Sourcefire: Intrusion Detection in der Praxis

Fazit

Sourcefire ist nichts für kleine Netzwerke und „Nebenbei-Admins“. Dazu ist die Lösung zum einen zu mächtig, zum anderen muss der Administrator die Zeit und das Wissen haben, die notwendig sind, um die Funktionen an seine Bedürfnisse anpassen zu können. Allein die vielfältigen Konfigurationsmöglichkeiten der Policies verwirren auf den ersten Blick, Fehlkonfigurationen sind da nahezu programmiert.

In den Händen eines gut geschulten und fähigen Administrators dagegen wird das Sourcefire IDS eine mächtige Schutzkomponente im Netzwerk. Gerade durch die granularen Einstellungsmöglichkeiten lassen sich Bedrohungen gezielt erkennen, die sonst im Rauschen untergehen. Gerade hier hilft die Kombination mit der Real-Time-Network-Awareness-Komponente. Dadurch kann das System aktuelle Angriffe deutlich besser klassifizieren und dem Admin so viel Zeit ersparen.

Besonders gut gefallen auch die vielfältigen Auswertungsmöglichkeiten. Sourcefire schafft es nicht nur, die Daten sinnvoll auswerten, sondern kann die einzelnen Reports auch für Nicht-ITler verständlich aufbereiten. Dadurch wird es deutlich einfacher, Argumente für Sicherheit im Unternehmensnetz vorzubringen und das notwendige Budget zu rechtfertigen. (mja)