Mit Maschinendaten können sich Unternehmen gegen unbekannte Sicherheitsrisiken schützen

Autor/Redakteur: Olav Strand, Director Central EMEA bei Splunk/gg

Cyber-Kriminalität boomt! Der Grund dafür ist die zunehmende globale Nutzung von Online-Kanälen, denn dadurch entstehen Sicherheitslücken, die Hacker ausnutzen, um den Unternehmen nachhaltig zu schaden. Ungeschützte Netzwerke, Online-Bezahlportale, sogar POS-Geräte bieten die Basis für immer komplexere Gefahren. Verursacht werden diese Gefahren von politisch engagierten Hackern (so genannten “Hacktivisten”), Internetkriminellen und auch Staaten. Mit Schnelligkeit, Hartnäckigkeit und Cleverness spionieren sie Unternehmen aus und erbeuten unbemerkt vertrauliche Daten.

Traditionelle Sicherheitstools versagen, weil Spearfishing- und Social Engineering-Angriffe den Faktor Mensch nutzen, um selbst stabilste Abwehrbollwerke zu knacken. Zudem können Angreifer sicher sein, dass gängige Anti-Malware-Lösungen maßgeschneiderte, ständig abgewandelte Schadsoftware nicht erkennen. Sind sie erst einmal im System, nutzen die Hacker Werkzeuge wie Keylogger und Hash Cracker, um in den Besitz legitimer und umfassender Benutzerrechte zu gelangen und sich dann ungehindert am Datenpool zu bedienen. Das Fatale: Unternehmen sind meist machtlos, denn die Eindringlinge richten Hintertüren auf den PCs ein, sodass die Integrität der IT-Umgebung nur sehr schwer wiederherstellbar ist.

Die gute Nachricht: Big Data schützt! 

Anstatt frustriert aufzugeben, können Unternehmen Schritte ergreifen, um Bedrohungen abzuwehren. Eine Option ist, Anomalien im Netzwerk zu erkennen, das heißt alle Aktivitäten, die vom normalen Verhalten eines Nutzers oder einer IP-Adresse abweichen. Denn wer Ausreißer erkennt, kann auch Bedrohungen bekämpfen.

Dazu müssen Maschinendaten und -protokolle gesammelt werden, die die IT-Infrastruktur auf Netzwerk- und Endgeräte-Ebene generiert. Die Sammlung unstrukturierter Maschinendaten ist essentiell, da sie alle Ereignisse enthalten, die Sicherheitskomponenten wie Firewalls, Anti-Malware-Anwendungen und IDS-Systeme erzeugen. Dazu kommen auch nicht sicherheitsrelevante Quellen wie Windows-Protokolle,

DNS-Dienste, Web- und E-Mail-Protokolle aufzeichnen

Dabei handelt es sich um Big Data im wahrsten Sinn des Wortes, mitunter mehrere TBytes pro Tag. Sie strömen in solcher Vielfalt, Geschwindigkeit und Masse ein, dass traditionelle Datenstores mit ihrer Verarbeitung überfordert sind. Die Indizierung und Verarbeitung solcher Datenmengen kann daher nur eine Big Data-Plattform bewältigen.

Zusätzlich müssen in Echtzeit komplexe Korrelationen und statistische Analysen durchgeführt werden. Dadurch entsteht ein Gesamtbild der Bedrohungslage, das auch winzigste Spuren von Advanced Threats in einem Meer scheinbar unverdächtiger Ereignisse aufdeckt. Auch Echtzeit-Warnmeldungen und -Berichte sind unverzichtbar, um potenzielle Gefahren sofort auszumachen.

Advanced Threats können je nach Quelle und Verursacher stark variieren. Um effektiv nach Bedrohungen zu suchen, muss daher klar sein, an welcher Stelle sich die wertvollsten Assets und Mitarbeiter befinden und wie diese angreifbar sind. Big Data-Plattformen besitzen die notwendige Flexibilität für solche Korrelationen und Analysen sowie für die Integration der Maschinendaten in Asset- und Mitarbeiterdaten.

Wie aber sieht so eine Anomalie bei Maschinendaten aus? Leider gibt es keine einheitliche Liste, auf der man fragliche Kandidaten einfach abhaken könnte. Sicherheitsexperten müssen stattdessen kreativ werden und sich in die Angreifer hineinversetzen. Nur so können sie Echtzeitkorrelationen herstellen, mit denen sich böswilliges Verhalten aufdecken lässt.

Doch wo fängt man an? Vor dieser Frage stehen viele Unternehmen, denn die reine Konzentration auf die Sicherheit der Netzaktivität ist ein Fehler. Die folgenden Szenarien zeigen Unternehmen, die mit Maschinendaten unbekannte Risiken identifizieren konnten.