Da lese ich gerade bei Silcon.de einen interessanten Artikel, der meine Meinung mal wieder untermauert.
Silicon schreibt unter anderem über das Ergebnis einer Umfrage unter 700 IT-Leitern aus ganz Europa.
Firewalls und andere Sicherheits-Tools produzieren eine derart große Menge an Daten, dass Admins bei dem Wust oft keine Sicherheitsgefährdung mehr identifizieren können.
Nun, das ist doch kein Wunder. Warum muß denn jedes „Husten“ im Netz protokolliert werden? Ich sehe das als ganz großes Manko an. Das betrifft aber nicht nur die „Profis“ sondern auch die privaten User. Alle paar Sekunden meldet sich die Firewall mit einem geblockten „Angriffsversuch“. Wenn man mal genauer hinschaut, dann war das eine harmlose Anfrage vom Provider(bist Du noch da) oder eines P2P-Klienten der die IP von einem früheren Nutzer noch geloggt hatte. Die Meldung macht sich natürlich gut. Sieh hier, ich bin so gut und blocke alle bösen Angreifer.
Genau zu dem Thema zu viele Meldunge haben sie die IT-Leute auch geäußert.
30 Prozent der Befragten sagten, sie kämen mit der Masse an Daten nicht mehr zurecht und könnten keine potenzielle Sicherheitsgefahr mehr herausfiltern. Etwa die Hälfte erhält mehr als 4000 sogenannte ‚Events‘ pro Sekunde, noch 15 Prozent bekommen pro Sekunde 6000 Events, die sie auswerten müssen. Ein Event ist jede Aktion an der Security-Komponente, ob harmlos oder gefährlich.
Das gleiche Spiel geht also auch bei den Firmen. Dazu kommt meiner Erfahrung nach, dass viele „Admins“ nicht nur mit der Auswertung der Logs überfordert sind, sondern auch Probleme mit der Einstellung und der Wartung der Programme haben.
Warum müssen überhaupt ständig die Logs ausgewertet werden? Sehe ich das falsch, aber sollte nicht lieber das Firmennetzwerk auf dem neusten Stand der Sicherheit sein? Ich sehe das ständige Durchwühlen der Daten als vollkommen sinnfreie Zeitverschwendung an. Es reicht doch in meinen Augen vollkommen aus, die Daten durchzusuchen wenn ein tatsächlicher „Angriff“ vorliegt. Denn dann ist es durchaus wichtig heraus zu bekommen woher der „Angriff“ kam oder kommt. Aber wenn der Admin sich durch meterlange Listen wühlt, bekommt er doch eh nicht mit was aktuell los ist. Der kann doch bei der Fülle der Daten froh sein, wenn er am Abend weiß was am Nachmittag passiert ist.
Alle Zitate entstammen dem oben verlinkten Artikel.
Also meine Firewall hat sich noch nie gemeldet.
Ob das nun gut oder schlecht, dass weiß ich nicht, aber sie überfordert mich nicht. Nur manchmal da ist sie zu scharf, da muss ich sie ausschalten.
Mitunter möchte sie nicht, dass ich irgendwo was kommentiere.
Naja, es gibt da ein paar Programme speziele für den Windowsheimanwender, da hat man das Gefühl, dass das Fenster welches einen „Angriff“ meldet garnicht wieder verschwindet.
*schulterzuck* Das ist mir noch nie passiert.
Ein kleines Fensterchen erscheint nur bei den Programmen die nach Hause telefonieren wollen und da wird mir dann nur mitgeteilt, dass das halt blockiert wurde.