Security Intelligence für Big Data

Denken wie ein Angreifer

01.05.2013 von Olav Strand IDG ExpertenNetzwerk

Obwohl sich die Internetsicherheit in den vergangenen zehn Jahren deutlich weiterentwickelt hat, zwingt die komplexer gewordene Bedrohungslandschaft die Anwender zum Umdenken.

Wer überwacht die kritischen Applikationen?
Foto: fotolia.com/Gina Sanders

Mit den herkömmlichen Tools und Konzepten für IT-Security lassen sich die Gefahren im Cyberspace nicht mehr bewältigen. Traditionelle Perimeter-Verteidigungslinien wie Firewall, Anti-Viren-Software oder ID/IP-Systeme (Intrusion Detection / Prevention) haben sich stets als unzureichend erwiesen; gleiches gilt für den Bereich Security Information & Event Management (SIEM). Letzteres ist insbesondere nicht darauf ausgelegt, große Mengen historischer Daten schnell auszuwerten. Selbstredend hilft der Trichter- oder Reduktionsansatz der SIEM-Technologie dabei, das Datenvolumen zu verringern, das vom Sicherheitsteam zur Erkennung möglicher Angriffe analysiert werden muss. Allerdings nutzen Angreifer es eben gerade häufig aus, dass immer nur ein Teil aller Daten gleichzeitig analysiert werden kann. In großen IT-Unternehmen bestehen zudem trotz SIEM unerwünschte Silo-Strukturen zwischen den verschiedenen Abteilungen nach wie vor. Die Folge: Geschäftskritische Applikationen werden weiterhin von niemandem überwacht.

Datenanalyse

Ein mögliches Tools zur Datenanalyse: Splunk. Damit verschaffen sich Anwender einen Überblick über die aktuelle Sicherheitslage im eigenen Netz.
Foto: Splunk

Weil SIEM-Lösungen nicht dafür entwickelt worden sind, einen lange zurückliegenden Angriff im Licht neuer Informationen zu bewerten, sind neue Sicherheitswerkzeuge für große Datenmengen gefragt. Solche Tools prüfen große Mengen an "normalen" Aktivitätsdaten auf Muster, bei denen eine zeitliche, örtliche oder anderweitige Auffälligkeit besteht. Um diese "Security Intelligence" gewinnbringend einzusetzen, sind darüber hinaus Analyseexperten vonnöten, die sich in die Rolle des Angreifers versetzen, um die Identitäten, Ziele und Methoden potenzieller Gegner zu verstehen.

Oracle Audit Vault
Oracle hat neben den in der Datenbank integrierten Sicherheitsfunktionen mit „Audit Vault and Database Firewall“ eine Security-Suite im Programm, die zunehmend als produkt- und herstellerübergreifende Lösung positioniert wird. Die im vergangenen Dezember als Software-Appliance vorgestellte Kombination sammelt Audit- und Log-Daten von verschiedenen Datenbanken. Neben den Oracle-Produkten werden auch IBM DB2, Microsofts SQL Server, SAPs Sybase ASE und MySQL unterstützt.

IBM InfoSphere Guardium
Mit „InfoSphere Guardium“ verspricht der IBM seinen Kunden Echtzeit-Monitoring sowie ein automatisiertes Compliance-Reporting für Hadoop-basierte Systeme wie Cloudera und das IBM-eigene "InfoSphere BigInsights".

Hewlett-Packard ArcSight
Als zentrale Komponente liefert der "Arc- Sight Enterprise Security Manager" (ESM) ein komplettes Set an Überwachungsfunktionen. Mit dem "Application Security Monitor" sollen sich auch Anwendungen in die Sicherheitsarchitektur einbinden lassen.

McAfee NitroSecurity
Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM).

RSA (EMC) enVision/NetWitness
Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log- Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können.

Symantec SSIM
Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten.

Splunk
Der Anbieter baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit- Monitoring einrichten.

Packetloop
Packetloop hat eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen.

Zettaset
Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren.

Annomalien finden

Analog zu Business-Intelligence-Lösungen, mit denen Unternehmen große Datenmengen analysieren, um mehr über ihre Kunden zu erfahren, benötigen Sicherheitsprofis spezielle Tools für die Überwachung der Infrastruktur. Sie müssen in der Lage sein, die netzwerk-, host-, und anwendungsbezogenen Muster der verschiedenen IT-Daten innerhalb ihres Kontextes zu überwachen. Nur so lässt sich erkennen, ob und wie sehr die IT-Umgebung von persistenter Malware befallen ist. Findet ein Angriff statt, ist das recht schnell durch anormale Host- und Netzwerkaktivitäten festzustellen.

Auf den Dashboards gibt Splunk Detailinformationen zu erkannten Attacken aus. Quelle, Kategorie und Schwere sind genau analysierbar.
Foto: Splunk

Mit einer Kombination aus Analytics und Datensicherheit können sich Sicherheitsverantwortliche von der konventionellen, eindimensionalen Angriffsbekämpfung lösen und eine modernere Security-Strategie entwickeln. Attacken lassen sich bereits im Vorfeld erkennen und Geschäftsrisiken minimieren. Gleichzeitig können unterschiedliche Alert-Arten dazu verwendet werden, sicherheitsrelevante Vorkommnisse auf den einzelnen Hosts voneinander zu unterscheiden.

Fazit

Sicherheitsteams müssen lernen, sich in die Angreifer hineinzuversetzen und geschäftliche Risiken in Beziehung zu konkreten Daten zu setzen. Nur, indem sie in die Gedankenwelt von Cyber-Tätern eintauchen und Attacken modellieren, die sich beispielsweise durch Spear-Phishing Zugriff auf die wichtigsten Unternehmenswerte verschaffen, können sie Daten-Assets und Risiken priorisieren. Eine solche Herangehensweise sorgt dafür, dass die IT-Sicherheit die wichtigsten Unternehmensziele schützt und auf sich ständig ändernde Bedrohungsszenarien vorbereitet ist. Eine umfassende Security-Intelligence-Lösung hilft, große Datenmengen zu überwachen und sorgt dafür, dass Unternehmen zwischen berechtigten Interaktionen mit ihren IT-Systemen und verdächtigen Verhaltensweisen unterscheiden können. (sh)