Mehr Sicherheit per Datendrehscheibe Security und Datenschutz mit Data Gateways

Von Christoph Dittmann

In der modernen Informationssicherheit und im technischen Datenschutz spielt die Abwehr bereits laufender Angriffe eine immer größere Rolle. Wenn die zur Erkennung von schädlichen Aktivitäten eingesetzten Monitoring-Werkzeuge Alarm schlagen, müssen die Security-Teams die Lage und die Risiken schnell einschätzen können, um gezielt einzugreifen. Dies gelingt umso besser, je besser sie den Kontext durchschauen. Data Gateways bieten eine Möglichkeit, die dafür benötigten Informationen in geeigneter Form bereitzustellen.

Firmen zum Thema

Data Gateways erleichtern in modernen, digitalisierten Unternehmen fast beliebige Formen von Daten-Analysen, was vor allem im Bereich der Sicherheit zu besseren Ergebnissen führt.
Data Gateways erleichtern in modernen, digitalisierten Unternehmen fast beliebige Formen von Daten-Analysen, was vor allem im Bereich der Sicherheit zu besseren Ergebnissen führt.
(© Elnur - stock.adobe.com)

Zu den spannendsten, aber auch buchstäblich nervenaufreibendsten Aufgaben in der modernen Cyber-Sicherheit gehört die Arbeit im Security Operations Center (SOC). Die Analysten dort beobachten – von Werkzeugen wie den Security-Information-und-Event-Management-Systemen (SIEM) unterstützt – das Geschehen im Netz und suchen nach Anzeichen für möglicherweise bereits laufende Angriffe. Ihre wirksamste Waffe dabei ist ein gewisser Grad an Automatisierung – so hilft die von ihnen genutzte SIEM-Software etwa dabei, verräterische Einzelereignisse in der IT-Umgebung in Beziehung zu setzen (sie zu „korrelieren“) und auf diese Weise typische Vorgehensweisen aufzudecken, die ein Angreifer bei einer Attacke auf eine bestimmte Art von Informationen gewöhnlich an den Tag legt.

Stochern im Nebel

Das alles klingt plausibel und ist im Grunde bereits ein gut funktionierender Einsatzbereich einfacher künstlicher Intelligenz. Der Ansatz scheitert aber oft an einem auf den ersten Blick nebensächlichen Aspekt: Fehlender Kontext-Information. Die „Asset“-Listen vieler Unternehmen enthalten kaum mehr als die IP-Adressen von Servern und anderen Systemen und ein paar wenige technische Daten. Risikowerte für die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität sind ebenso wenig erfasst wie nähere Beschreibungen der Informationsbestände, Server und Anwendungen.

Ist dies der Fall, läuft die oben beschriebene Technik der automatisierten Angriffserkennung ins Leere. Der Grund: Um beispielsweise das Muster einer bekannten Angriffsstrategie auf eine Datenbank wiederzuerkennen, die häufig Kreditkartendaten verwaltet, muss das Detektionssystem beim Kunden wissen, dass solch eine Datenbank im eigenen Netz existiert, dass sie tatsächlich Kreditkartendaten enthält und welche weiteren Systeme mit ihr so verknüpft sind, dass ein Angreifer sie zum Beispiel als Sprungbrett nutzen könnte. Findet es diese Informationen nicht, können die hochentwickelten Korrelations-Engines nur im Nebel stochern, und eine gezielte Use-Case-Entwicklung („Was will oder muss ich erkennen?“) wird erschwert oder ist gar nicht möglich.

Dauerbaustelle „Asset-Inventory“

Kontext-Informationen sind also wertvoll – warum stehen sie dann so selten zur Verfügung?

Zunächst einmal müssen zum Füllen der entsprechenden Datenbanken viele Abteilungen in einem Unternehmen zusammenarbeiten und sich verpflichten, die Informationsbestände aktuell zu halten. Darüber hinaus fehlt es zuweilen auch an geeigneten Werkzeugen, um die Daten zu erfassen. Manche CMDBs sind gar nicht darauf ausgelegt, auch sicherheitsrelevante Informationen aufzunehmen, oder sie müssen dazu erst erweitert werden. Hinzu kommt, dass fast immer mehrere und ganz unterschiedliche Interessengruppen in einer Organisation ihren Nutzen aus einer Asset-Datenbank ziehen wollen, was zu einem Streit um die personellen IT-Ressourcen führen kann und die Entscheidungs- und Designprozesse in die Länge zieht. Der Aufbau entsprechender Repositories gerät deshalb oft zu langen, zuweilen auch immer wieder die „Lange Bank“ geschobenen Projekten.

Helfen könnten sich Security und Datenschutz aus dieser Misere mit einem anderen Modell: Der Implementierung eines Data Gateways, das sicherheitsrelevante Informationen – vor allem Log-Daten – mit Kontext-Informationen anreichert. Um dieses Prinzip erläutern zu können, sei zunächst ein genauerer Blick auf ein typisches Produkt dieser Art erlaubt.

Data Gateways als Informationsmanagement-Tools

Das Gateway des Herstellers Cribl sammelt Daten einzelner Quellen in einem Netzwerk ein, reicht sie an unterschiedliche Empfänger weiter und modelliert die Datensätze oder Informationseinheiten dabei regelbasiert je nach Kommunikationsbeziehung und Informationsbedarf.

Folgende Funktionen stehen im Einzelnen zur Verfügung:

  • Zentrales und Event-basiertes Routing: Das Data Gateway leitet Events zum Beispiel anhand inhaltlicher Merkmale an unterschiedliche Zielsysteme weiter. Dies würde es zum Beispiel erlauben, bestimmte Security-relevante Daten ans SOC zu leiten und andere an die technischen Spezialisten für das System – sinnvoll etwa bei Produktionsanlagen.
  • Reduktion des Datenvolumens: Das Data Gateway entfernt leere und optionale oder vom Zielsystem nicht benötigte Felder, entlastet damit das Netz und erhöht den Durchsatz bei der Verarbeitung.
  • Verschlüsselung: Das Data Gateway verschlüsselt auf Wunsch personenbezogene Daten in Logs, um Anforderungen etwa der DSGVO oder von Normen wie PCI DSS zu erfüllen. Erst im Verdachtsfall wird ein Zugriff auf die Entschlüsselung gewährt. Oft wird im europäischen Raum erst durch diesen Trick die automatisierte Analyse bestimmter Datentypen überhaupt möglich.
  • Anreicherung: Das Data Gateway liefert die oben beschriebenen Kontext-Informationen oder andere Zusatzdaten und trägt dazu bei, Fehler und Abweichungen in den Analysen zu vermeiden, die durch voneinander abweichende Informationsstände und Zugriffsmethoden entstehen. Um ein ganz einfaches Beispiel zu nennen: Logs eines als kritisch eingestuften Systems könnten um genau diese Information angereichert werden, bevor sie zum SIEM gelangen, so dass das SOC-Werkzeug Warnungen aus der entsprechenden Quelle automatisch eine höhere Priorität zuweisen kann.

Mit diesen Funktionen und vor allem der Anreicherungs-Option wird das Data Gateway zu einem vollwertigen Ersatz oder mindestens Workaround, der das Manko einer fehlenden Asset-Datenbank mit Security-relevanten Informationen ausgleichen kann. Aussagekräftige Zusatzinformationen, die den Teams im SOC helfen, lassen sich hier vergleichsweise leicht, in überschaubaren und priorisierten Projekten und unter der Regie der zuständigen Teams einfügen. Dies entlastet die Anwender ganz nebenbei auch von der schwierigen Aufgabe, eine Aufbesserung des Informationsflusses entweder direkt durch Rekonfiguration der Log-Produktion an den Datenquellen oder durch Manipulationen an den Monitoring-Systemen wie etwa den SIEM-Systemen vornehmen zu müssen.

Unabhängigkeit von Endsystem-Anbietern

So ist es beispielsweise durchaus nicht immer möglich, den Output an Log-Dateien einer Anwendung oder – noch schwieriger – einer Produktionsmaschine so zu modifizieren, dass er sich den Security-Bedürfnissen anpasst. Außerdem ist dies auch nicht immer erwünscht, denn die gleichen Logs werden ja auch von anderen Empfängern benötigt, etwa um die Zuverlässigkeit oder Auslastung messen zu können. Und nicht jeder SIEM-Hersteller oder Managed Service greift auf Zuruf gern und schnell in die Logik seiner Produkte ein – Funktionsergänzungen etwa erfordern oft präzise formulierte Feature-Requests und dann viel Geduld beim Warten auf die Umsetzung.

Mit einer spezialisierten „Datendrehscheibe“ in Form eine Data Gateways lassen sich also gleich mehrere typische Herausforderungen einer auf Security zielenden Datenanalyse meistern.

Stellschrauben für Data Lakes und Data Warehouses

Hinzu kommt, dass ein Data Gateway diverse Möglichkeiten bietet, zwischen den Prinzipien „Data Lake“ und „Data Warehouse“ zu vermitteln.

Hinter dem „Data Lake“-Konzept steckt ein Modell, bei dem nahezu alle Rohdaten eines Unternehmens in einem großen Repository gesammelt werden, so dass auf lange Sicht auch alle nur denkbaren Auswertungen daraus gezogen werden können – auch solche, die zum Zeitpunkt der Datensammlung noch gar nicht absehbar sind.

Die Anwendung dieses Prinzips hat allerdings Grenzen, wenn Informationen ins Spiel kommen, für die Compliance-Vorschriften gelten. Personenbezogene Daten etwa, die in Log-Daten durchaus einmal enthalten sein könnten, müssen vor der Abspeicherung in vielen Fällen erst einmal verschlüsselt oder maskiert werden. Diese Aufgabe könnte das Data Gateway übernehmen und sicherstellen, dass gesetzliche Anforderungen an die Absicherung bestimmter Datentypen auf jeden Fall angewendet werden, gleich wie die Aufbewahrung und die weitere Verarbeitung später gestaltet sein mögen. Auswertungsteams können so tendenziell von der Sorge entlastet werden, aus Versehen mit neuen Analyseansätzen den Ausgangspunkt für Datenpannen zu liefern.

Das Umgekehrte gilt, wenn von vornherein absehbar ist, dass es bestimmter Daten-Output ohne zumindest minimale Anreicherungen gar nicht wert ist, abgelegt zu werden. Dies gilt zum Beispiel für viele Logs, die aus Produktionsumgebungen stammen und eigentlich nur für die Fehlerbehebung durch Produktspezialisten des Herstellers gedacht waren, in einer modernen Umgebung aber plötzlich statistischen Wert bekommen oder im Sicherheits-Kontext Aufschlüsse bei forensischen Untersuchungen bieten können.

Fazit

Data Gateways erleichtern in modernen, digitalisierten Unternehmen fast beliebige Formen von Daten-Analysen. Sie verringern die Komplexität der Kommunikationsbeziehungen zwischen Anwendungen und Maschinen deutlich, was vor allem im Bereich der Sicherheit zu besseren Ergebnissen führt.

Über den Autor: Christoph Dittmann ist Head of Data Solution Services bei LC Systems.

(ID:47904451)