Suchen

Dezentrales Arbeiten Big Data Analytics und Cloud kombinieren

Autor / Redakteur: Mathias Widler* / Stephan Augsten

Herkömmliche Security Hardware ist kaum dazu in der Lage, zielgerichtete Angriffe abzuwehren. Ein Cloud-basierter Sicherheitsansatz, bei dem auch Big Data Analytics zum Einsatz kommt, kann Appliances verknüpfen und Sicherheitslücken schließen.

Firmen zum Thema

Die manuelle Datenanalyse ist mühsam, eine Big-Data-basierte Bedrohungserkennung in der Cloud entlastet die Security-Abteilung.
Die manuelle Datenanalyse ist mühsam, eine Big-Data-basierte Bedrohungserkennung in der Cloud entlastet die Security-Abteilung.
(Bild: Archiv)

Mit einem Paradigmenwechsel in der Sicherheitsinfrastruktur wird die IT-Architektur Cloud-ready gestaltet. So lässt sich das Arbeiten mit Anwendungen in der Wolke gezielt absichern, ohne den Umweg über die Sicherheits-Appliances in der Unternehmenszentrale zu nehmen.

Vor zehn Jahren waren die gesamten Daten eines Unternehmens noch auf dem zentralen Server gespeichert. Für die Sicherheit sorgten in der Regel eine Firewall und ein URL-Filter. Diese Ausstattung der Gateways reichte vollkommen aus, da der Datenverkehr nahezu ausnahmslos innerhalb des eigenen Unternehmensnetzwerks stattfand. So war die Infrastruktur unternehmensweit mit einem zentralen Daten-Hub pro Kontinent aufgebaut.

Heute setzen Unternehmen zunehmend auf Cloud-Applikationen, Plattformen und SaaS (Software as a Service). Herkömmliche, Appliance-basierte Sicherheitsansätze die im zentralen Hub vorgehalten werden, greifen in dieser Welt zu kurz. Da die Mitarbeiter zunehmend von zu Hause, von unterwegs aus oder von regionalen Niederlassungen auf die Daten in der Wolke zugreifen, müsste der Datenverkehr Kosten-und Latenztreibend zum Sicherheitsscan durch die Hardware-gesicherte Unternehmenszentrale gelenkt werden.

Die Cloud macht den Unterschied

Zur Absicherung der heutigen Cloud-basierten Arbeitswelten und von regionalen Firmenstandorten führt der logische Schritt in puncto Internet-Sicherheit ebenfalls durch die Wolke. Entscheidet sich ein Unternehmen für die Cloud, geht damit auch das Überdenken der Netzwerkarchitektur einher. Denn ein Hub-Ansatz mit zentralisierter Sicherheit wird ineffizient, wenn die Mitarbeiter zur Malware-Filterung von jeder Niederlassung ihre Daten zuerst zur Zentrale routen müssen auf dem Weg in das Internet.

Ein Cloud-basierter Sicherheitsansatz macht den Umweg über die Unternehmenszentrale obsolet, spart MPLS-Bandbreite und schließt Sicherheitslücken. Ein solcher Ansatz unterstützt Unternehmen aller Größen dabei, Internet Security, Schutz vor Advanced-Persistent-Threats, SSL-Scanning, Cloud Firewall und Bandbreitenmanagement mitsamt der Verwaltung von Richtlinien, Sicherheits-Assessments und -Intelligenz hochintegriert umzusetzen.

Dies bestätigt auch die Studie “The Necessity of Cloud-Delivered Integrated Security Platforms” von Forrester Consulting. Die Analysten sehen einen Cloud-Ansatz für IT-Sicherheit im Vorteil gegenüber traditionellen On-premise Security Appliances. Nur integrierte Plattformen bieten nach Meinung der meisten befragten Sicherheitsexperten die nötige Sicherheit und sind Punktlösungen deutlich überlegen.

Verhaltensmuster haben sich geändert

Ein Wandel des Sicherheitskonzepts ist auch deshalb nötig, weil sich das Angreiferverhalten in den vergangenen Jahren grundlegend geändert hat. Lange Zeit konnten Viren und Malware über Signaturen relativ einfach erkannt werden. Mit einer Firewall und einem Antivirenscanner war diesen Angriffen deshalb leicht beizukommen.

Mittlerweile werden jedoch weniger als zehn Prozent der Angriffe von einem klassischen Virenscanner erkannt, wie Analysen aus der Zscaler Security Cloud belegen. Bei einem der globalen Kunden mit 100.000 Usern wurde über den Zeitraum von einem Monat sogar nur knapp ein Prozent der Bedrohungen mittels Virenscanner entdeckt.

Um Verhaltensanomalien moderner Malware aufzuspüren, sind Big Data Analytics und das intelligente Zusammenspiel diverser Security Funktionen erforderlich. Die Kunst besteht darin, gezielte Attacken, die unbemerkt bleiben wollen, zu erkennen und zeitgleich möglichst wenig Fehlalarme auszulösen, die den Arbeitsalltag beeinträchtigen.

Bei einer Hardware-basierten Sicherheitsinfrastruktur laufen deshalb die Daten aus Virenscanner, URL-Filter und APT-Erkennung oftmals in einem SIEM-System zusammen. Das ist nötig, da die einzelnen Appliances nicht miteinander kommunizieren, so dass ein aufwändiger Analyseprozess nachgeschaltet ist, der auch fehlalarmanfällig ist.

Bei Advanced Threats ist Sandboxing zum Beispiel keine Allzweckwaffe mehr. Denn moderne Schädlinge werden zeitverzögert aktiv nach dem Einschleusen und beginnen erst sukzessive mit dem Auslesen der Informationen aus dem betroffenen System, wenn sie die Sicherheitsvorkehrungen durchlaufen haben.

Gleichzeitig ist es erwünscht, den Erkennungsaufwand von Malwaremustern für die IT-Abteilung zu minimieren. Derzeit halten noch immer zu viele Fehlalarme den Geschäftsbetrieb der IT-Abteilung auf. Bei falsch-positiven Alarmen werden den Mitarbeitern außerdem Informationen vorenthalten. Wertvolle IT-Ressourcen werden gebunden, weil die Administratoren Threats manuell von Fehlalarmen unterscheiden müssen.

„Schwarmintelligenz“ enttarnt Angreifer

Sicherheitsanbieter sind heute in der Lage, auch Attacken zu erkennen, die im Verborgenen wirken oder zeitverzögert aktiv werden. Fehlalarme lassen sich vermeiden, wenn Sicherheitslösungen intelligent zusammenspielen und ihre Kenntnisse austauschen.

Virenscanner, URL-Scanner und Sandboxing nehmen dabei weiterhin eine wichtige Funktion ein. Allerdings bieten diese Mechanismen erst dann schnellen Schutz, wenn sie intelligent zusammenspielen und dabei die Geschwindigkeit nicht beeinträchtigen.

Mit einer Cloud-basierten Security-Plattform lassen sich große Datenmengen analysieren und anormales Verhalten durch Big Data Analytics in der Wolke identifizieren. Die Verhaltensanalyse kombiniert Daten aus unterschiedlichen Security-Instanzen, ebenso wie das Echtzeitverhalten von ein- und ausgehenden Datenströmen.

Dabei wird dem Administrator nicht nur die Arbeit der manuellen Analyse abgenommen, es entfallen auch Hardware-Installation und -Wartung. Zugleich ermöglicht ein solcher Ansatz, dass jeder Nutzer in Echtzeit vor neu aufgespürter Malware geschützt wird. Schließlich ist die Datenbasis deutlich größer als bei isolierten, rein auf ein Unternehmen konzentrierten Analysen.

Zscaler verarbeitet in seiner Sicherheits-Cloud pro Tag 13 Milliarden Anfragen und damit ein doppelt so hohes Aufkommen wie Google. Entsprechend dezidierter lassen sich innerhalb der großen Datenmenge Muster erkennen und Schädlinge identifizieren, die Zscaler täglich mit 120.000 Security Updates in der Cloud abwehrt.

* Mathias Widler ist Area Director DACH & CEE bei Zscaler.

(ID:43900173)