Advertorial

Big Data leitet Ära der Security Intelligence ein

| Redakteur: Advertorial

Big Data-Sicherheitsplattformen nutzen intelligente Technologien, um Anomalien und Abweichungen im Unternehmensnetzwerk aufzudecken.
Big Data-Sicherheitsplattformen nutzen intelligente Technologien, um Anomalien und Abweichungen im Unternehmensnetzwerk aufzudecken. (Bild: Jakub Jirsák - Fotolia.com)

Traditionelle Security Information and Event Management (SIEM)-Lösungen waren in der Vergangenheit nicht in der Lage, große Datenmengen zu sammeln und miteinander zu korrelieren. Big Data-Sicherheitsplattformen schließen diese Lücke und haben sich zur neuen Waffe für fortschrittlich denkende Unternehmen gemausert.

Die Anzahl der Unternehmen und Organisationen, die in jüngster Vergangenheit Opfer von Advanced Threats wurden, steigt alarmierend schnell. Egal ob Cyberkriminelle, staatliche Institutionen oder Hacktivisten die Angreifer sind – sie nutzen Spear Phishing und Social Engineering, um die abgesicherten Perimeter von Unternehmen zu durchbrechen. Dabei verlassen sich die Eindringlinge unter anderem auf speziell entwickelte Malware und sind nicht signaturbasiert. Auf diese Weise können sie vermeiden, von traditionellen Anti-Malware-Lösungen aufgespürt zu werden. Sobald sie dann ins Unternehmen eingedrungen sind, nutzen sie Keylogger Software und knacken Kennwort-Hashes, um an legitime Login-Daten zu gelangen. Wenn sie dies geschafft haben, bewegen sie sich ungehemmt und unentdeckt in den Netzwerken der betroffenen Unternehmen bis sie die gewünschten, vertraulichen Daten gefunden haben. Soweit die schlechten Nachrichten.

Bevor Sie die weiße Flagge hissen, sollten Sie allerdings eine unvermeidbare Schwachstelle dieser komplexen Threats nutzen, um die Angreifer zu schnappen: Die Tatsache, dass die Handlungen dieser Angreifer abnormal sind und sich von dem Verhalten, das man von einem durchschnittlichen Nutzer erwartet, unterscheiden. Wenn Sie diese Abweichungen entdecken, können Sie auch die Angreifer aufspüren und besiegen.

Um Abweichungen von den normalen Abläufen im Unternehmensnetzwerk zu finden, müssen Sie zunächst die Möglichkeit haben, Maschinen- und Logdaten aus Ihrer IT-Infrastruktur zu sammeln. Es ist entscheidend, dass diese Maschinendaten nicht nur aus sicherheitsrelevanten Quellen, wie Firewalls und Anti-Malware, sondern auch anderen Ressourcen, wie Windows Event-, Web- und E-Mail-Logs und DNS stammen. Dort finden sich die kleinteiligen Spuren von Advanced Threats meistens. All diese Daten können zusammen pro Tag Terabytes ausmachen und passen in die Definition „Big Data“: Daten von solcher Vielfalt, Geschwindigkeit und Größe, dass sie gewöhnliche Datenspeicher überfordern.

Des Weiteren müssen Sie in der Lage sein, in Echtzeit fortgeschrittene Korrelationen und statistische Analysen mit diesen massiven Datenvolumen zu erstellen. So sind Sie in der Lage den Zusammenhang zwischen einzelnen Ereignissen herzustellen. Auch die kleinsten Spuren, die ein Advanced Threat versteckt in einem Meer aus scheinbar harmlosen Event-Daten hinterlässt, können Sie auf diese Weise finden.

Aber wie sieht eine Anomalität in Maschinendaten aus, die auf einen Advanced Threat hinweist? Es gibt keine magische Liste der Bedrohungsmuster. Sicherheitsverantwortliche müssen denken wie Kriminelle und kreativ sein, um das böswillige Verhalten zu identifizieren. Ein mögliches Muster kann ein Mitarbeiter sein, der eine externe E-Mail von einer Sender-Domain erhält, die das Unternehmen bisher selten angeschrieben hat. Daraufhin läuft auf dem Laptop des Mitarbeiters ein zuvor wenige Male vorgekommener Service oder Prozess ab. Diese Ereignisse über eine begrenzte Zeitspanne hinweg, deuten darauf hin, dass der Mitarbeiter eine Spear Phishing Mail erhalten haben könnte. Oder er hat einen Link zu einer Website angeklickt, der gewöhnliche Malware enthielt, die daraufhin auf seinem Computer installiert wurde.

In der Vergangenheit waren traditionelle Security Information and Event Management (SIEM)-Lösungen nicht in der Lage, die massiven Datenmengen, von denen hier die Rede ist, zu sammeln und miteinander zu korrelieren. Ihr festes Schema, SQL-Datenbanken und physische Appliances begrenzten stark, wie viel sie indexieren und wie schnell sie suchen und Reports erstellen konnten.

In den vergangenen Jahren haben sich Big Data-Sicherheitsplattformen als neue Waffe für fortschrittlich denkende Unternehmen entwickelt, um Advanced Threats aufzudecken. Diese Systeme sind in der Lage über 100 Terabyte pro Tag zu verarbeiten und alle Arten von Maschinendaten aufzunehmen, ohne Datenreduktion oder –normalisierung. Des Weiteren nutzen diese Big Data-Plattformen auch Distributed Search für schnelles Suchen in Echtzeit sowie Statistik, Mathematik und Baselining, um Anomalien und Abweichungen aufzudecken. Unternehmen können die Kapazitäten dieser Plattformen horizontal über gewöhnliche Hardware skalieren. Splunk und Hadoop sind die zwei führenden Technologien in diesem Bereich.

Die Besonderheit von Splunk ist, dass der Anwender aufgrund der Big Data-Architektur jegliche Art von strukturierten und unstrukturierten Maschinen- oder Logdaten indexieren kann – ohne Datenreduktion oder –normalisierung. Abteilungen, wie IT-Sicherheit oder andere lT-bezogene Einheiten, erhalten auf all diese Rohdaten Zugriff. Sie können diese flexibel und in Echtzeit durchsuchen sowie aus ihnen Reports erstellen. Die Splunk-Plattform kann für eine ganze Bandbreite weiterer Sicherheitsanwendungen eingesetzt werden: Untersuchung von Vorfällen, forensische Analysen, Security und Compliance Reporting, Betrugserkennung und viele mehr. Durch die Übernahme von Caspida vor kurzem, ermöglicht Splunk Unternehmen nun zusätzlich die Analyse ihrer Maschinendaten mithilfe von Verhaltens-Analytics. Mit dieser Technologie können die Anwender schnell und Out-of-the-Box Insider Threats sowie externen Cyberattacken und versteckten Bedrohungen auf die Spur kommen.

Es gibt zwar keinen Weg zur Erkennung von Advanced Threats, bei dem man nur einen Knopf drücken muss. Dennoch stellt die Analyse von Big Data eine sehr überzeugende Art und Weise dar, den Ausgang von Cyberkriegen positiv zu beeinflussen.

IT-Awards 2015: Splunk ist nominiert in der Kategorie Security Information & Management

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43536211 / Intrusion-Detection und -Prevention)