Sysbus
ArtikelDatenverarbeitung/Big DataSecurity

Mit Maschinendaten können sich Unternehmen gegen unbekannte Sicherheitsrisiken schützen

gg

Mit Splunk Spearfishing-Attacken vorbeugen

Ein weiteres Unternehmen nutzte Splunk, um Spearfishing-Attacken auf seine Mitarbeiter aufzuklären und zu verhindern. Die Lösung ermöglicht nicht nur die Analyse der Maschinendaten, sondern auch die aller externen E-Mail-Domains, von denen aus E-Mail-Nachrichten in das Unternehmen gelangten, aller externen Webseiten, die von internen Mitarbeitern aufgerufen wurden sowie aller Dienste und ausführbaren Dateien, die auf internen Maschinen liefen.

Dadurch konnte das Unternehmen die genaue Abfolge der Ereignisse, die zur Entwendung vertraulicher Daten geführt hatte, nachvollziehen: Ein Mitarbeiter hatte eine ihm unbekannte Nachricht von einer externen E-Mail-Domain erhalten und anschließend eine Webseite besucht, die innerhalb des Unternehmens nur selten aufgerufen wird. Nach dem Aufruf der Seite war der PC mit Malware – vermutlich einem Toolkit für den Fernzugriff – verseucht. Nach der Ursachenforschung konnte mit Splunk eine maßgeschneiderte Suche definiert werden, die den Nutzer warnt, falls eine ähnliche Verkettung von Ereignissen erneut auftreten sollte.

Wie lassen sich unbekannte Gefahren mit Maschinendaten abwehren?

Herkömmliche SIEM-Produkte sind aufgrund der großen Datenmenge nicht in der Lage, zu aggregieren und zu korrelieren. Durch ihre Schemagebundenheit, ihre SQL-Datenbanken und die physischen Appliances sind ihnen hinsichtlich Skalierbarkeit, unterstützten Datentypen und Suchgeschwindigkeit enge Grenzen gesteckt. Auch ihre starren Such- und Reporting-Funktionen behindern umfassende Korrelationen und Analysen, wie sie zur Erkennung komplexer Gefahren nötig sind.

Als Reaktion darauf entstanden neuartige Big Data-Sicherheitsplattformen, die besser gegen Cyber-Attacken schützen. Sie erkennen frühzeitig Gefahren und können täglich mehr als 100 TByte an Maschinendaten verarbeiten – ohne SQL-Datenspeicher und Schemabindung. Ferner nutzen sie eine verteilte Suche für schnelle Abfragen sowie Alarmausgabe in Echtzeit und verwenden statistische, mathematische und Baseline-Verfahren zur Erkennung von Anomalien. Außerdem können sie horizontal skaliert und auf handelsüblicher Hardware installiert werden. Splunk ist diesbezüglich eine der führenden Technologien.

Big Data-Plattformen wie Splunk sind dank der bereits erfassten historischen Datenbestände aber nicht nur dazu in der Lage, Gefahren aufzudecken, sondern lassen sich auch für Forensik, Störfall-Untersuchungen und Betrugserkennung nutzen. Sogar für nicht sicherheitsbezogene Bereiche wie IT-Operations oder das Anwendungsmanagement sind sie äußerst nützlich. Auch wenn es keinen 100-prozentigen Schutz gegen komplexe Bedrohungen gibt, können Maschinendaten entscheidend dazu beitragen, das Kräftegleichgewicht zwischen Cyber-Kriminellen und Unternehmen auszugleichen. Mit beschleunigter Reaktionszeit und der Aufdeckung von Risiken, bevor diese größeren Schaden anrichten, sind sie eine unverzichtbare Waffe, um Angriffe zu erkennen und abzuwehren, die Tag für Tag ausgefeilter und zahlreicher werden.

Ähnliche Beiträge:

  1. Splunk ermöglicht Auswertung industrieller IoT-Daten mit Splunk Industrial Asset Intelligence
  2. ForeScout kündigt Advanced Threat Mitigation zur schnelleren Reaktion auf APTs und Sicherheitsverletzungen an
  3. Splunk kündigt Splunk Insights for Ransomware an
  4. Gefahr aus dem Netz: Wie sich Unternehmen vor Malware schützen können

Das könnte dir auch gefallen

Interview mit Jürgen Jakob, Geschäftsführer von Jakobsoftware und Sicherheitsexperte

gcg

MFA im Homeoffice: Phishing-sicherer Remote Access

dcg

Das Märchen von Linux und Malware

gcg