„Big Data wird die Sicherheit transformieren“

News

Roger Scheer Regional Director RSA Deutschland konnte auf dem RSA Security Summit 2013 am 18. April in Frankfurt etwa 60 Teilnehmer begrüßen, die Antworten auf die aktuelle Bedrohungslage erwarteten. Im Fokus stand Intelligence Driven Security als zeitgemäßer Ansatz für Cyber-Sicherheit. „Mit dieser Veranstaltung bringen wir ein neues Format weltweit“, erklärte Scheer.

Ein ganzheitlicher Ansatz zum Schutz gegen aktuelle Cyber-Gefahren sei notwendig. Um Vertrauen in der digitalen Welt herzustellen, informationskritische Daten und Markennamen zu schützen und auf Veränderungen im Markt zu reagieren, ist eine Transformation der Infrastrukturen erforderlich. „Es gibt einen Kontrollverlust bei Endgeräten, in der Hyper extended und umfassend digitalen Welt ändern sich die Verhältnisse ständig und eine Transformation der Gefahrenlage entsteht“, betonte Scheer. Die Angreifer sind technologisch und monetär ausgezeichnet aufgestellt.

Bei 90 Prozent der Attacken gibt es Hinweise in den Logs, die aber nur in fünf Prozent der Fälle von den angegriffenen Unternehmen erkannt werden. „Nicht mehr nur in die Perimeter-Verteidigung, auch in das Monitoring zu investieren ist notwendig.“ Ebenso erforderlich sei eine andere Expertise. Informationsaustausch sei entscheidend, die Geheimhaltung von Attacken ist schädlich.

Externe Expertise und Threat Intelligence sollen einfließen in einem ganzheitlichen Ansatz. Es sind nicht mehr wie noch vor zwei Jahren die eigenen Mitarbeiter die Hauptbedrohung, sondern professionelle Hacker aus dem Ausland.

James Lugabihl, Senior Manager CIRC Global Security Organisation EMC, skizzierte die Transformation der IT Sicherheit durch Big Data. „Big Data wird die Sicherheit verändern. Es hätte uns helfen können bei unserem eigenen Vorfall im Jahr 2011.“ Nicht nur Technologie, sondern Leute und Prozesse stehen dabei im Vordergrund. „Wir automatisieren Prozessänderungen mit RSA Security Analytics.“

Lange Zeit verkaufte sich Sicherheit über Angst, Unsicherheit und Zweifel und das wird auch weiterhin eine Rolle spielen, ist sich Lugabihl sicher. „Manchmal ist es notwendig, die Leute zu erschrecken und Zweifel und Unsicherheit an der bisherigen Strategie zu wecken.“ Ein Faktor dabei ist die Unsicherheit über Audits. Diese gewährleisten nur für einen gewissen Zeitpunkt Sicherheit. Um ständig auf dem laufenden zu bleiben, ist ein holistischer Ansatz notwendig.

Intrusion Detection Systeme (IDS), Anti-Virus und Firewalls alleine schaffen keine Sicherheit: „Die Gegner nutzen erlaubte Pfade (DNS, HTTP; SMTP) innerhalb des Netzwerkes. .Das Problem ist das Unbekannte und man muss herausfinden, wer der Angreifer ist.“

Insider sind heute nicht mehr das Hauptproblem, aber es gibt nach wie vor einige, die bestochen sind. Hacktivists wollen Unternehmen beschädigen.
Gewöhnliche Kriminelle (Phisher) und organisiertes Verbrechen operieren ähnlich. Nationen sind hochorganisiert, die Unternehmen sind nicht das Endziel, aber es wird auf Verbindungen abgezielt. Dies war das Problem beim Angriff auf RSA selbst vor zwei Jahren.

Zur Abwehr war Security information and event management (SIEM) ein guter Start, reicht aber heute nicht mehr aus. SIEMs sind gut bei einfacher Korrelation, aber heute gibt es Multi-Vektor Angriffe. Sie nutzen echte User-Daten und Standard Windows-Befehle für die Angriffe, kein SIEM kann dies entdecken. Gut und Böse zu unterscheiden wird immer mehr zum Problem. Man muss sich das Verhalten der Maschinen ansehen und Anomalien erkennen. Es ist nötig, festzustellen, von welchem Ort der Angriff erfolgt.

Mit Big Data können mehr Datenquellen in diese Analyse einbezogen werden. Attacken folgen vorgegebenen Mustern, man muss die Kosten für den Angreifer erkennen und die Sweet Spots identifizieren. Die Response wird immer wichtiger, die Bedeutung des Angriffs muss festgestellt und die Frage geklärt werden, ob die Bedrohung beseitigt werden kann. Wenn der Angreifer exponiert ist und eine Menge Befehle gibt, muss die Abwehr greifen. Ein wichtiges Werkzeug ist dabei die Archer Plattform.

„Wir können die Ausgaben für optimale Kontrollen optimieren, aber bei den meisten Unternehmen stimmt die Balance nicht“, urteilt Lugabihl. Sicherheit sollte sich um Balance drehen, und zwar zunächst Balance in den Ausgaben. Es nicht effektiv, das meiste Geld für die Verhinderung von Angriffen auszugeben. Sie ist wichtig, aber ebenso wichtig ist Monitoring und ein effektive Antwort. In der Intelligence Driven Security sollten alle drei Bereiche gleich gewichtet werden.

Intelligence sollte auf die Zukunft ausgerichtet sein. Big Data heißt die Informationen aus allen Tools zusammenzubringen. Es dauerte bisher 36 Stunden, einen 24 Stunden Report zu erstellen und das ist zu lange. Mit Big Data ist dies jetzt binnen zwei Stunden möglich und es kann künftig noch weiter beschleunigt werden.

Big Data hilft die Bedrohungen besser zu verstehen. „Seit etwa zwei Jahren wird Big Data bei uns eingesetzt und dies wird stark ausgebaut. Wir teilen viele Infos mit VMWare. Big Data kann die Suchzeiten extrem beschleunigen“, berichtet Lugabihl. Er führt als Beispiel einen Angriff auf eine Microsoft Exchange Infrastruktur an: „Wir haben binnen zwei Minuten das Muster erkannt, mit SIEM wäre das nie möglich gewesen.“

Logs alleine bieten Informationen, die unordentlich, teuer und statisch sind. Informationen in den Workflow zu integrieren ist sinnvoller. Die  Vorteile eines Computer Incident Response Center (CIRC) erlauben es, Zwischenfälle zu erforschen und die Bedrohungen zu analysieren. Das CIRC kümmert sich um Cyber Threat Intelligence.

Der Weg der Sicherheitsspezialisten geht vom Ad Hoc Mitarbeiter zum Cyber Propheten, der sich auf Geschäftsrisiken fokussiert. Dabei helfen fortgeschrittene Werkzeuge, Taktik und Analyse und Antworten auf kritische Zwischenfälle.

Man muss die Pflichten trennen. Big Data wird alle Aspekte der Sicherheit transformieren. Es steckt aber noch in den Kinderschuhen. Große Sport-Sites für US Baseball und Amazon setzen es schon länger ein. Die Elemente sind intelligente Kontrollen, die Informationen aus Zusammenhängen einbezieht zur besseren Identifikation. So entsteht holistische Sichtbarkeit im Unternehmen. Betrugsverhinderung wird durch holistische Analyse möglich.

„Die Reise zur Big Data Sicherheit hat gerade begonnen, es wird bald exponentiell wachsen. Bei uns treiben die Sicherheits-Praktiker die Produktentwicklung“, erklärt Lugabihl.

Eine wichtige Methode ist dabei der Abgleich des Nutzerverhaltens gegenüber dem Crowd-Verhalten. „Der Gral ist die Verbindung von Governance, risk management, and compliance ( GRC) und Big Data“, erklärt Lugabihl. Die Teamgröße der RSA Sicherheitsmannschaft im CIRC soll ausgebaut werden. Möglich, aber noch nicht beschlossen, ist der Aufbau eines Teams in EMEA (Irland, Israel).

Lesen Sie auch :