulation Ihrer Daten sind Schulungen verfügbar, die jedoch zwischen 500,00 und 1.500,00 US-Dollar kosten können.
Die Dashboard-Funktionen des Tools sind ziemlich anständig, aber um aufregendere Visualisierungen zu erstellen, ist ein wenig Entwicklung mit einfachem XML, Javascript und CSS erforderlich.
Der Anbieter veröffentlicht kleinere Überarbeitungen sehr schnell, aber aufgrund der schieren Anzahl von Fehlern, auf die wir gestoßen sind, mussten wir unsere Umgebung viermal in neun Monaten aktualisieren.
Preise und Lizenzierung
Splunk-UnternehmenDie Preise von basieren auf der Gesamtdatenmenge, die Sie täglich senden. Es beginnt bei 150 $/Monat mit bis zu 1 GB an täglich aufgenommenen Daten. Mengenrabatte sind verfügbar. Dieser Preis beinhaltet unbegrenzte Benutzer, unbegrenzte Suchen, Echtzeitsuche, Analyse und Visualisierung, Überwachung und Benachrichtigung, Standardsupport und mehr. Sie müssen sich an den Vertrieb von Splunk wenden, um ein detailliertes Angebot zu erhalten. Wie bei den meisten Produkten in dieser Preisklasse ist eine kostenlose Testversion für diejenigen verfügbar, die das Produkt ausprobieren möchten.
Was wurde über die beiden Produkte gesagt?
Benutzer von IT Central Station geben SolarWinds 9 von 10 und Splunk 8 von 10. Benutzer von Gartner Peer Insights kehren die Reihenfolge jedoch um und geben Splunk 4,3 von 5 und SolarWinds 4 von 5.
Jeffrey Robinette, ein Systemingenieur bei Foxhole Technology, schrieb, dass die sofort einsatzbereiten Berichte und das Dashboard von SolarWinds eine Schlüsselstärke darstellen, und bemerkte: „Es ermöglicht uns, den Zugriff zu überwachen und Cyber-Berichte schnell abzurufen. Kein Durchsuchen von Protokollen auf jedem Server mehr.“
Im Vergleich zu Splunk sagte Robinette, dass SolarWinds nicht viel Anpassung erfordert und die Preise niedriger sind, während er über Splunk schrieb, dass „Sie einen Ph.D. zum Anpassen der Berichte.“
Für Raul Lapaz, Senior IT Security Operations bei Roche, ist Splunk zwar nicht billig, aber seine Benutzerfreundlichkeit, Skalierbarkeit, Stabilität, die Geschwindigkeit der Suchmaschine und die Kompatibilität mit einer Vielzahl von Datenquellen sind es wert.
Lapaz wies jedoch auf einige Mängel hin, darunter zum Beispiel die Tatsache, dass das Cluster-Management nur über die Befehlszeile erfolgen kann und die Berechtigungen nicht sehr flexibel sind. Er schrieb: „Es wäre schön, granularere Optionen zu haben, wie z. B. die Zwei-Faktor-Authentifizierung“.