IT-Sicherheit im Unternehmen

Big Data soll es richten

28.02.2013 von Uli Ries

Die RSA Conference 2013 rückte das Hype-Thema Big Data in den Mittelpunkt. Es ging dabei aber nicht um den Schutz großer Datenmengen. Vielmehr sollen sich die riesigen Log-Datenbestände mit Big-Data-Analysemethoden schneller und besser auswerten lassen. Kunden wie SAP bestätigen, dass die Anbieter auf dem richtigen Weg sind.

Für RSA-Chairman Art Coviello ist die Sache klar: "Das kontinuierliche Auswerten von Big Data ermöglicht automatische Sicherheitsinstrumente, die bisher nicht gekannten Schutz bieten", sagte er während seiner Eröffnungsrede der RSA Conference 2013. Vor allem gegen die oftmals als Advanced Persistent Threats bezeichneten Angriffe soll das Auswerten großer Datenmengen helfen. Denn die bei diesen Angriffen verwendeten Schädlinge lassen sich nicht von Antivirensoftware, Firewalls oder Intrusion Prevention/Detection-Systemen stoppen.

Security Analytics

RSA-Chairman Art Coviello erkennt in Big- Data-Analysewerkzeugen einen neuen Ansatz für die IT-Security.
Foto: Uli Ries

Lösungen wie das von RSA im Rahmen der Konferenz vorgestellte Produkt Security Analytics Unified Platform sollen auch solche Attacken sichtbar machen. Die Plattform ist letztendlich eine Mischung aus den vorhandenen Lösungen Produkten Envision (SIEM-Software, Log-Management) und Netwitness (Netzwerkmonitoring). Die zur Plattform gehörenden Netzwerk-Appliances erfassen strukturierte und unstrukturierte Daten im Netzwerk und legen sie zur Analyse in einem eigenen Data Warehouse ab.

Die Analyse ist es, die den Unterschied machen soll. Durch optimierte, aus dem Big-Data-Umfeld bekannte Techniken wie Hadoop sollen sich aus der Datenflut neue Erkenntnisse gewinnen lassen, die zuvor im Strom untergingen.

Ins gleiche Horn stößt auch Symantec. Im Rahmen seiner Keynote beschrieb Symantec-Manager Francis deSouza die "Big Intelligence" getaufte Idee. Big Intelligence kombiniert noch mehr Datenquellen, um IT-Sicherheitsexperten in Unternehmen ein besseres Bild der aktuellen Bedrohungslage zu vermitteln. Diese Kombination aus internen Daten, wie sie beispielsweise von RSAs Plattform ermittelt wird, und externen Bedrohungsinformationen ist in diesem Umfang ein weiteres Novum. Mit den bisher verwendeten Techniken hätten die hereinströmenden Daten nicht sinnvoll ausgewertet werden können. Symantec alleine analysiert täglich zwischen 1,5 und 3 Milliarden Sicherheitsvorfälle weltweit und nimmt alle sechs Stunden 100 Millionen URLs unter die Lupe.

Coviello zufolge sollten sich vollautomatische Systeme in der IT-Sicherheit durchsetzen. Diese Lösungen holen selbstständig anhand vorgegebener Regeln die sicherheitsrelevanten Informationen aus dem Data Warehouse und sie leiten automatisch passende Abwehrmaßnahmen ein.

Oracle Audit Vault
Oracle hat neben den in der Datenbank integrierten Sicherheitsfunktionen mit „Audit Vault and Database Firewall“ eine Security-Suite im Programm, die zunehmend als produkt- und herstellerübergreifende Lösung positioniert wird. Die im vergangenen Dezember als Software-Appliance vorgestellte Kombination sammelt Audit- und Log-Daten von verschiedenen Datenbanken. Neben den Oracle-Produkten werden auch IBM DB2, Microsofts SQL Server, SAPs Sybase ASE und MySQL unterstützt.

IBM InfoSphere Guardium
Mit „InfoSphere Guardium“ verspricht der IBM seinen Kunden Echtzeit-Monitoring sowie ein automatisiertes Compliance-Reporting für Hadoop-basierte Systeme wie Cloudera und das IBM-eigene "InfoSphere BigInsights".

Hewlett-Packard ArcSight
Als zentrale Komponente liefert der "Arc- Sight Enterprise Security Manager" (ESM) ein komplettes Set an Überwachungsfunktionen. Mit dem "Application Security Monitor" sollen sich auch Anwendungen in die Sicherheitsarchitektur einbinden lassen.

McAfee NitroSecurity
Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM).

RSA (EMC) enVision/NetWitness
Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log- Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können.

Symantec SSIM
Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten.

Splunk
Der Anbieter baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit- Monitoring einrichten.

Packetloop
Packetloop hat eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen.

Zettaset
Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren.

SAP bestätigt Erfolge

Dass der Einsatz von Big Data im Umfeld der IT-Sicherheit schon heute Erfolge bringen kann, weiß Ralph Salomon, CISO bei SAP und Anwender von RSAs Envision-Lösung. Im Gespräch mit der COMPUTERWOCHE berichtete Salomon, dass sein Team bereits kurz nach dem Aktivieren von Envision auf weit über 1000 Sicherheitsvorfälle pro Woche - darunter Angriffe von innen und außen, Anwenderfehler oder falsch konfigurierte Infrastrukturkomponenten -im eigenen Netz aufmerksam wurde, die zuvor unbemerkt blieben.

Die Software spielt dabei eine wichtige Rolle - ohne entsprechend geschulte Mitarbeiter ist sie aber sinnlos: "Zwar weist uns die RSA-Lösung selbständig auf mögliche Sicherheitsprobleme hin. Ohne das analytische Verständnis meiner Kollegen, die mit der Software arbeiten, sind die Informationen aber quasi wertlos", sagt Salomon. Entsprechend erfahrene Mitarbeiter zu finden sei nicht leicht, so der CISO weiter. SAP lässt sich deshalb von RSA-Experten unterstützen.

Vom Wechsel auf die neue Security Analytics Unified Platform verspricht sich Salomon einiges: "In ersten internen Tests haben wir im Vergleich zur Envision-Lösung erheblich bessere Antwortzeiten beobachtet. Dieses Mehr an Leistung gibt uns die Möglichkeit, verstärkt externe Datenquellen mit in die Analyse einzubeziehen."

Roger Scheer von RSA erklärt, dass die neue Analyse-Plattform nicht nur für Großunternehmen geeignet sei. Die preiswerten Einstiegsvarianten seien demnach auch für kleine und mittlere Unternehmen interessant. Kunden müssen übrigens nicht zwingend auf RSA-Consulting zurückgreifen. Laut Scheer sei der Umgang mit der RSA-Lösung auch für interne IT-Sicherheitsexperten einfach zu erlernen. (sh)