Security Intelligence für Big Data: Denken wie ein Angreifer

Obwohl sich die Internetsicherheit in den vergangenen zehn Jahren deutlich weiterentwickelt hat, zwingt die komplexer gewordene Bedrohungslandschaft die Anwender zum Umdenken. [...]

Mit den herkömmlichen Tools und Konzepten für IT-Security lassen sich die Gefahren im Cyberspace nicht mehr bewältigen. Traditionelle Perimeter-Verteidigungslinien wie Firewall, Anti-Viren-Software oder ID/IP-Systeme (Intrusion Detection / Prevention) haben sich stets als unzureichend erwiesen; gleiches gilt für den Bereich Security Information & Event Management (SIEM). Letzteres ist insbesondere nicht darauf ausgelegt, große Mengen historischer Daten schnell auszuwerten. Selbstredend hilft der Trichter- oder Reduktionsansatz der SIEM-Technologie dabei, das Datenvolumen zu verringern, das vom Sicherheitsteam zur Erkennung möglicher Angriffe analysiert werden muss. Allerdings nutzen Angreifer es eben gerade häufig aus, dass immer nur ein Teil aller Daten gleichzeitig analysiert werden kann. In großen IT-Unternehmen bestehen zudem trotz SIEM unerwünschte Silo-Strukturen zwischen den verschiedenen Abteilungen nach wie vor. Die Folge: Geschäftskritische Applikationen werden weiterhin von niemandem überwacht.
Datenanalyse
Weil SIEM-Lösungen nicht dafür entwickelt worden sind, einen lange zurückliegenden Angriff im Licht neuer Informationen zu bewerten, sind neue Sicherheitswerkzeuge für große Datenmengen gefragt. Solche Tools prüfen große Mengen an „normalen“ Aktivitätsdaten auf Muster, bei denen eine zeitliche, örtliche oder anderweitige Auffälligkeit besteht. Um diese „Security Intelligence“ gewinnbringend einzusetzen, sind darüber hinaus Analyseexperten vonnöten, die sich in die Rolle des Angreifers versetzen, um die Identitäten, Ziele und Methoden potenzieller Gegner zu verstehen.
Annomalien finden
Analog zu Business-Intelligence-Lösungen, mit denen Unternehmen große Datenmengen analysieren, um mehr über ihre Kunden zu erfahren, benötigen Sicherheitsprofis spezielle Tools für die Überwachung der Infrastruktur. Sie müssen in der Lage sein, die netzwerk-, host-, und anwendungsbezogenen Muster der verschiedenen IT-Daten innerhalb ihres Kontextes zu überwachen. Nur so lässt sich erkennen, ob und wie sehr die IT-Umgebung von persistenter Malware befallen ist. Findet ein Angriff statt, ist das recht schnell durch anormale Host- und Netzwerkaktivitäten festzustellen.
Mit einer Kombination aus Analytics und Datensicherheit können sich Sicherheitsverantwortliche von der konventionellen, eindimensionalen Angriffsbekämpfung lösen und eine modernere Security-Strategie entwickeln. Attacken lassen sich bereits im Vorfeld erkennen und Geschäftsrisiken minimieren. Gleichzeitig können unterschiedliche Alert-Arten dazu verwendet werden, sicherheitsrelevante Vorkommnisse auf den einzelnen Hosts voneinander zu unterscheiden.
Fazit
Sicherheitsteams müssen lernen, sich in die Angreifer hineinzuversetzen und geschäftliche Risiken in Beziehung zu konkreten Daten zu setzen. Nur, indem sie in die Gedankenwelt von Cyber-Tätern eintauchen und Attacken modellieren, die sich beispielsweise durch Spear-Phishing Zugriff auf die wichtigsten Unternehmenswerte verschaffen, können sie Daten-Assets und Risiken priorisieren. Eine solche Herangehensweise sorgt dafür, dass die IT-Sicherheit die wichtigsten Unternehmensziele schützt und auf sich ständig ändernde Bedrohungsszenarien vorbereitet ist. Eine umfassende Security-Intelligence-Lösung hilft, große Datenmengen zu überwachen und sorgt dafür, dass Unternehmen zwischen berechtigten Interaktionen mit ihren IT-Systemen und verdächtigen Verhaltensweisen unterscheiden können.
* Olav Strand ist Redakteur der deutschen Computerwoche.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*