:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Open-Source-Security-Lösung Apache Metron Mit Apache Metron Big-Data-Projekte schützen
Big-Data-Projekte sind nicht nur für Firmen interessant, sondern auch für Cyberkriminelle. Apache Metron ist ein Open-Source-Projekt für ein Security-Analytics-Framework. Die Lösung besteht aus Modulen zum Parsen, Normalisieren und Anreichern von Daten mit internen und externen Bedrohungsinformationen und soll Big-Data-Projekte vor unbefugtem Zugriff schützen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Die Flut an Informationen, die bei Big-Data-Projekten verarbeitet wird, ist wertvoll – nicht nur für Unternehmen, sondern auch für Cyberkriminelle. Bei einem Einbruch in ein System, das große Datenmengen verarbeitet, können letztere nicht nur einzelne personenbezogene Daten entwenden, sondern sie auch in Korrelation bringen und so Schlüsse für ihre eigenen Zwecke ziehen. Während Angreifer Communities und Online-Marktplätze nutzen, um mit Zugangsdaten und Angriffstools zu handeln, müssen auch Unternehmen eine kollaborative, offene Umgebung schaffen, um gemeinsam intelligente Sicherheitslösungen zu entwickeln, die Big-Data-Projekte vor unbefugtem Zugriff schützen.
Auf dem Markt haben sich hierfür bereits einige Lösungen etabliert beziehungsweise sind dabei, sich zu etablieren – eine davon ist Apache Metron Metron bedient sich der Fähigkeiten von Hadoop für die statischen Aufgaben der forensischen Analyse, um große Datenmengen schneller verarbeiten zu können und konzentriert sich stark auf Streaming-Datenquellen und schnelle Datenverarbeitung. Die Open-Source-Lösung besteht aus Modulen zum Parsen, Normalisieren und Anreichern von Daten mit internen und externen Bedrohungsinformationen und bezieht dabei STIX-Feeds mit ein. STIX (Structured Threat Information eXpression) ist ein Open-Source-Projekt zum Austausch aktueller Bedrohungsinformationen. Zusätzlich nutzt Metron Informationen aus anderen Quellen wie etwa aus Blacklists von indizierten Dateien, autonomen maschinellen Lernalgorithmen oder einer breiten Palette an Ingest-Methoden.
:quality(80)/images.vogel.de/vogelonline/bdb/1226800/1226897/original.jpg "Nach den drei Phasen des „Threat Defense Lifecycle“ von McAfee lassen sich Teile der IT-Sicherheit automatisieren um schnellere Reaktionszeiten zu ermöglichen. (fotohansel - Fotolia)")
Threat Defense Lifecycle
Automatisierter Schutz vor Cyberkriminalität
Dabei können die Algorithmen der Lösung ihre Schlüsse auf verschiedenem Weg ziehen. So prüft Metron etwa Ähnlichkeiten ab, um Zero-Day-Exploits zu erkennen, da deren Muster anderen bereits erfolgten Angriffen ähneln können. Diese Prüfung hilft auch im Hinblick auf die Erkennung zukünftiger, anderer Bedrohungen und führt zur Steigerung der Leistungsfähigkeit.
Die in Metron enthaltenen intelligenten Module beinhalten einen Verhaltens-Profiler. Dieser stellt eine Reihe von Algorithmen zur Modellierung des typischen Verhaltens beziehungsweise zur Erkennung von Anomalien bereit. Außerdem enthält es einen Dienst, den seine Entwickler Model-as-a-Service (MaaS) getauft haben. Dieser ermöglicht die direkte Einbindung maschinell lernender Modelle in Echtzeit-Pipelines.
Für eine übersichtlichere Bedienung sind entsprechende Module für Benutzeroberfläche und Präsentation des Sicherheitsstatus integriert. Dies beinhaltet auch Front Line Alert Triage Dashboards und eine Schnittstelle zu externen Rechnern, auf denen Datenanalysten Apache Spark zur weiteren Analyse von beispielsweise SQL-Datenbanken im großen Maßstab bis hin zu Modellen für das maschinelle Lernen einsetzen können.
Schutz in Echtzeit
Die Metron-Architektur basiert auf einer Echtzeit-Streaming-Plattform, die der Endanwender mit einfachen, erweiterbaren Konfigurationskommandos steuern kann. Im Zentrum des Metron-Projekts steht die Optimierung der Streaming-Pipeline. Die Belastbarkeit von Input, Output und Intermediate Staging erfolgt durch Apache Kafka. Dadurch ist eine effektive Pufferung möglich, die Datenverluste durch Hardwareausfälle verhindert.
Außerdem kann Metron Konfigurationsänderungen in Echtzeit an die Pipeline weitergeben, sodass eine Unterbrechung bei Modifikationen nicht nötig ist. Auf diese Weise können Administratoren etwa Schwellenwerte und die Benachrichtigungs-Regeln umgehen, ohne den Datendurchsatz zu beeinträchtigen. Dies kann beispielsweise bei einem DDoS-Angriff nützlich sein.
:quality(80)/images.vogel.de/vogelonline/bdb/1166400/1166486/original.jpg "Der Autor: Alexander Keidel ist Big Data Consultant bei IT-Novum (IT-Novum)")
Schutz vor Ransomware
5 Schritte, mit denen Sie Ihren Hadoop Cluster sicherer machen
Bereitstellung und Skalierung von Anwendungen
Da Metron auf Systemen wie etwa der Hortonworks Data Platform und dem Hortonworks Data Flow aufbaut, nutzt es viele der hochskalierten Komponenten dieser Plattformen. Alternativ kann Metron auch in einer Cloud-basierten Umgebung laufen, um eine schnelle Skalierung bei flexiblen Anforderungen sicherzustellen. Für die gesamte Bereitstellung und Konfiguration nutzt Metron Apache Ambari. Letzteres stellt ein Installations-, Verwaltungs- und Konfigurationswerkzeug zur Verfügung.
Verschiedene Authentifizierungsmethoden
Metron verwendet Apache Knox zur Prüfung der Zugriffsberechtigung für das Front-End. Deshalb stehen verschiedene kompatible Single-Sign-On- und Enterprise-Authentifizierungsmethoden zur Verfügung. Das beinhaltet beispielsweise Active Directory, Kerberos oder Web-Authentifizierungen wie etwa OAuth. Die Infrastruktur von Metron selbst nutzt hauptsächlich eine Kombination von Managed Config über Apache Ambari und Apache Zookeeper Service Directory, um beispielsweise Instanzen von Machine-Learning-basierten Modellen, die über einem Cluster verteilt sind, zu erfassen.
:quality(80)/images.vogel.de/vogelonline/bdb/1086700/1086706/original.jpg "Viele Cyber-Security-Startups bauen ihre Lösungen auf dem von Apache verwalteten Hadoop-Ökosystem auf und nutzen die Big-Data-Technologie zur Bedrohungserkennung. (Collage - Apache, Pixabay)")
Big Data Security
IoT-Sicherheit auf Basis von Apache Hadoop
Anwendungsfelder
Insgesamt ist Metron aufgrund seiner Dimensionierung für Anwender mit SOC- und Security-Data-Expertise in mittleren bis großen Unternehmen gedacht. Doch auch externe Dienstleister, beispielsweise Managed Security Service Provider (MSSP), nutzen Multi-Tenant-Versionen von Metron. Diese bieten auch kleineren Unternehmen eine Absicherung ihrer Big-Data-Umgebungen.
Gerade im Umfeld des Internet of Things (IoT) erfassen viele Sensoren und kleinere Endgeräte Daten. Eine umfassende dezentrale Absicherung der Daten wäre nicht in jedem Fall machbar und oft nicht im vorgegebenen Projektbudget umsetzbar. Daher verfolgt Metron in solchen Umgebungen einen Netzwerk-zentrierten Ansatz. Es bedient sich intelligenten Edge-Collection-Tools und verhilft Apache NiFi den Zugriff auf IoT-Netzwerke, ohne die einzelnen Geräte in ihrer Funktion zu behindern. Nicht zuletzt sind die Erkennung von Botnets aus IoT-Umgebungen und die Ausbreitung von Infektionen Felder, auf denen Metron besonderen Schutz gewährleisten kann.
Ausblick
Wie jedes Open-Source-Projekt wächst Metron ständig. Mit produktionsreifen Releases und Implementierungen auf der ganzen Welt beginnt es, sich zu einer starken Plattform im Wettstreit gegen die Cyberkriminalität zu entwickeln. Während die Community um das Projekt herum immer größer wird, werden auch komplexere Anwendungsfälle entstehen. Künftige wird Organisationen eine gemeinsame Plattform für Verhaltensprofile, maschinelle Lernmodelle und eine Datenstruktur aus realen Anwendungsfällen anstelle von hypothetischen Standards zur Verfügung stehen.
Über den Autor: Simon Elliston Ball ist Director Product Management, Cyber Security bei Hortonworks.
(ID:45713232)
:quality(80)/images.vogel.de/vogelonline/bdb/1918600/1918641/original.jpg "Der ITK-Channel eilt zur Hilfe, um die Auswirkungen der Log4j-Schwachstellen zu begrenzen. (VanHope_AdobeStock.jpeg)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923707/original.jpg "Cyberkriminalität wird auch 2022 für Unternehmen und Behörden ein zentrales Thema bleiben, weshalb sie ihre Anstrengungen im Bereich IT-Security weiter intensivieren müssen. (©Ar_TH - stock.adobe.com)")