Inzwischen arbeitet Winter als Managing Director für die Chertoff Group. Und er hatte ein paar durchaus knackige Aussagen im Keynote-Gepäck. Vor allem die, dass die meisten Unternehmen längst noch nicht so weit sind, dass sie Tools wie Splunk im Verbund mit Big Data im Security-Umfeld als wirksame Waffe gegen Angreifer jedweder Couleur einsetzen könnten.
Oft mangele es nämlich noch an den einfachsten Grundprinzipien des nötigen Risk Managements - Firmen müssten zunächst einmal erkennen, was ihre "Kronjuwelen" seien, sprich welche ihrer Assets die wichtigsten und damit schützenswertesten seien. "It´s amazing how many people still don't get it", konstatierte Winter.
Die Wirklichkeit sehe heute doch noch so aus, dass selbst große Fortune-100-Unternehmen oft erst nach Monaten ("Dwell time to the max") erführen, dass ihre IT-Systeme kompromittiert worden seien. Und das stellten sie oftmals auch nicht einmal selbst fest, sondern würden von Dritten davon in Kenntnis gesetzt.
Nicht Tools, sondern Prozesse entscheiden
Statt bei Tools müssten viele Firmen also zunächst einmal viel grundlegender ansetzen, beim Risk Management und der Governance nämlich. Man brauche Prozesse und Standards zum Schutz der als geschäftskritisch identifizierten Assets, müsse diese ständig durch Audits und Kenngrößen überprüfen ("Inspect, don't just expect") und benötige Regieanweisungen, um planmäßig auf Notfälle zu reagieren.
Dann erst könne ein Tool wie Splunk ins Security-Spiel kommen und wertvolle Dienste leisten. Es schaffe nämlich operationale Transparenz. "Was Sie nicht sehen können, das können Sie auch nicht schützen", so Experte Winter. An den dafür grundlegenden Daten mangele es gewiss nicht: "It´s all here, folks." Splunk sei in puncto Geschwindigkeit, Flexibilität und Vielseitigkeit kaum zu übertreffen. "Die Zukunft gehört Euch, Ihr müsst sie nur in die Hand nehmen", gab der Sicherheits-Experte den Entwicklern und Anwendern im Keynote-Publikum mit auf den Weg.
Im abschließenden Q&A erklärte Prescott Winter dann noch, er glaube nicht an Security by Obscurity (die "bad guys" hätten immer mehr Zeit als die "Guten" im eigenen Unternehmen), Sicherheit vs. Datenschutz sei ein ausgesprochen delikater Balanceakt mit regional / international teilweise sehr unterschiedlichen Ausprägungen (explizit erwähnte Winter Deutschland und seine Betriebsräte / Mitbestimmungspflicht) und last but, not least dass große (Public-)Cloud-Anbieter mit Expertise und Erfahrung in puncto Sicherheit eigentlich immer mehr leisten könnten als ein einzelnes Unternehmen.
Splunk, das an sich generische Tool zur Analyse von maschinengenerierten Big Data, wird mittlerweile zunehmend auch im Sicherheitsbereich verwendet. Nach eigenen Angaben entfallen inzwischen 30 Prozent der Splunk-Erlöse auf dieses Geschäftsfeld. Splunk bietet hier die eigene Erweiterung "App for Enterprise Security" an; daneben gibt es bereits mehr als 80 Apps von Partnern und Drittanbietern. 18 der insgesamt mehr als 130 Vorträge auf der .conf beschäftigen sich ganz dediziert mit Security-Themen und -Use-Cases.
Weitere Neuigkeiten von der .conf 2013
In der ersten Keynote am Vormittag ging es schwerpunktmäßig um das neue Release "Splunk Enterprise 6". Die verschiedenen Vortragenden rund um Splunk-Chef Godfrey Sullivan hatten aber auch noch eine Reihe weiterer Neuigkeiten anzukündigen:
-
Ein ODBC-Treiber für Splunk ist als Beta-Version verfügbar, um auch Daten aus klassischen SQL-Quellen einzubinden.
-
Die Splunk-App für Unix steht ab sofort zum Download zur Verfügung.
-
Splunk Storm, das bei Amazon Web Services gehostete Splunk Enterprise, wird kostenlos; der inkludierte Speicherplatz steigt dabei von 1 auf 20 Gigabyte.
-
Für produktive Cloud-Deployments gibt es künftig "Splunk Cloud", zunächst auf AWS, weitere Anbieter sollen folgen. (sh)
- Oracle Audit Vault
Oracle hat neben den in der Datenbank integrierten Sicherheitsfunktionen mit „Audit Vault and Database Firewall“ eine Security-Suite im Programm, die zunehmend als produkt- und herstellerübergreifende Lösung positioniert wird. Die im vergangenen Dezember als Software-Appliance vorgestellte Kombination sammelt Audit- und Log-Daten von verschiedenen Datenbanken. Neben den Oracle-Produkten werden auch IBM DB2, Microsofts SQL Server, SAPs Sybase ASE und MySQL unterstützt. - IBM InfoSphere Guardium
Mit „InfoSphere Guardium“ verspricht der IBM seinen Kunden Echtzeit-Monitoring sowie ein automatisiertes Compliance-Reporting für Hadoop-basierte Systeme wie Cloudera und das IBM-eigene "InfoSphere BigInsights". - Hewlett-Packard ArcSight
Als zentrale Komponente liefert der "Arc- Sight Enterprise Security Manager" (ESM) ein komplettes Set an Überwachungsfunktionen. Mit dem "Application Security Monitor" sollen sich auch Anwendungen in die Sicherheitsarchitektur einbinden lassen. - McAfee NitroSecurity
Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM). - RSA (EMC) enVision/NetWitness
Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log- Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können. - Symantec SSIM
Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten. - Splunk
Der Anbieter baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit- Monitoring einrichten. - Packetloop
Packetloop hat eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen. - Zettaset
Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren.