Bob Griffin war Keynote-Speaker am RSA Security Summit Ende Mai in Wien. Sein Thema: Wie Big Data die Welt der IT-Security verändern wird. Die COMPUTERWELT sprach mit ihm über die Stärken der neuen Technologie. [...]
Big Data Analytics im Security-Bereich ist noch eine junge Disziplin, laut Bob Griffin, Chief Security Architect bei RSA, the Security Division of EMC, stehen wir erst am Anfang. Die Versprechen, die mit der Analyse von großen Datenmengen, dem risikoorientierten Ansatz und dem maschinellen Lernen verbunden sind, machen jedenfalls Mut: Die Spielregeln im Kampf gegen Cyberkriminalität scheinen neu geschrieben.
Computerwelt:Was bringen Big Data Analytics dem Security-Bereich? Was ist das Neue daran?
Robert Griffin: Datenanalyse-Modelle im Security-Bereich gab es natürlich schon vor Big Data, etwa beim Thema Intrusion Detection. Mit Big Data hat sich die Analyse wesentlich geändert. Es werden nicht wie früher nur Logdaten gesammelt und ausgewertet. Der zu analysierende Datenkorpus ist nun wesentlich größer und umfasst neben Logfiles und Paketen auf Netzwerkebene Konfigurationsdaten oder Informationen über das Userverhalten, was die Sache komplexer und kniffliger macht. Der wichtigste Unterschied zu früher ist: Die neue Technologie bringt nicht nur Dinge ans Tageslicht, die man gezielt gesucht hat, sondern auch jene, von denen man nicht einmal gewusst hat, dass sie existieren.
Worin unterscheiden sich Security Analytics von anderen Big-Data-Anwendungen?
Wird Big Data für geschäftliche oder auch wissenschaftliche Zwecke eingesetzt, dann umfasst dies meist nicht mehr als drei bis vier Informationsarten. Bei Security sind es zehn bis zwanzig oft sehr unterschiedliche Typen. Die Herausforderung besteht darin, diese unter einen Hut zu bekommen, auch was die Analyse-Algorithmen betrifft. Einen weiteren wichtigen Aspekt, den man im Zusammenhang von Security-Big-Data besonders beachten muss, ist jener des Datenschutzes.
Sie haben die Analyse des Nutzerverhaltens erwähnt. Was wäre dafür ein typisches Beispiel?
Wird etwa eine Online-Banking-Webseite genutzt, läuft dies meist nach bestimmten Mustern ab. Typischerweise sieht sich der Nutzer zunächst den Kontostand an, dann geht es zu den Transaktionen. Die Big-Data-Anwendung analysiert das Verhalten und leitet Aktivitätsmuster ab, die das normale Verhalten definieren. Auf Basis dieser Informationen lassen sich leicht Abweichungen im Verhalten aufspüren, etwa wenn jemand direkt zu den Transaktionen geht und das Konto leerräumt, was auf eine mögliche Cyber-Attacke hinweist. Während man früher quasi bei der Antwort beginnen musste, um Regeln erstellen zu können, sind wir heute in der Lage, Analysen zu starten, ohne im Vorhinein wissen zu müssen, wie die typischen Verhaltensmuster überhaupt aussehen und worin die Anomalien bestehen. Diese Vorgangsweise – das Lernen aus den Daten selbst, das maschinelle Lernen – ist der grundlegende Unterschied zu den klassischen Methoden.
Welche Auswirkungen sehen Sie auf den Security-Markt zukommen?
Ich bin seit den 1980er Jahren im IT-Security-Geschäft. Es war immer so, dass die Kriminellen ein oder mehrere Schritte voraus waren. Wir sind hinterher gelaufen. Mit Big Data haben wir erstmals die Chance, sehr genau vorauszusagen, was passieren wird – ganz egal, welche Techniken der Angreifer verwendet.
Es findet eine Transformation statt. Während man früher dicke Mauern um unsere Unternehmen gebaut hat, ist dies heute, wo große Teile des Geschäfts außerhalb der Firma stattfinden, relativ sinnlos. Statt nach der absoluten Sicherheit zu streben, geht es jetzt darum, die gesamte Bandbreite der Risken für das Unternehmen zu verstehen und entsprechend zu agieren.
Cyber-Kriminelle können ja ebenfalls die Vorteile von Big Data nutzen. Wird das Ungleichgewicht nicht prolongiert?
Wir können nicht verhindern, dass Kriminelle Aufklärung betreiben. Sobald sie jedoch beginnen, Informationen herumzuschicken oder Kontrollmechanismen aufzubauen, sind wir in der Lage, potenzielle Angriffe aufzuspüren. Das gelingt uns an Kleinigkeiten, wie etwa einer IP-Adresse, die sonst nie genutzt wird oder einem ZIP-File, das sonst als Format nie auftaucht. Ich bin überzeugt, dass wir mit Hilfe unseres Ansatzes die Spielregeln ändern können. Wir sind jedoch weit entfernt, den Krieg zu unseren Gunsten entschieden zu haben, was Anfang der 2000er Jahre vor allem von Antivirus-Unternehmen lauthals verkündet wurde.
Was können wir von den Kriminellen lernen?
Es ist oft verblüffend zu sehen, wie gut sie organisiert sind, auch auf internationaler Ebene. Anstatt sich früher hinter Mauern zu verstecken, gilt es heute, unser gesamtes Ökosystem zu schützen. Das setzt intensive Zusammenarbeit voraus. Für einen US-Amerikaner wie mich ist die kollaborative Natur der Europäischen Union beeindruckend, die den Informationsaustausch über Landesgrenzen, aber auch zwischen öffentlicher und privater Hand erlauben – Beispiel Smart Grid, wo ich selbst sehr aktiv bin. Durch den Informationsaustausch etwa zwischen den USA und China könnte zudem ein neuer Level des gegenseitigen Vertrauens geschaffen werden.
Wie wird Big Data die Entwicklung von Security-Produkten beeinflussen?
Wir werden völlig neue, aufregende Produkte sehen. die die Vorteile von Big Data nutzen und Bedrohungen aufspüren werden, die mit traditionellen, Signatur-basierenden Systemen unentdeckt bleiben. Derzeit ergänzen sich beide Systeme sehr gut. Ich selbst habe auf meinem Laptop ein Antivirus-Programm und Ecat installiert, das wir im Herbst letzten Jahres gekauft haben und Malware etwa durch die Analyse von Userpattern auf die Spur kommt. Ich bin überzeugt, dass die Bedeutung von klassischen Antivirus-Lösungen deutlich abnehmen wird. Das liegt nicht nur an der Entwicklung von alternativen Tools, sondern auch daran, dass sich die Mittel der Angreifer grundlegend ändern.
Wie wirkt sich Big Data auf die Rolle des Chief Security Officers aus?
In der Vergangenheit hat sich der CSO vor allem um die Frage der Geschäftsführung gekümmert, wie das Unternehmen am besten zu schützen ist. Diskussionen über Informationssicherheit waren meist kurz oder haben gar nicht stattgefunden. Durch den Intelligence-Ansatz geben wir den CSO die Möglichkeiten an die Hand, statt bloß über die Schwachstellen des Unternehmens über die gesamte Bandbreite von Risken zu sprechen, wie etwa die Strategien, die potenzielle Angreifer verwenden. Damit kann der CSO den Rahmen definieren, in dem die Geschäftsführung Gegenmaßnahmen ergreift. Auf dieser Ebene werden die Diskussionen ganz anders ablaufen als in der Vergangenheit.
Das Gespräch führte Wolfgang Franz.
ZUR PERSON:
Bob Griffin ist Chief Security Architect bei RSA, the Security Division of EMC. Hier ist er vor allem für die Systemarchitektur, die Standards und die Strategie von Sicherheitsprodukten aus dem Hause RSA verantwortlich. Griffin vertritt EMC in diversen Standard-Organisationen wie etwa im technischen Ausschuss des OASIS Key Management Interoperability Protocol (KMIP).
Bob Griffin bringt reichhaltige Erfahrung in den Bereichen Strategie, Corporate Governance, Business Process Transformation und Software-Entwicklung mit. Er ist regelmäßig gebuchter Redner auf Tagungen und Fachkonferenzen im wirtschaftlichen, als auch universitären Umfeld. Zuletzt war er Keynote-Speaker auf dem RSA Security Summit, der am 24. Mai in der EMC-Zentrale in Wien über die Bühne gegangen ist.
Be the first to comment