Sicherheit mit CrowdSec

Gemeinsam kämpft es sich besser gegen Aggressoren als allein. Dieses Motto hat sich CrowdSec [1] auf die Fahnen geschrieben. Bei dem Clouddienst handelt es sich um ein quelloffenes und partizipatives IPS, das in der Lage ist, das Verhalten von Systemen zu analysieren und eine angepasste Antwort auf Angriffe zu geben. Das Werkzeug verfolgt den Ansatz, dass eine Gemeinschaft Angriffsinformationen austauscht und zusammen gegen Cyberkriminelle kämpft. Ein Unternehmen schützt daher seine Server nicht nur durch selbst gewonnene Informationen, sondern durch die Daten der kompletten Community.

Bei den Quellen handelt es sich zum Beispiel um syslog, cloudtrails, SIEM und andere Informationen, zum Beispiel von Firewalls oder der Ereignisanzeige von Windows-Servern. Die Mitglieder der Community erhalten Informationen der ausgewerteten Daten und können dadurch ihr eigenes Intrusion Detection System (IDS) aufbauen. Das Senden und Empfangen von Informationen lässt sich auch komplett automatisieren. Nach der ersten Einrichtung läuft das System autonom und Sie können in der Webkonsole des Clouddiensts überprüfen, ob Ihre Server angegriffen wurden und ob Sie eine Aktion durchführen müssen.

Die Software, die in einem CrowdSec-Netzwerk zum Einsatz kommt, arbeitet lokal, kann aber auf die Daten der Gemeinschaft aus dem Internet zugreifen. Dadurch sind IP-Adressen von Angreifern schnell identifizierbar, indem der Softwareagent Informationen der Community im lokalen Rechenzentrum nutzt. Sammelt er selbst neue IP-Adressen von Angreifern, kann er diese wiederum in die Cloud hochladen. Nach einer Verifizierung werden diese neuen Adressen ebenfalls der Community zur Verfügung gestellt.

Agenten-basiert und flexibel einsetzbar

Unternehmen müssen bei der Nutzung von CrowdSec nicht ihre komplette Security ersetzen. Ebenso wenig ist der Betrieb von eigenen Servern notwendig, da die eigentliche

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.