Big Data 2.0: Sicherheitschefs drängen auf Identifizierung von Angriffskampagnen

RSA Conference 2013: Unternehmen, die Web-Angriffe nicht mittels Big Data-Sicherheitssystemen identifizieren, drohen den Anschluss zu verlieren.

SAN FRANCISCO. Sind auf Big Data konzentrierte Sicherheitssysteme bald schon wieder ein Ding der Vergangenheit? Ein Gremium von Sicherheitsprofis bei der RSA Conference 2013 war sich jedenfalls recht einig: Unternehmen, die zur Identifizierung von Angriffen noch keine Systeme zum Sammeln von Big Data einsetzen, drohen den Anschluss zu verlieren.

In einer Diskussion über Big Data für bessere Einblicke ins Netzwerk machten die Experten klar, dass es heutzutage ein überwältigendes Volumen an sicherheitsrelevanten Ereignissen zu analysieren gebe.

Ramin Safai zum Beispiel, IT-Sicherheitschef bei der New Yorker Investmentbank Jeffereys & Co., berichtete von 5.000 Netzwerk-Ereignissen pro Sekunde in seinem Haus, die pro Tag zu 25 Terabyte an Daten führen. Sein aus drei Personen bestehendes Team für Netzwerk-Analysen untersuche meist etwa 50 Ereignisse am Tag, von denen sich dann zwei als tatsächlich verdächtig herausstellten.

Besonders massiv ist das Daten-Volumen bei eBay: Laut Alex Tosheff, IT-Sicherheitschef bei der eBay-Einheit X.commerce, gibt es hier 10.000 Ereignisse pro Sekunde oder 1 Petabyte an Daten pro Tag. Das schließe noch nicht die von ihm ebenfalls unterstützten „Produktiv“-Umgebungen wie eBay.com, StubHub.com und andere ein.

Um diejenigen Sicherheitsvorfälle zu finden, die wirklich relevant sind, bauen Organisationen Systeme auf, mit denen so viele Daten wie möglich erfasst werden – von Netzwerken, Endpunkten, Datenbanken, Anwendungen sowie Systemen für Identitäts- und Zugangsmanagement. Aber das ist nur der einfache Teil. Richtig schwierig wird es, auf dieser Grundlage die wenigen Ereignisse zu identifizieren, die echte Einbruchsversuche darstellen könnten.

„Wichtig ist: Ihre Analytik-Engine muss mit Ihrer gesamten übrigen modernen Technologie zusammenarbeiten“, sagte Carter Lee, Vice President für Technologie bei Overstock.com. Allgemein würden offene Produkte hier besser funktionieren als solche von großen Anbietern, die oft eine langfristige Bindung erfordern und nicht sehr häufig für neue Bedrohungen angepasst würden.

Laut Tosheff arbeitet seine Organisation seit fünf Jahren an diesem Thema. Bisher leiste eine Kombination aus gekauften und selbst entwickelten Werkzeugen mit eigenen Regel-Sätzen gute Dienste. Vor allem anderen werde damit nach Anzeichen für Versuche gesucht, Daten zu extrahieren. „Wir entwickeln uns immer weiter. Es ist ein Katz-und-Maus-Spiel und sehr schwierig, auf dem neuesten Stand zu bleiben. Aber man kommt nicht darum herum“.

Big Data 2.0: Angriffskampagnen mit Daten-Analysen identifizieren

Allerdings sagten die Diskussionsteilnehmer auch: Nur verdächtige Ereignisse zu identifizieren reicht heute nicht mehr aus. Wie der Moderator Richard Siennon von der Beratungsfirma IT-Harvest erklärte, habe er dies erstmals im vergangenen Jahr bemerkt, als er für große Rüstungsunternehmen arbeitete: Dort würden Angriffe zunehmend auf gemeinsame Merkmale hin analysiert und dann als Kampagne eingeordnet  – also als koordinierter, mehrstufiger Angriff, der von bekannten Akteuren orchestriert wird.

Die Gruppe seiner Organisation zur Bekämpfung elektronischer Verbrechen habe ähnliche Aufgaben, sagte Tosheff. Dazu kombiniere sie eigene Informationen mit externen Quellen, um unterschiedliche Übeltäter zu identifizieren, darunter Betrugsringe, Hacktivisten oder Datendiebe. Wichtige Erkenntnisse werden dann in einer einheitlichen Taxonomie dokumentiert und über Mechanismen wie das Financial Services Information Sharing and Analysis Center (FS-ISAC) rasch der gesamten Branche zugänglich gemacht.

„Es ist extrem wichtig, Kampagnen zu verfolgen. Wenn Sie das noch nicht tun, fangen Sie damit an“, sagte Praveen Money, IT-Sicherheitschef bei Datashield Consulting aus dem US-Bundesstaat Arizona. Denn genau solche Sammlungen von Merkmalen würden dabei helfen, den nächsten Angriff zu erkennen und abzuwehren. Durch Korrelationen zwischen Ereignissen und das Identifizieren gemeinsamer Merkmale könnten Unternehmen herausfinden, wer ein Angreifer ist und auf was er es wahrscheinlich abgesehen hat. Dadurch müsse in Zukunft weniger Zeit zwischen Entdeckung und Gegenreaktion vergehen.

„Indikatoren als solche bedeuten nicht viel“, so Money, „aber wenn man sie zusammenbringt, kann man über mehr über Ereignisse erfahren, die ansonsten ganz harmlos aussehen würden. Wenn ein Angriff als echte Kampagne identifiziert wird, kommt Ihre Reaktionsfähigkeit einen riesigen Schritt weiter.“

Splunk ist beliebter als SIEM-Systeme

Interessant dabei: Alle Panel-Teilnehmer gaben an, als wichtigstes Werkzeug für Daten-Analysen nicht etwa teure kommerzielle Produkte für Security Information und Event Management (SIEM) zu verwenden, sondern das gute alte Splunk. Safai etwa sagte, seine Organisation gebe zwar viele Protokolle in ein SIEM-System ein, doch die Daten gingen auch an Splunk. Denn kein anderes Werkzeug sei in der Lage, mit dem Volumen und der Komplexität all der Daten zurechtzukommen.

Safai hat nach eigenem Bekunden zwar schon mit SIEM-Anbietern gesprochen. Doch keiner davon biete dieselben Möglichkeiten, einen Datensatz schnell tiefer zu betrachten, seine Ereignisse sortiert nach Zeit oder Geräten anzuzeigen, nach dem Herausgreifen eines Ereignisses wieder zu einem Überblick zu wechseln und mit diesem Ausgangspunkt nach Trends oder ähnlichen Ereignissen zu suchen.

„Es ist die Funktionalität gepaart mit der hohen Geschwindigkeit“, sagte Safai. „Unser SIEM beherrscht das nicht, und es ist sehr langsam. Es braucht 24 Stunden für etwas, das mit Splunk nur zwei Minuten dauert“.

Auch Tosheff war voller Lob für Splunk: „Es arbeitet fast genauso wie das Hirn eines Technikers. Es ist ein sehr flexibles Werkzeug“. SIEM-Systeme würden zudem nicht die gesamte Bandbreite an möglichen Datenquellen erfassen. Tosheff: „Man muss einfach selbst die Verantwortung für den eigenen Kontext übernehmen. Man kann so etwas nicht fertig kaufen“.

Gesucht: Mehr Daten-Wissenschaftler

Auch die beste Kombination aus kommerziellen Werkzeugen und eigenen Regel-Sätzen ändert laut den Diskussionsteilnehmern aber nichts daran, dass geschulte und talentierte Daten-Analysten gebraucht werden. Ihre Aufgabe: Anomalien und Kampagnen identifizieren, die von Maschinen nicht immer erkannt werden.

Allerdings sind solche Daten-Wissenschaftler oft schwer zu finden: Wie ein Experte aus dem Publikum sagte, gibt es in der heutigen IT kaum eine gefragtere Berufsgruppe als sie. Safai hat darauf reagiert, indem er im Rahmen von Kooperationen Studenten auf die Analyse der Daten ansetzte, die dafür im Gegenzug Praxiserfahrung sammeln konnten.

„Aus meiner Erfahrung ist es möglich, in technischen Communities talentierte Daten-Analysten zu finden“, sagte Money dazu. Viele seiner Beratungskunden hätten IT-Profis aus anderen Bereichen angeboten, nebenbei Daten zu analysieren. Als Ausgleich bekommen sie Reisen zu Branchen-Konferenzen bezahlt.

Lee von Overstock.com zeigte sich bei diesem Thema fast schon verzweifelt und drückte so gut die Probleme des gesamten Podium aus, die nötigen Talente zu bekommen: „Wenn Sie irgendwelche guten 18-Jährigen kennen, nehmen Sie Ihnen die Xbox-Controller weg und sagen Sie ihnen, dass sie sich bewerben sollen!“.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Big Data

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close