Gesucht: Werkzeug / Tools eines CSIRT

Hallo Leute,

ich schreibe zur Zeit meinen Bachelor über die Einführung, Planung und Implementation von CSIRTs in Unternehmen.

Dabei habe ich neben meinen betrieblichen Quellen auch den ENISA Guide zum Einrichten von CSIRTS als Quelle.

Darin gibt es ein Kapitel, welches mgl. Tools und Werkzeuge für CSIRTs auflistet.
Allerdings ist das Kap. etwas knapp. (6 Tools werden genannt, darunter PGP und GnuPGP) und wollte ich noch weitere neben unseren betrieblichen nennen und erläutern.

Jetzt meine Frage an euch:

Könnt ihr mir weitere Tools und Werkzeuge nennen, welche euer Erfahrung nach in CSIRTs verwendet werden oder verwendet werden können?

Dabei ist der Funktionsumfang erstmal egal, sei es Netzwerkmonitoring, Forensische Analyse etc.


Vielen Dank!
 
Die Tools sind nicht die zentralen Elemente eines CSIRTS, weswegen du den Fokus weniger darauf legen solltest. Beschreibe besser die Eingliederung des CSIRTS in die (Business-)Prozesse des Unternehmens, auch in Zusammenhang mit BCMs (ISO22301) und InfoSecManagement Methoden (ISO27000). Ich nehme mal an, du schreibst in deiner Bachelorarbeit wahrscheinlich keine Produktevaluation, oder? Eine pure Auflistung von Tools bringt dir keinen Mehrwert, insbesondere, weil du eh nicht an die wirklich wichtigen Infos kommen wirst, bei denen sich die einzelnen nicht gerade billigen Lösungen unterscheiden. Ein CSIRT muss darüber hinaus viele verschiedenen Lösungen zusammenführen (SIEM, Endpointprotection, Forensik sowie präventive Methoden, ... bis hin zu Physical Security, z.B. PACS und Business Continuity) - wie überall in der IT ist es damit aber bei weitem nicht getan. Der wichtigste Schritt besteht immernoch in der Konfiguration und dem Betrieb der Systeme.
Beschreibe dagegen besser die Services, die von einem CSIRT angeboten werden, und konzentriere dich insbesondere auf die Vorteile durch CSIRTs, anstatt dich auf konkrete Produkte zu stürzen und unnötig die Werbetrommel zu rühren. Planung, Einführung und Implementierung und insbesondere der Betrieb sind hauptsächlich organisatorische Maßnahmen, die weniger etwas mit den tatsächlichen Produkten zu tun haben.

edit:
Das wird übrigens auch in der Einführung in die Tool-Thematik beschrieben: Tools unterstützen nur den Prozess (Service Improvement). Das setzt natürlich voraus, dass es schon einen Prozess gibt. Ergo: Ohne Prozess brauchst du keine Tools ;)

edit2:
Eine nützliche Liste an Materialien findest du auch unter http://www.first.org/resources/guides/reference und http://www.sans.org/reading-room/ (siehe z.B. "Creating an SOC"). Insbesondere die RFCs solltest du zumindest einmal gelesen haben - denn sie sind auch voll zitierfähig ;)
 
Zuletzt bearbeitet:
Zurück
Oben