BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen
Hilfsmittel für die Entscheidungsvorlage
Folgende Hilfsmittel werden für die Erstellung der bereitgestellt:
- 3.1 Links auf IDS-Testberichte
- 3.2 Kosten- und Aufwandsabschätzung
- 3.3 Dokumentenrahmen für eine Entscheidungsvorlagn
3.1 Links auf IDS-Testberichte
Zum Zeitpunkt der Erstellung des Leitfaden aktuelle Testberichte und Vergleichstests:
| www.nss.co.uk | Ausführlicher Vergleichstest unterschiedlicher marktverfügbarer IDS, Stand August 2002 |
| Link n.v. | Network Workd, "Intrusion-Detection products grow up", Test von 5 netzbasierten IDS, Stand August 2001 |
| Link n.v. | Network Computing , "To catch a thief", Network Computing, Test von 8 netzbasierten IDS, Stand August 2001 |
3.2 Kosten- und Aufwandsabschätzung
Bei den Anschaffungskosten marktverfügbarer IDS wird zwischen den Kosten für Netzsensoren, Hostsensoren und der Management-/Auswertungsstation unterschieden.
IDS-Software
Netzsensoren kosten (als Softwareausführung) 6-10 T?, einfache Hostsensoren, als Bestandteil integrierter IDS, liegen im Bereich zwischen 300 ? und 1000 ?. Kosten für Management-/Auswertungsstation werden von den Herstellern unterschiedlich gehandhabt. Während sie bei einigen im Preis der Sensoren inbegriffen sind, fallen bei anderen zusätzlich Kosten bis zu 10 T? an. Neben den Kosten für reine IDS-Komponenten können abhängig vom eingesetzten Produkt Kosten für zusätzlich erforderliche Software (wie etwa Datenbanken) anfallen.
IDS-Plattformen
Netzsensoren, Management-/Auswertungsstation und ggf. zusätzliche Datenbanken sollten auf eigens hierfür vorgesehenen Rechnern betrieben werden. Für die Rechner inklusive Systemsoftware sind je nach Ausführung ca. 5-10 T? zu veranschlagen. Auch die Zusatzkosten für IDS-Komponenten, die als Appliances ausgeführt sind, bewegen sich im gleichen Bereich. Daneben können Kosten für Komponenten anfallen, die zur technischen Integration des IDS benötigt werden (z. B. TAPs, Hubs oder Switches).
IDS-Integration
Der Aufwand für die reine technische Integration und Inbetriebnahme des IDS ist überschaubar und liegt grob bei ca. 2-3 PT pro Komponente. Nicht berücksichtigt ist dabei ggf. entstehender organisatorischer Aufwand für das Change-Management. Insbesondere der Abstimmungsaufwand zur Integration von Hostsensoren hängt stark von der Organisation und vom zu überwachenden System ab.
Der Aufwand für den Aufbau einer angemessenen Incident-Response-Organisation hängt stark von den damit verbundenen Anforderungen und der gegebenen Organisation im Unternehmen ab.
IDS-Kalibrierung
Der Kalibrierungsaufwand verteilt sich auf eine Erstkalibrierung bei Inbetriebnahme sowie die regelmäßige Verfeinerung der Kalibrierung auf Basis von Erfahrungen im Betrieb.
Für die Erstkalibrierung sind pro Netzsensor bis zu 10 PT zu veranschlagen. Der Aufwand sinkt dabei, falls mehrere Sensoren ein ähnliches Überwachungsprofil aufweisen sollen. Der Kalibrierungsaufwand von Hostsensoren hängt stark von dem mit dem Einsatz verbundene Zielsetzungen ab. Es sind grob 5 PT pro Sensor zu veranschlagen.
Bei gleicher Einsatzumgebung kann sich die Verfeinerung der Kalibrierung im Betrieb des IDS über mehrere Monate erstrecken. Neben der Verfeinerung der Kalibrierung sind Anpassungen der Kalibrierung bei Signatur-Updates und bei Änderungen der zu überwachenden IT-Infrastruktur des IDS erforderlich. In direktem Zusammenhang mit der Kalibrierung steht die regelmäßige Verfolgung vom IDS gemeldeter Ereignisse und die regelmäßige Aktualisierung von Kenntnissen über neue Angriffe und Sicherheitslücken. Beim Einsatz des IDS zur ergänzenden Absicherung am Internet-Übergang sollte der regelmäßige Aufwand hierfür nach einer "Einschwingphase" ca. 5 PT monatlich nicht überschreiten. Die Einschwingphase kann mehrere Monate betragen. Der Zusatzaufwand in der Einschwingphase hängt stark von den Erfahrungen der IDS-Administration mit dem IDS-Einsatz, ihren Kenntnissen von Angriffen und Sicherheitslücken sowie Detailkenntnissen der überwachten Infrastruktur ab.
IDS-Betrieb
In der nachstehenden Tabelle sind Aktivitäten des IDS-Betriebs und Aufwände aufgeführt, die zusätzlich zu den bei der IDS-Kalibrierung angegebenen Aktivitäten anfallen.
| Aktivität | Aufwand |
|---|---|
| Regelmäßige Aktualisierung des IDS und fortlaufende Abstimmung des IDS-Einsatzes (Meetings, IT-Planung und Entwicklung im Unternehmen, etc.) | monatlich ca. 3 PT |
| Betrieb einer Incident-Response-Organisation | organisationsabhängig |
| Betrieb der HW-/SW-Plattformen des IDS | es sind organisationsspezifische Erfahrungswerte anzusetzen |
| Wartung des IDS und zugrundeliegender HW-/SW-Plattformen | jährlich ca. 15-20% der jeweiligen Investitionen |
3.3 Dokumentenrahmen für eine Entscheidungsvorlag
Kapitel 1: Zielsetzungen des Einsatzes eines IDS
Management-orientierte Beschreibung der mit dem Einsatz eines IDS für das Unternehmen verbundenen Ziele.
Kapitel 2: Lösungsansätze
In diesem Kapitel der Entscheidungsvorlage ist für jeden Lösungsansatz ein Abschnitt mit folgenden Inhalten vorzusehen:
- Skizzierung des Lösungsansatzes (insbesondere Architekturdiagramm mit Sensorplatzierungen),
- Abdeckung der Einsatzziele (Nutzenaspekte des Lösungsansatzes),
- zu erwartende Kosten und personelle Aufwände,
- ggf. zusätzlich Gegenüberstellung von Kosten und Nutzenaspekten (Kosten-Nutzen-Analyse).
Kapitel 3: Diskussion der Lösungsansätze
Benennung von Vor- und Nachteilen der einzelnen Lösungsansätze und Vergleich der Lösungsansätze untereinander.
Kapitel 4: Empfehlung
Begründete Empfehlung eines Lösungsansatzes und Darstellung der zu erwartenden Kosten und Aufwände.
- Kurz-URL:
- https://www.bsi.bund.de/dok/6624126