Über Sourcefire®
Sourcefire®, Inc., wurde im Januar 2001 von Martin Roesch, dem Author und Entwickler von Snort®, als Antwort auf die wachsende Nachfrage nach einer kommerziellen SNORT Lösung gegründet. SNORT ist die weltweit am meisten benutzte Open Source Technologie zur Erkennung und Abwehr von Eindringlingen (Intrusion Detection and Prevention). Indem es sich seine Reputation durch die Erkennung und Abwehr von Eindringlingen aufbaute, ist Sourcefire heute zu einem weltweit führenden Unternehmen für Enterprise Threat Management (ETM) geworden. Sourcefire hat es sich zur Aufgabe gemacht, seinen Kunden dabei zu helfen, die wachsenden Risiken und Verordnungen durch den Einsatz von höchst effektiver und effizienter Sicherheit zu verwalten – getrieben durch Netzwerk- und Benutzerintelligienz. Sourcefire reformiert die Art, wie Global 2000-Unternehmen und Regierungsbehörden ihre Sicherheitsrisiken im Netzwerk verwalten und minimieren. Zur Absicherung realer Netzwerke dient das 3D-Konzept – Discover (Entdecken), Determine (Entscheiden), Defend (Abwehren).

Über die Jahre hat Sourcefire immer wieder Anerkennungen für seine Innovationen und die Führungsrolle innerhalb der Branche durch Kunden, Medien und Branchenberater erhalten – insgesamt mehr als 30 Preise und Auszeichnungen. Vor Kurzem wurde Sourcefire im Branchenführer-Quadranten in Gartners Bericht „Magic Quadrant for Network Intrusion Prevention System Appliances 2H06“ positioniert, und das Sourcefire 3D-System erhielt 2006 den Preis des SC Magazines für die beste Sicherheitslösung. Heute werden der Name Sourcefire und der Gründer Martin Roesch als Synonyme für Innovation und Netzwerksicherheits-Intelligenz gehandelt.

Snort®
Snort verwendet eine regelbasierte Sprache (eine leistungsfähige Kombination aus Schwachstellen-, Protokoll- und Anomalie-basierten Prüfmethoden), um Pakete sowohl auf IP-Protokoll- als auch auf Anwendungsebene zu überprüfen. Durch die Flexibilität der SNORT-Regelsprache können Kunden gefährliche Bedrohungen melden, blockieren oder unter Quarantäne stellen. Dazu stehen Technologien wie Verkehrsunterbrechung, Unterbrechung von Sitzungen zwischen Geräten oder Integration von Zugriffssteuerungseinrichtungen wie Firewalls, Routern und Switches zur Verfügung.

Snort verzeichnet bisher mehr als 3 millionen downloads und hat über 150.000 aktive benutzer und ist damit die vertrauenswürdigste und weltweit am meisten benutzte Open Source Technologie zur Erkennung und Abwehr von Eindringlingen (Intrusion Detection and Prevention). Snort verfügt über eine globale Nutzergemeinschaft deren Unterstützung aus Universitätskursen, Benutzergruppen, Büchern, Training und Zertifizierungen, Diskussionslisten und –foren, White Papers und vieles mehr besteht. Diese Gemeinschaft garantiert den Kunden eine globale Basis von qualifizierten Sicherheitsexperten und den Zugriff auf gut ausgebildetes Personal.

Sourcefire Vulnerability Research Team (VRT)
Das Sourcefire-Team zur Untersuchung von Schwachstellen (Vulnerability Research Team, VRT), das aus führenden Intrusion Prevention-Experten besteht, arbeitet an der Erkennung, Auswertung und Bekämpfung der neuesten Trends bei Hackeraktivitäten, Eindringungsversuchen und Sicherheitslücken. Die robuste Regelsprache von Snort ermöglicht dem VRT, komplexe Regeln zu schreiben, die Versuche erkennen, eine verborgene Schwachstelle auszunutzen. Somit können neue Varianten bekannter Würmer erkannt werden (so dass Sie den Bedrohungen einen Schritt voraus sind), ohne das System aktualisieren zu müssen. Das VRT ist im Vergleich zu anderen Anbietern auch stets unter den ersten drei Teams, das noch am gleichen Tag Schutz für Microsoft Tuesday-Sicherheitslücken bereitstellt.

Das Sourcefire VRT wird zudem durch die Open Source Snort Gemeinschaft erweitert, die den Kunden Zugriff auf das weltweit grösste Team zur Abwehr von Bedrohungen ermöglicht.

Enterprise Threat Management (ETM)
Die meisten der heutigen Bedrohungen und Schwachstellen kommen nicht von außerhalb, sondern von innerhalb des Netzwerks. Während die Unternehmen durch den Kauf von Sicherheitsprodukten versuchen mit den Bedrohungen und Schwachstellen Schritt zu halten, verursachen Budgetkürzungen und Integrationsprobleme Frustration bei der Netzwerksicherheit. Viele Risiko-, Richtlinien- und Sicherheitsexperten wenden sich deshalb einem neuen, ganzheitlichen (holistischen) Ansatz zu, dem „Enterprise Threat Management“ (ETM). Dieser Ansatz integriert Schlüsseltechnologien wie Intrusion Prevention Systeme (IPS), Network Access Control (NAC), Network Behavior Analysis (NBA) und Vulnerability Assessment durch Netzwerk- und Benutzer-Intelligenz innerhalb einer Management Konsole.

Sourcefire stellt ETM durch sein Sourcefire 3D System zur Verfügung. Es gibt vier Komponenten, die entweder als komplettes System oder als Teilkomponenten genutzt werden können:

Sourcefire IPS™

  • Bietet integrierte IPS oder passive IDS, basierend auf dem Industriestandard Snort
  • Nutzt Snort Regeln für umfassende Erkennungsfähigkeiten
  • Benutzt ein mächtiges, flexibles System

Sourcefire RNA™ (Real-time Network Awareness)

  • Bietet Netzwerk- und Endpunktintelligenz
  • Stellt die Zusammensetzung und das Verhalten von Netzwerkkomponenten durch die Netzwerkanalyse (Network Behavior Analysis, NBA) fest
  • Benutzt „always on“ passive Netzwerkerkennung

Sourcefire RUA™ (Real-time User Awareness)

  • Bietet 24x7 passive Identitätserkennung mit umfassender Informationserfassung einschließlich E-mail und IP Adressen
  • Benutzt LDAP und Active Directory Domänen als Datenquellen
  • Nutzt die gleichen Sensoren zur Datenerfassung wie Sourcefire IPS und Sourcefire RNA

Sourcefire Defense Center™

  • Korreliert Attacken mit Netzwerk-Intelligenz
  • Automatisiert oder steuert Reaktionen auf Ereignisse
  • Verwaltet, erzwingt und berichtet zentral über Sicherheit, Vorschriften und Richtlinien

Marktforschungsunternehmen platziert Sourcefire unter den Leadern des Magic Quadrant für Intrusion Prevention-Systeme
Sourcefire verdankt seine Spitzenposition seiner umfassenden Vision und deren Umsetzung - Sourcefire gibt bekannt, dass das Unternehmen von Gartner, Inc. im "Magic Quadrant for Network Intrusion Prevention Systems (IPS)" als 'Leader' positioniert wurde.

Im Magic Quadrant werden Anbieter in Bezug auf die Vollkommenheit ihrer Vision und ihre Fähigkeit, diese umzusetzen, untersucht und entsprechend ihrem Abschneiden in einen von vier Quadranten eingeordnet: Leaders, Visionaries, Challengers oder Niche Players.

Dazu heißt es von Gartner "Leader legen in ihrem Vorgehen und in ihrem Engagement in sämtlichen Umsetzung  und Visions-Kategorien eine große Ausgewogenheit an den Tag. Ihre Aktionen legen die wettbewerbliche Messlatte für alle Produkte auf dem Markt höher, und sie sind in der Lage, den Kurs des Marktes zu verändern. Um Leader zu bleiben, müssen Anbieter in der Vergangenheit bewiesen haben, IPS-Deployments im Enterprise-Segment erfolgreich umsetzen und im Konkurrenzkampf bestehen zu können. Leader produzieren Produkte, die sich durch hohe Signaturqualität und geringe Latenz auszeichnen. Ihre Innovationstätigkeit ist mit den Anforderungen der Kunden auf Augenhöhe oder diesen sogar voraus (z. B. Einsatz von Endpunkt-Intelligenz für eine effizientere Erkennung). Leader bieten eine ganze Modellpalette an. In Auswahlverfahren gewinnen sie fortlaufend, und sie werden von Unternehmen stets in die engere Wahl gezogen. Dennoch wird sich nicht jeder Käufer zwangsläufig für einen Leader entscheiden, und die Klienten sollten nicht davon ausgehen, dass sie ihre Produkte ausschließlich von Anbietern aus dem Leaders Quadrant beziehen müssen."

"Sourcefire ist der einzige Anbieter im Leaders Quadrant, der sein Geschäftsmodell ausschließlich auf Intrusion Prevention-Systeme stützt. Daher investieren wir erhebliche Ressourcen, um innovative Lösungen zu liefern, die die Kunden vor den aktuellen Bedrohungen schützen", erläutert Sourcefire-CEO John Burris und fügt hinzu: "Ich bin stolz, dass unsere Fokussierung auf die Sicherheit unserer Kunden gewürdigt wird, indem wir im Leaders Quadrant von Gartner platziert wurden."

Das Sourcefire Intrusion Prevention System vermittelt den Anwendern tiefe Einblicke in ihre Netzwerke und Applikationen sowie die Aktivitäten ihrer User. So wird ein intelligenterer, effektiverer und effizienter Schutz erreicht. Da potenzielle Schwachstellen im Netzwerk identifiziert und durch Kontextorientierung ergänzt werden, kann sich das Sourcefire IPS automatisch an Änderungen im Netzwerk anpassen. Die Zahl der Sicherheits-Events, die ein Eingreifen erfordern, wird hierdurch drastisch gesenkt. So können sich die Administratoren auf die wirklich wichtigen Aufgaben konzentrieren. Dadurch dass User mit IP-Adressen und Traffic verknüpft werden, ist Sourcefire außerdem in der Lage, Vorfälle im Netzwerk mit bestimmten Hosts oder Personen in Beziehung zu setzen. Im Netzwerk kann daher schneller auf einen sicherheitsrelevanten Vorfall reagiert werden.

Den kompletten Report mit der Würdigung von Sourcefire finden Sie unter: Gartner MQ Access

Sourcefire kauft Immunet

Antivirus als Verstärkung für das Snort Open Source IPS
Sourcefire will künftig eine Software-as-a-Service-Suite anbieten, die auf dem Intrusion Prevention System (IPS) Snort und der Antivirus-Lösung ClamAV basiert. Vor diesem Hintergrund übernimmt Sourcefire das Unternehmen Immunet und sichert sich somit zusätzliches Know-how in Sachen Anti-Malware und Cloud Computing.

Bei der Erkennung von Malware-Attacken setzt Immunet auf Reputationstechnik. Die Engine bezieht ihre Fingerprint-Informationen von der über 780.000 Mitglieder starken Community, Signatur-Updates entfallen. Einer der Vorteile von Immunet ist, dass es neben diversen anderen Anti-Malware-Lösungen auf dem System läuft.

Immunet ist eigentlich für Privatanwender gedacht, selbst beim Kauf des kostenpflichtigen Plus-Pakets – die beispielsweise Offline-Scans ermöglicht – erhält man maximal drei Arbeitsplatz-Lizenzen. Doch laut Martin Roesch, Gründer und CTO von Sourcefire, soll die Lösung durch Management-Funktionen und höhere Skalierbarkeit auch für große Unternehmen interessant werden.

COLLAPSE FOOTER