Suchen

Dezentrales Arbeiten

Big Data Analytics und Cloud kombinieren

Seite: 2/2

Firmen zum Thema

Verhaltensmuster haben sich geändert

Ein Wandel des Sicherheitskonzepts ist auch deshalb nötig, weil sich das Angreiferverhalten in den vergangenen Jahren grundlegend geändert hat. Lange Zeit konnten Viren und Malware über Signaturen relativ einfach erkannt werden. Mit einer Firewall und einem Antivirenscanner war diesen Angriffen deshalb leicht beizukommen.

Mittlerweile werden jedoch weniger als zehn Prozent der Angriffe von einem klassischen Virenscanner erkannt, wie Analysen aus der Zscaler Security Cloud belegen. Bei einem der globalen Kunden mit 100.000 Usern wurde über den Zeitraum von einem Monat sogar nur knapp ein Prozent der Bedrohungen mittels Virenscanner entdeckt.

Um Verhaltensanomalien moderner Malware aufzuspüren, sind Big Data Analytics und das intelligente Zusammenspiel diverser Security Funktionen erforderlich. Die Kunst besteht darin, gezielte Attacken, die unbemerkt bleiben wollen, zu erkennen und zeitgleich möglichst wenig Fehlalarme auszulösen, die den Arbeitsalltag beeinträchtigen.

Bei einer Hardware-basierten Sicherheitsinfrastruktur laufen deshalb die Daten aus Virenscanner, URL-Filter und APT-Erkennung oftmals in einem SIEM-System zusammen. Das ist nötig, da die einzelnen Appliances nicht miteinander kommunizieren, so dass ein aufwändiger Analyseprozess nachgeschaltet ist, der auch fehlalarmanfällig ist.

Bei Advanced Threats ist Sandboxing zum Beispiel keine Allzweckwaffe mehr. Denn moderne Schädlinge werden zeitverzögert aktiv nach dem Einschleusen und beginnen erst sukzessive mit dem Auslesen der Informationen aus dem betroffenen System, wenn sie die Sicherheitsvorkehrungen durchlaufen haben.

Gleichzeitig ist es erwünscht, den Erkennungsaufwand von Malwaremustern für die IT-Abteilung zu minimieren. Derzeit halten noch immer zu viele Fehlalarme den Geschäftsbetrieb der IT-Abteilung auf. Bei falsch-positiven Alarmen werden den Mitarbeitern außerdem Informationen vorenthalten. Wertvolle IT-Ressourcen werden gebunden, weil die Administratoren Threats manuell von Fehlalarmen unterscheiden müssen.

„Schwarmintelligenz“ enttarnt Angreifer

Sicherheitsanbieter sind heute in der Lage, auch Attacken zu erkennen, die im Verborgenen wirken oder zeitverzögert aktiv werden. Fehlalarme lassen sich vermeiden, wenn Sicherheitslösungen intelligent zusammenspielen und ihre Kenntnisse austauschen.

Virenscanner, URL-Scanner und Sandboxing nehmen dabei weiterhin eine wichtige Funktion ein. Allerdings bieten diese Mechanismen erst dann schnellen Schutz, wenn sie intelligent zusammenspielen und dabei die Geschwindigkeit nicht beeinträchtigen.

Mit einer Cloud-basierten Security-Plattform lassen sich große Datenmengen analysieren und anormales Verhalten durch Big Data Analytics in der Wolke identifizieren. Die Verhaltensanalyse kombiniert Daten aus unterschiedlichen Security-Instanzen, ebenso wie das Echtzeitverhalten von ein- und ausgehenden Datenströmen.

Dabei wird dem Administrator nicht nur die Arbeit der manuellen Analyse abgenommen, es entfallen auch Hardware-Installation und -Wartung. Zugleich ermöglicht ein solcher Ansatz, dass jeder Nutzer in Echtzeit vor neu aufgespürter Malware geschützt wird. Schließlich ist die Datenbasis deutlich größer als bei isolierten, rein auf ein Unternehmen konzentrierten Analysen.

Zscaler verarbeitet in seiner Sicherheits-Cloud pro Tag 13 Milliarden Anfragen und damit ein doppelt so hohes Aufkommen wie Google. Entsprechend dezidierter lassen sich innerhalb der großen Datenmenge Muster erkennen und Schädlinge identifizieren, die Zscaler täglich mit 120.000 Security Updates in der Cloud abwehrt.

* Mathias Widler ist Area Director DACH & CEE bei Zscaler.

(ID:43900173)