Sicherheit dank Operational Intelligence

Irrfahrt auf dem Datenmeer

01.06.2015 von Olav Strand  IDG ExpertenNetzwerk
Die zunehmende Digitalisierung beeinflusst den Bedarf nach Datenanalysen. Einblicke in maschinengenerierte Daten verleihen Unternehmen durchaus erhebliche Vorteile

Maschinengenerierte Daten gehören zum komplexesten und am schnellsten wachsenden Bereich von Big Data. Lückenlose Aufzeichnungen über getätigte Käufe, Kunden- Nutzer- und Maschinenverhalten, Sicherheitsbedrohungen und betrügerischen Aktivitäten verleihen ihnen zudem einen sehr großen Wert. Mit Hilfe von maschinengenerierten Daten bietet Operational Intelligence die Möglichkeit genau zu verstehen, was in IT-Systemen und der firmeneigenen Technologieinfrastruktur geschieht - in Echtzeit.

Durch fortwährendes Monitoring und schnelle Reaktionszeit ermöglicht Operational Intelligence Unternehmen, rasch auf Bedrohungen zu reagieren.
Foto: Splunk Inc.

Big Data-Sicherheitsplattformen können täglich mehr als 100 Terabyte an Maschinendaten verarbeiten- ohne SQL-Datenspeicher und Schemabindung. Hierauf basierend lassen sich fundierte Entscheidungen treffen: Entwickler können Applikationen und Services über Mobile und Cloud schneller am Markt einführen. Anwendungsmanager können die Verfügbarkeit und Performance ihrer Applikation verbessern. Und Sales-Teams haben die Möglichkeit, sich das Nutzerverhalten genauestens anzuschauen und ihre Services und Produkte entsprechend zu optimieren.

Des Weiteren bildet Operational Intelligence die Grundlage von Big-Data-Sicherheitslösungen, die sich an moderne Bedrohungen und sich verändernde Geschäftsanforderungen anpassen. Das passive Beobachten von potenziellen Sicherheitsverletzungen genügt nicht mehr. In der vernetzten Welt von heute ist jedes Datenbündel eine mögliche Schwachstelle. Viele Unternehmen beschränken sich zudem darauf, nur vorgefilterte und vorab definierte Daten genauer zu analysieren. Diese stellen jedoch nur Bruchteile des Ganzen dar und sind deshalb nicht ausreichend für eine umfassende Sicherheitsstrategie. Für IT-Verantwortliche sind deshalb fast alle Daten interessant, die ihre Systeme generieren. Es sollten also alle Sicherheitskomponenten, wie Firewalls, Anti-Malware-Anwendungen und IDS-Systeme, sowie nicht sicherheitsrelevante Quellen wie Windows-Protokolle, DNS-Dienste, Web- und E-Mail-Protokolle aufgezeichnet werden. Durch fortwährendes Monitoring und schnelle Reaktionszeit ermöglicht Operational Intelligence Unternehmen bekannte, sowie neue und hochentwickelte Bedrohungen, zu identifizieren und auf sie zu reagieren.

Wie wird Operational Intelligence richtig genutzt?

Vielen Unternehmen entgehen wertvolle Einsichten aus ihren Daten, da sie auf traditionelle Ansätze im Datenmanagement setzen. Altbewährte Vorgehen sind gut geeignet, um bereits Bekanntes zu identifizieren. Neue Zusammenhänge oder unbekannte Bedrohungen entdecken Firmen dabei nicht. Dabei ist nichts wichtiger, als das Durchführen komplexer Korrelationen und statistischer Analysen. Erst durch sie entsteht ein Gesamtbild der Bedrohungslage, das auch winzigste Spuren von Advanced Threats in einem Meer scheinbar unverdächtiger Ereignisse aufdeckt. Ein weiterer Schwachpunkt traditioneller Datenanalysen ist die lange Wartezeit zwischen Datenverarbeitung und tatsächlich gewonnener Erkenntnis. Ein Großteil der heutzutage analysierten Daten wird von Maschinen außerhalb des Unternehmens generiert und liegt unstrukturiert vor. Dies erschwert Unternehmen die Daten zu erfassen und korrekt auszuwerten.

Anzeichen für einen Cyber-Angriff
Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor.
Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln.
Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet.
Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren.
Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin.
Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind.
Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren.
Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin.
Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.

Moderne Analyseverfahren sammeln die Daten aus den verschiedensten Quellen und in ganz unterschiedlichen Formaten zentral. Sie erlauben es den Nutzern, Fragen an das "Datenmeer" zu stellen und Ergebnisse in Echtzeit zu untersuchen. Einblicke, die nach einer Stunde geliefert werden, sind möglicherweise schon zu spät; das Unternehmen hat eine Gelegenheit verpasst. Dementsprechend steigt auf Unternehmensseite das Interesse an Datenanalysen in Echtzeit, um schneller und besser reagieren zu können.

Zum Beispiel: In einem großen Unternehmen hatte sich ein interner Benutzer mit dem Universalnamen "Administrator" an einem Windows-Endgerät angemeldet. Da aber alle Nutzer einen eindeutigen Namen haben und nicht in der Lage sein sollten, sich als "Root" oder "Administrator" anzumelden, löste dieser Vorgang einen Alarm in der Sicherheitsabteilung aus. Gleichzeitig erkannte die Anti-Malware-Anwendung, dass auf demselben Endgerät ein bei Hackern sehr beliebtes Schadprogramm ausgeführt wurde. Mit einem Spezialwerkzeug konnte schlussendlich festgestellt werden, dass von dem "Administrator"-PC unverschlüsselte Kreditkartendaten an einen verdächtigen Command & Control-Server übermittelt wurden. Alles deutete auf einen Hackerangriff hin. Das Unternehmen reagierte, indem es das Ereignismuster ermittelte und durch Korrelation auf drei verschiedene Datenquellen anwendete. Sollte es erneut auftreten, könnte es automatisch und in Echtzeit erkannt und danach ein entsprechender Alarm ausgelöst werden. Darüber hinaus verknüpfte das Unternehmen den Alarm mit einem einfachen Script, das alle externen Verbindungen eines infizierten Geräts automatisch blockiert.

Die Herausforderung besteht darin, die gewonnenen Daten so nutzbar zu machen, dass sie Unternehmen neue, gewinnbringende Einsichten liefern. IT-Strategen sollten eine Kombination aus bewährten Methoden und neuen Datenanalyseverfahren heranziehen, um Cyber-Attacken und Datenmissbrauch zu verhindern und das Kundenerlebnis zu optimieren. (bw)