Security Intelligence

Große Datenmengen, große Sicherheit?

07.03.2013
Uli Ries ist freier Journalist in München.
Nicht nur die Opfer von kriminellen Hackern haben es gemerkt. Auch die Hersteller von IT-Sicherheitsprodukten sind aufgewacht: Herkömmliche Schutzkonzepte aus Firewall, Antivirensoftware und IPS/IDS wehren halbwegs versierte Angreifer nicht ab. Hilfe versprechen sich alle Beteiligten von der Analyse riesiger Datenmengen.

Wer es zuvor noch nicht mitbekommen hatte, dem wurde es spätestens auf der kürzlich zu Ende gegangenen RSA Conference 2013 deutlich: Die Großen der Branche setzen auf Big Data, um den Sicherheitsbedrohungen Herr zu werden. Die bei halbwegs gezielt gerittenen Attacken auf Netzwerke verwendeten Schädlinge rauschen unter dem Radar der Antivirensoftware ins Netz, infizieren dort Rechner und bleiben lange Zeit unentdeckt. Wie Nicholas Perocco, Leiter der Spider Labs von Trustwave, im Gespräch mit der COMPUTERWOCHE erklärte, entdecken im Schnitt lediglich fünf Prozent aller angegriffenen Unternehmen in weniger als zehn Tagen eine Attacke. Die meisten Opfer finden erst zwei oder drei Jahre nach der Infektion heraus, dass es ein Datenleck gab.

RSA-Chairman Art Coviello präsentierte auf der RSA Conference den neuen Ansatz der Security-Branche, aus Datenanalyse bessere Schutzmechanismen abzuleiten.
RSA-Chairman Art Coviello präsentierte auf der RSA Conference den neuen Ansatz der Security-Branche, aus Datenanalyse bessere Schutzmechanismen abzuleiten.
Foto: Uli Ries

Die Analyse riesiger (vorhandener) Datenbestände soll diese geräuschlosen Angriffe spätestens dann ausfindig machen, wenn die Schädlinge Daten aus dem Unternehmensnetz an Hintermänner senden – und so das Zeitfenster zwischen Infektion und Entdeckung verkleinern. Nicht zuletzt RSA will IT-Sicherheitsspezialisten in Unternehmen mit seiner neuen Security Analytics Unified Platform das notwendige Werkzeug an die Hand geben, um die verdächtigen Datenströme im Wust des sekündlich erzeugten Datenverkehrs auszumachen.

"Neue Techniken sorgen dafür, dass die Anzahl der Systeme, die Loginformationen liefern, stetig steigt. Die Menge an Daten, die somit aus den diversen Logdateien hervorgeht, überfordert selbst IT-Sicherheitsspezialisten. Man kann mit diesen Daten Compliance-Anforderungen erfüllen, aber zum zeitnahen Aufspüren von komplexen IT-Sicherheitsvorfällen sind andere Techniken als die heute verwendeten SIEM-Lösungen notwendig“, sagt Ralph Salomon, CISO der SAP AG.

Fit mit neuen Engines

SAP nutzt seit zwei Jahren die Envision-Plattform von RSA, quasi den Vorläufer der kürzlich vorgestellten Analytics-Plattform. Salomon ist überzeugt von der Leistungsfähigkeit einer solchen Lösung. Anders als bislang bekannte Tools wie SIEM (Security Information and Event Management)-Lösungen setzen Big-Data-Analytics-Anwendungen nicht auf herkömmliche tabellenbasierte Datenbanken, in denen die Logfiles landen.

Laut Eddie Schwartz, CISO von RSA, basieren Big-Data-Sicherheitslösungen auf speziell für diesen Zweck entwickelten Event Processing Engines. Diese sind erheblich schneller als gewöhnliche Datenbanken. So könne man beispielsweise erstmals in Echtzeit sämtliche Kommunikation zwischen Layer 2 (Data Link Layer, Sicherungsschicht) und Layer 7 (Application Layer, Anwendungsschicht) erfassen und auswerten.

Hersteller wie IBM stellen sich eine Security-Zukunft aufbauend auf Big Data vor.
Hersteller wie IBM stellen sich eine Security-Zukunft aufbauend auf Big Data vor.
Foto: IBM

In der Praxis bedeutet das, dass Big-Data-Analytics-Systeme nicht ausschließlich auf Logdateien angewiesen sind. Im Fall der RSA-Lösung wird zudem der Netzwerkverkehr auf Paketebene erfasst und in Korrelation mit den Logfiles analysiert. Nir Zuk, Gründer von Firewall-Hersteller Palo Alto Networks sieht die Kombination dieser Datenquellen auch als zwingend notwendig an. Er sagt: „Bislang hat mir noch kein Hersteller von Tools zur Loganalyse eine bis dato unbekannte Attacke aufzeigen können, die nur auf Basis von Log-Dateien entdeckt worden wäre. Dieser Ansatz funktioniert nur mit bereits bekannten Angriffsmustern.“

Die wahrscheinlich wichtigste Datenquelle beim Kampf gegen neue Bedrohungen findet sich wahrscheinlich in der Cloud: Damit die neuen Analysetools bislang unbekannte Gefahren überhaupt als solche erkennen, müssen externe Quellen angezapft werden. Anbieter solcher Threat Intelligence-Quellen sind beispielsweise Bit9, iSEC Partners oder Symantec. Kunden, die ihre Systeme vollautomatisch mit aktuellen Bedrohungsinformationen versorgen wollen, können die Ströme abonnieren. Ohne die optimierten Analysefunktionen, die in aller Regel auf dem für Big Data ausgelegten Framework Apacha Hadoop basieren, wäre eine solche Menge an kombinierten Daten nicht in vertretbarer Zeit auszuwerten.

Auch unbekannte Bedrohungen finden

Durch die immer weiter gesunkenen Speicherkosten ist es inzwischen zudem möglich, die zuvor erfassten Daten in einem eigenen Data Warehouse längere Zeit aufzuheben. Solange das eben die Datenschutzbestimmungen des jeweiligen Landes erlauben. Der Vorteil des Speicherns: Die IT-Sicherheitsfachleute können auch zurückliegende Ereignisse unter die Lupe nehmen. Schlägt das System plötzlich Alarm und weist auf eine bislang nicht bekannte Gefahr hin, kann mit Hilfe der Datenbestände unter Umständen festgemacht werden, wann der Einbruch passierte und welche Rechner noch vom gleichen Schädling infiziert wurden.

Security-Analyse-Tools wie Splunk helfen, Daten besser auf Sicherheitsrisiken hin eruieren zu können.
Security-Analyse-Tools wie Splunk helfen, Daten besser auf Sicherheitsrisiken hin eruieren zu können.
Foto: Splunk

Anders als SIEM sollen Big-Data-Analytics-Lösungen auch bislang unbekannte Gefahren lokalisieren können. Malware-Signaturen spielen eine untergeordnete Rolle. Stattdessen spricht beispielsweise Symantec davon, dass die Lösung des Unternehmens Abweichungen vom Normalzustand des Netzwerks erkennt und daraufhin Alarm schlägt. Zu einen bestimmten Zeitpunkt definieren Spezialisten, was „normal“ ist. Dazu gehört beispielsweise eine Liste der üblicherweise verwendeten Anwendungen, die Kernarbeitszeiten oder die Orte, von denen aus einzelne Mitarbeiter ihrer Tätigkeit nachgehen.

Nir Zuk sieht in diesem Vorgehen wenig Sinn. Im Gespräch sagte er: „Ich bezweifle, dass das Erkennen von Angriffen auf Basis einer voran gegangenen Normalisierung etwas bringt. Noch nicht einmal in einem Privathaushalt lässt sich der Normalzustand des Netzwerkes treffsicher feststellen.“

Sein Unternehmen setzt daher auf eine andere Form der Big-Data-Analyse: Produkte von Palo Alto Networks (PAN) erfassen jegliche Dateien – Office-Dokumente, Videoclips, PDF-Files, ausführbare Programme und so weiter – in den Netzwerken der Kunden und leiten sie an PAN weiter. Vorausgesetzt, der Kunde hat zuvor zugestimmt. Zuk sagt, dass die meisten der PAN-Kunden keine Probleme damit hätten, solange sich der Transfer auf ausführbare Programme beziehungsweise DLL-Dateien beschränkt.

"Nichts geht mehr" bei Gefahr

Im PAN-Rechenzentrum werden die Files dann mindestens einmal eingehend analysiert. Ausführbare Dateien werden in einer Sandbox gestartet und anschließend beobachtet. Alle eventuell aufgebauten Netzwerkverbindungen gen Internet und sämtliche DNS-Abfragen, die die Programmen tätigen, werden erfasst und protokolliert. Erscheint irgendein Teil der Kommunikation verdächtig, informiert der Cloud-Dienst von PAN sofort alle bei Kunden installierten Geräte. Je nachdem, wie weit der jeweilige Kunde seine Firewall automatisiert hat, unterbricht diese nach Eingang der Warnung sofort sämtlichen Datenverkehr, der dem ermittelten Muster entspricht. Laut Nir Zuk vergehen zwischen 30 und 60 Minuten, bis nach dem erstmaligen Auftauchen eines bislang unbekannten Files alle Kundensysteme gegen dessen bösartiges Verhalten geschützt sind.

So leistungsfähig Big-Data-Lösungen aber auch sein mögen, sie stellen ihre Anwender vor ein Problem: Der Umgang mit solchen Hochleistungslösungen bedarf hochspezialisierter Experten. Nicholas Perocco bezweifelt, dass der Löwenanteil der mittelgroßen Unternehmen mit Big-Data-Analytics gut bedient ist. Er rät eher zu einem Managed Service. Auch RSA-Mann Eddie Schwartz sieht die Problematik des Mangels an qualifiziertem Personal. Service Provider, die im Auftrag der Kunden die Analysen sichten, könnten den Engpass seiner Meinung nach gut ausgleichen. (sh)