SIEM-Lösungen und Big-Data-Implementierungen zu Sicherheitszwecken – Security Intelligence

SIEM-Lösungen und Big-Data-Implementierungen zu Sicherheitszwecken

Unternehmen benötigen Tools die Daten auf intelligente Weise nach Bedrohungen durchsuchen können, bevor diese Schaden anrichten.

Die Bedrohungslandschaft hat sich in den letzten Jahren drastisch verändert. Gezielte Attacken sind nun an der Tagesordnung, und Hacker stehlen Kreditkarten und personenbezogene Daten, kritisches geistiges Eigentum und andere rechtlich geschützte Informationen, um sie an den Höchstbietenden zu verkaufen. Bei den zunehmenden Hacking-Angriffen von Staaten auf Unternehmen und Regierungsbehörden anderer Länder steht der Diebstahl von wichtigem geistigen Eigentum in Form von Plänen, Formeln und Produktionsverfahren im Mittelpunkt. Häufig soll auch der Ruf nationaler Institutionen geschädigt werden.

Gleichzeitig erweitern Organisationen ihre Peripherie über die WAN- und Firewall-Grenzen hinaus: Laut Gartner entfallen über 50 Prozent der Ausgaben für IT-Anwendungen auf SaaS-Applikationen, und gemäß Prognosen werden sich die Ausgaben für Cloud-Ressourcen in Behörden und Unternehmen bis 2018 nahezu verdoppeln. Die zunehmende mobile Nutzung von Unternehmensdaten bereitet Organisationen großes Kopfzerbrechen, genauso wie die Datenlawine, die nun aus dem Internet der Dinge auf sie zurollt, wenn neue Geräte wie Kameras, Kühlschränke, Alarmanlagen und das Energienetz mit dem Internet verbunden werden. Indessen sind »dunkle« Mächte auf dem Vormarsch, die neue kriminelle Gruppen auf internationaler Ebene unterstützen. Es werden also Tools benötigt, die Daten auf intelligente Weise nach Bedrohungen durchsuchen können, bevor diese Schaden anrichten.

Organisierte Verbrecherbanden haben erkannt, dass sich mit Daten millionenschwere Gewinne erwirtschaften lassen, und stecken immer mehr Zeit, Energie und Ressourcen in die Entwicklung oder den Kauf neuer Angriffsmethoden, die von herkömmlichen Sicherheitslösungen nicht erkannt werden – sogenannte Zero-Day-Exploits. Sobald die Angreifer mithilfe von Social-Engineering- oder Spear-Phishing-Kampagnen in eine Organisation gelangen, nutzen sie diese Zero-Day-Exploits, um persönliche Daten oder kritisches geistiges Eigentum zu durchforsten. Bekannte Fälle haben gezeigt, dass Hacker in der Lage sind, Data-Mining-Aktivitäten über lange Zeit unentdeckt auszuführen.

SIEM-Lösungen und Big-Data-Implementierungen. Security-Intelligence-Tools wie SIEM-Lösungen und Big-Data-Implementierungen zu Sicherheitszwecken sind wichtige Waffen im Kampf gegen Bedrohungen durch Hacker oder bösartig agierende Insider. SIEM-Lösungen überwachen sowohl Echtzeit-Ereignisse als auch riesige Mengen an Langzeitdaten, um ungewöhnliche Verwendungsmuster zu erkennen, potenzielle Bedrohungen zur Vermeidung falsch positiver Ergebnisse zu klassifizieren und bei Bedarf Alarm zu schlagen. Bedrohungen für Ihre geschützten Daten finden SIEM-Lösungen jedoch möglicherweise nicht.

Momentane Rolle in der Sicherheitsarchitektur. Die Kombination einer SIEM-Lösung mit einer datenzentrierten Sicherheitslösung zur Durchsetzung von Zugriffsrichtlinien ist für den Schutz von Daten unabdingbar. Dabei sammeln und protokollieren Datensicherheits-Agenten Informationen zu Dateizugriffen von Benutzern und Prozessen sowie zur Nutzung der sie schützenden Infrastruktur. Ungewöhnliche Aktivitäten, die auf die Manipulation von Benutzerkonten oder Prozessen hindeuten, treten so wesentlich schneller zutage, und die Identifizierung von Insidern und Hackern wird beschleunigt. Mithilfe der Überwachungsfunktionen lässt sich zudem rasch nachvollziehen, welche Typen von Dateien von einem bestimmten Benutzer zu einer bestimmten Zeit verwendet wurden.

Die Zukunft von Security Intelligence und Big Data. In der Praxis kommen immer häufiger Bereitstellungen zum Einsatz, die auf der Erfassung und Bearbeitung von Big Data basieren. Dadurch wird einerseits die Angriffsfläche vergrößert, andererseits steht ein weiteres Tool zur Analyse und zum Schutz sensibler Daten zur Verfügung. Organisationen verwenden Big-Data-Implementierungen, um das Verhalten von Kunden aufzuzeichnen und einzuordnen und Verwendungsmuster zu analysieren. Ein weiterer wichtiger Anwendungsbereich ist die Analyse sicherheitsrelevanter Daten. Dabei werden Informationen zu Zugriffsmustern von Mitarbeitern, Online-Zugriffsorten, zum Netzwerkverkehr und zu vielen anderen Faktoren kombiniert, um verdächtige Verhaltensweisen aufzudecken. Der große Vorteil von Big Data liegt in der enormen Menge an Daten, die weit umfassender als in den meisten SIEM-Systemen analysiert und korreliert werden können. So lassen sich Bedrohungen erkennen, die auf andere Weise nie gefunden worden wären.

Die zunehmende Nutzung von Big Data zu Marketing- und Sicherheitszwecken hat auch zu einem großen Bedarf an hochwertigen Sicherheits- und Datenanalysen geführt. Hersteller von Big-Data-Plattformen stehen unter Druck, Security-Intelligence-Funktionen standardmäßig in ihre Produkte zu integrieren. Darüber hinaus lagern immer mehr Organisationen das Thema Security Intelligence an Cloud- und Managed-Security-Service-Provider mit der nötigen Erfahrung und Qualifikation sowie den erforderlichen Implementierungsmöglichkeiten aus. Für Organisationen mit höchsten Sicherheitsanforderungen (wie Finanzinstitutionen, Regierungsbehörden) ist Outsourcing jedoch keine Option. Für sie kommen auch künftig nur Implementierungen vor Ort infrage.

Daten werden zu einer immer wertvolleren Währung, und Hacker setzen zu deren Diebstahl äußerst raffinierte Methoden ein. Die Gefahr von Imageschäden ist größer denn je und erfordert einen Schrittwechsel in puncto Datensicherheitsrichtlinien – vor allem da Verbraucher mit Organisationen, die ihre persönlichen Daten nicht schützen können, schnell die Geduld verlieren. Organisationen benötigen entsprechende Security-Intelligence-Mechanismen, um sämtliche Aktivitäten in ihrem Netzwerk zu überwachen, verdächtige Muster zu erkennen und Hackern das Handwerk zu legen. Da die Infrastrukturen jedoch immer komplexer werden, müssen sich die Sicherheitspraktiken mit ihnen weiterentwickeln.

Organisationen kommen heute nicht umhin, ihr IT-Sicherheitsbudget neu zu priorisieren und solche Tools zu integrieren. Firewalls, Segmentierungs-Tools und Endpunkt-Schutzmaßnahmen sollten zwar beibehalten werden, aufgrund ihrer verminderten Effektivität jedoch nicht mehr das Herzstück der Sicherheitsstrategie von Organisationen darstellen. Denn angesichts der veränderten Bedrohungsumgebung müssen auch die Ausgabeprioritäten neu justiert werden.


Frank Weisel,
Regional Sales Director DACH, Vormetric, Inc.
Bild: © Lightspring/shutterstock.com