Big Data schafft Sicherheit

IT-Daten verraten den Täter

Matthias Maier ist Senior Product Marketing Manager bei Splunk und fungiert als Technical Evangelist in der EMEA-Region. Er arbeitet eng mit Kunden zusammen und hilft ihnen zu verstehen, wie Maschinendaten neue Einblicke in die Bereiche Anwendungsbereitstellung, Business Analytics, IT Operations, IoT, Sicherheit und Compliance bieten können. Mit mehr als elf Jahren Erfahrung in der IT schreibt Herr Maier über die Themen Security, Forensik, Incident Investigation und Operational Intelligence.
Bei der Abwehr und Aufklärung von Malware-Attacken auf Unternehmen ergänzt die intelligente Auswertung von unterschiedlichen Datenquellen traditionelle Konzepte.

Die zunehmende Vernetzung unserer Gesellschaft erleichtert Hackern die Wege in Unternehmensnetzwerke. Online-Zahlungssysteme, offene Netzwerke oder Geräte am Point-of-Sale machen Unternehmen anfällig für fortschrittliche Cyberattacken und anhaltende Bedrohungen. Diese können aus den unterschiedlichsten Quellen stammen: von Hacktivisten, Cyberkriminellen, böswilligen Mitarbeitern oder auch Nationalstaaten. Durch schnelle und smarte Angriffe machen sie sich die größten Schätze von Unternehmen, ihre sensiblen Daten, zu eigen oder verschlüsseln diese sogar und starten dann Erpressungsversuche. Dabei bleiben sie von klassischer Sicherheits-Software meist unbemerkt.

Spear-Phishing-Attacken und Social Engineering nutzen menschliche Schwächen gezielt aus, und setzen Security-Software daher schnell außer Gefecht. Selbst starker Perimeterschutz lässt sich so problemlos überwinden. Die Angreifer verlassen sich mittlerweile auf individuell zugeschnittene, sich verändernde Malware und umgehen damit, erkannt zu werden. Einmal im Netzwerk angekommen, nutzen sie Key-Logger und Passwort-Knacker, um sensible Daten ohne Spuren abzugreifen.

Die zunehmende Vernetzung unserer Gesellschaft erleichtert Hackern die Wege in Unternehmensnetzwerke.
Die zunehmende Vernetzung unserer Gesellschaft erleichtert Hackern die Wege in Unternehmensnetzwerke.
Foto: GlebStock - www.shutterstock.com

Vorbereitung ist alles

Es gibt verschiedene Möglichkeiten raffinierte Sicherheitsstrategien zu entwickeln und die Cyberattacken abzuschmettern. Eine davon ist, ungewöhnliche Aktivitäten in einem Netzwerk identifizieren. Zu diesen Aktivitäten zählt alles von der Norm Abweichende, beziehungsweise verdächtiges Verhalten von Nutzern, Rechnern oder IP-Adressen. Wer diese Deviationen und Ausreißer versteht, kann Sicherheitsbedrohungen besser erkennen und bekämpfen.

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

Wenn das Sicherheitsteam eines Unternehmens Maschinendaten und Logs aggregiert, kann sie Ausreißer sichtbar machen. Es hilft also sehr, diese unstrukturierten Maschinendaten zu sammeln. Schließlich enthalten diese alle Ereignisse aus Quellen wie Firewalls, Anti-Malware, Web- oder Email-Logs bis ins kleinste Detail. Werden die Maschinendaten mit einer Plattform indexiert und verfügbar gemacht, lassen sich die in ihnen enthaltenen Informationen entschlüsseln.

Doch was mit den indexierten Daten anstellen? Werden die Daten miteinander korreliert und führt das IT-Team statistische Analysen durch - und das in Echtzeit - lassen sich einzelne Ereignisse miteinander verbinden und kleine Ungereimtheiten aufdecken. Diese können wiederum zu einer hochentwickelten Bedrohung führen, die sonst im Meer der Event-Daten untergegangen wäre. Da die Attacken von ihren Urhebern gestaltet werden, sehen sie stets anders aus und sind schwer als Bedrohung auszumachen.

Denken wir ein Krimineller

Deshalb müssen IT-Sicherheitsteams lernen, wie Cyberkriminelle zu denken und sorgfältig nach bestimmten Mustern Ausschau halten. Manchmal ist dies vergleichsweise einfach: Wenn alle Benutzer eines Systems konkrete Usernamen tragen - etwa nach dem Muster vorname.nachname - so ist es verdächtig, wenn jemand als "admin" eingeloggt ist. Schlägt außerdem die Malwarelösung an oder wandern unverschlüsselte Kreditkarteninformationen von eben diesem Rechner an einen anderen, so ist definitiv etwas faul.

Eine solche Konstellation ist in der Praxis bereits vorgekommen. Mit dem Wissen darüber ist es möglich, eine Vorgehensweise zu entwickeln, mit dem sich ein solcher Datenmissbrauch verhindern lässt. Diese Erkenntnisse lassen sich zugleich für eine historische Analyse nutzen. Mit ihr kann herausgefunden werden, ob weitere Rechner sich mit der externen IP-Adresse des Controll and Command Server verbunden haben.

Andere Unternehmen nutzen das Potenzial von Big Data für die gezielte Abwehr von Spear-Phishing-Angriffen. Dazu werden sämtliche Webseiten, die Angestellte besuchen anonymisiert in einer Datenbank gesammelt. Auch die Domainnamen von E-Mails, die die Firma erreichen, lassen sich auf diese Weise erfassen. In einer dritten Datenbank landen sämtliche Services und die Namen von ausführbaren Dateien, die auf den verschiedenen Unternehmensrechnern laufen.

Auch hier kann durch die geschickte Verknüpfung von Daten ein Angriff verhindert werden. So kam in einem kürzlich aufgeklärten Fall am Tag der Attacke eine E-Mail von einer Domain, mit der nie zuvor Kontakt aufgenommen worden war. Nahezu zeitgleich besuchte der Empfänger dieser E-Mail eine Webseite, die ebenfalls noch nie zuvor aufgerufen wurde. Da zur gleichen Zeit auch noch eine Datei ausgeführt wurde, die ebenfalls nicht in das typische Muster passte, konnte der Angriff ganz klar identifiziert und rechtzeitig abgewehrt werden.

Die Grenzen von SIEM

Es ist also die geschickte Verknüpfung von Daten aus unterschiedlichen Quellen, die zu den interessanten Ergebnissen führt und den Datenklau verhindert. Etwas Ähnliches versprechen Lösungen der Kategorie Security Information and Event Maangement (SIEM). Allerdings können diese Systeme die anfallenden Datenmassen nicht aggregieren und korrelieren. Zudem sind ihnen durch die starren Strukturen von SQL-Datenbanken und den Beschränkungen der Appliance-Hardware strickte Grenzen gesetzt. Auch in Sachen Flexibilität bei Suche und Reporting überzeugen diese Systeme nicht und scheitern bei komplexeren Korrelationen und Analysen. Diese Einschränkungen gelten erst recht, wenn es um vielschichte Angriffe auf mehreren Ebenen geht, bei denen zum Beispiel auch Punkte wie Social Engineering eine Rolle spielen.

Big-Data-Security-Plattformen dagegen können solche Bedrohungen sehr früh erkennen. So sind diese Systeme mühelos in der Lage, 100 Terabyte Daten pro Tag aus allen Arten von Systemen zu konsolidieren und zu verarbeiten. Dabei gibt es keine Limits wie bei SQL oder anderen unflexiblen Standards. Zudem sind schnelle Suchen in Echtzeit möglich und mit Hilfe von komplexen statistischen und mathematischen Operationen können Anomalien und Abweichungen sehr schnell erfasst werden. Diese Systeme lassen sich außerdem unkompliziert horizontal skalieren und um weitere Lösungen zur Indexierung erweitern. Außerdem laufen sie auf jedem handelsüblichen PC oder in der Cloud.

Analyseplattformen dieser Art werden darüber hinaus mittlerweile auch in vielen verwandten Bereichen genutzt. So können sie in der forensischen Untersuchung bei IT-Vorfällen helfen und kommen bei der Betrugserkennung und Verfolgung zum Einsatz. Mit all den historischen Daten in diesen Plattformen ist eine Wiederverwendung außerhalb des Sicherheitsbereichs für Zwecke im IT-Betrieb sowie im Applikationsmanagement eine logische Schlussfolgerung.

Das Thema Big Data spielt künftig also auch auf dem Gebiet der Sicherheit eine immer größere Rolle. Die intelligente Verknüpfung von Informationen und die schnelle, flexible Auswertung ermöglichen wertvolle Einblicke in komplexe IT-Systeme. Somit lassen sich Angriffe wirkungsvoll abwehren und IT-Anwendungen können noch besser abgesichert werden. (sh)