Wer es zuvor noch nicht mitbekommen hatte, dem wurde es spätestens auf der kürzlich zu Ende gegangenen RSA Conference 2013 deutlich: Die Großen der Branche setzen auf Big Data, um den Sicherheitsbedrohungen Herr zu werden. Die bei halbwegs gezielt gerittenen Attacken auf Netzwerke verwendeten Schädlinge rauschen unter dem Radar der Antivirensoftware ins Netz, infizieren dort Rechner und bleiben lange Zeit unentdeckt. Wie Nicholas Perocco, Leiter der Spider Labs von Trustwave, im Gespräch mit der COMPUTERWOCHE erklärte, entdecken im Schnitt lediglich fünf Prozent aller angegriffenen Unternehmen in weniger als zehn Tagen eine Attacke. Die meisten Opfer finden erst zwei oder drei Jahre nach der Infektion heraus, dass es ein Datenleck gab.
Die Analyse riesiger (vorhandener) Datenbestände soll diese geräuschlosen Angriffe spätestens dann ausfindig machen, wenn die Schädlinge Daten aus dem Unternehmensnetz an Hintermänner senden – und so das Zeitfenster zwischen Infektion und Entdeckung verkleinern. Nicht zuletzt RSA will IT-Sicherheitsspezialisten in Unternehmen mit seiner neuen Security Analytics Unified Platform das notwendige Werkzeug an die Hand geben, um die verdächtigen Datenströme im Wust des sekündlich erzeugten Datenverkehrs auszumachen.
"Neue Techniken sorgen dafür, dass die Anzahl der Systeme, die Loginformationen liefern, stetig steigt. Die Menge an Daten, die somit aus den diversen Logdateien hervorgeht, überfordert selbst IT-Sicherheitsspezialisten. Man kann mit diesen Daten Compliance-Anforderungen erfüllen, aber zum zeitnahen Aufspüren von komplexen IT-Sicherheitsvorfällen sind andere Techniken als die heute verwendeten SIEM-Lösungen notwendig“, sagt Ralph Salomon, CISO der SAP AG.
Fit mit neuen Engines
SAP nutzt seit zwei Jahren die Envision-Plattform von RSA, quasi den Vorläufer der kürzlich vorgestellten Analytics-Plattform. Salomon ist überzeugt von der Leistungsfähigkeit einer solchen Lösung. Anders als bislang bekannte Tools wie SIEM (Security Information and Event Management)-Lösungen setzen Big-Data-Analytics-Anwendungen nicht auf herkömmliche tabellenbasierte Datenbanken, in denen die Logfiles landen.
Laut Eddie Schwartz, CISO von RSA, basieren Big-Data-Sicherheitslösungen auf speziell für diesen Zweck entwickelten Event Processing Engines. Diese sind erheblich schneller als gewöhnliche Datenbanken. So könne man beispielsweise erstmals in Echtzeit sämtliche Kommunikation zwischen Layer 2 (Data Link Layer, Sicherungsschicht) und Layer 7 (Application Layer, Anwendungsschicht) erfassen und auswerten.
In der Praxis bedeutet das, dass Big-Data-Analytics-Systeme nicht ausschließlich auf Logdateien angewiesen sind. Im Fall der RSA-Lösung wird zudem der Netzwerkverkehr auf Paketebene erfasst und in Korrelation mit den Logfiles analysiert. Nir Zuk, Gründer von Firewall-Hersteller Palo Alto Networks sieht die Kombination dieser Datenquellen auch als zwingend notwendig an. Er sagt: „Bislang hat mir noch kein Hersteller von Tools zur Loganalyse eine bis dato unbekannte Attacke aufzeigen können, die nur auf Basis von Log-Dateien entdeckt worden wäre. Dieser Ansatz funktioniert nur mit bereits bekannten Angriffsmustern.“
Die wahrscheinlich wichtigste Datenquelle beim Kampf gegen neue Bedrohungen findet sich wahrscheinlich in der Cloud: Damit die neuen Analysetools bislang unbekannte Gefahren überhaupt als solche erkennen, müssen externe Quellen angezapft werden. Anbieter solcher Threat Intelligence-Quellen sind beispielsweise Bit9, iSEC Partners oder Symantec. Kunden, die ihre Systeme vollautomatisch mit aktuellen Bedrohungsinformationen versorgen wollen, können die Ströme abonnieren. Ohne die optimierten Analysefunktionen, die in aller Regel auf dem für Big Data ausgelegten Framework Apacha Hadoop basieren, wäre eine solche Menge an kombinierten Daten nicht in vertretbarer Zeit auszuwerten.
Auch unbekannte Bedrohungen finden
Durch die immer weiter gesunkenen Speicherkosten ist es inzwischen zudem möglich, die zuvor erfassten Daten in einem eigenen Data Warehouse längere Zeit aufzuheben. Solange das eben die Datenschutzbestimmungen des jeweiligen Landes erlauben. Der Vorteil des Speicherns: Die IT-Sicherheitsfachleute können auch zurückliegende Ereignisse unter die Lupe nehmen. Schlägt das System plötzlich Alarm und weist auf eine bislang nicht bekannte Gefahr hin, kann mit Hilfe der Datenbestände unter Umständen festgemacht werden, wann der Einbruch passierte und welche Rechner noch vom gleichen Schädling infiziert wurden.
Anders als SIEM sollen Big-Data-Analytics-Lösungen auch bislang unbekannte Gefahren lokalisieren können. Malware-Signaturen spielen eine untergeordnete Rolle. Stattdessen spricht beispielsweise Symantec davon, dass die Lösung des Unternehmens Abweichungen vom Normalzustand des Netzwerks erkennt und daraufhin Alarm schlägt. Zu einen bestimmten Zeitpunkt definieren Spezialisten, was „normal“ ist. Dazu gehört beispielsweise eine Liste der üblicherweise verwendeten Anwendungen, die Kernarbeitszeiten oder die Orte, von denen aus einzelne Mitarbeiter ihrer Tätigkeit nachgehen.
Nir Zuk sieht in diesem Vorgehen wenig Sinn. Im Gespräch sagte er: „Ich bezweifle, dass das Erkennen von Angriffen auf Basis einer voran gegangenen Normalisierung etwas bringt. Noch nicht einmal in einem Privathaushalt lässt sich der Normalzustand des Netzwerkes treffsicher feststellen.“
Sein Unternehmen setzt daher auf eine andere Form der Big-Data-Analyse: Produkte von Palo Alto Networks (PAN) erfassen jegliche Dateien – Office-Dokumente, Videoclips, PDF-Files, ausführbare Programme und so weiter – in den Netzwerken der Kunden und leiten sie an PAN weiter. Vorausgesetzt, der Kunde hat zuvor zugestimmt. Zuk sagt, dass die meisten der PAN-Kunden keine Probleme damit hätten, solange sich der Transfer auf ausführbare Programme beziehungsweise DLL-Dateien beschränkt.
- Oracle Audit Vault
Oracle hat neben den in der Datenbank integrierten Sicherheitsfunktionen mit „Audit Vault and Database Firewall“ eine Security-Suite im Programm, die zunehmend als produkt- und herstellerübergreifende Lösung positioniert wird. Die im vergangenen Dezember als Software-Appliance vorgestellte Kombination sammelt Audit- und Log-Daten von verschiedenen Datenbanken. Neben den Oracle-Produkten werden auch IBM DB2, Microsofts SQL Server, SAPs Sybase ASE und MySQL unterstützt. - IBM InfoSphere Guardium
Mit „InfoSphere Guardium“ verspricht der IBM seinen Kunden Echtzeit-Monitoring sowie ein automatisiertes Compliance-Reporting für Hadoop-basierte Systeme wie Cloudera und das IBM-eigene "InfoSphere BigInsights". - Hewlett-Packard ArcSight
Als zentrale Komponente liefert der "Arc- Sight Enterprise Security Manager" (ESM) ein komplettes Set an Überwachungsfunktionen. Mit dem "Application Security Monitor" sollen sich auch Anwendungen in die Sicherheitsarchitektur einbinden lassen. - McAfee NitroSecurity
Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM). - RSA (EMC) enVision/NetWitness
Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log- Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können. - Symantec SSIM
Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten. - Splunk
Der Anbieter baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit- Monitoring einrichten. - Packetloop
Packetloop hat eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen. - Zettaset
Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren.
"Nichts geht mehr" bei Gefahr
Im PAN-Rechenzentrum werden die Files dann mindestens einmal eingehend analysiert. Ausführbare Dateien werden in einer Sandbox gestartet und anschließend beobachtet. Alle eventuell aufgebauten Netzwerkverbindungen gen Internet und sämtliche DNS-Abfragen, die die Programmen tätigen, werden erfasst und protokolliert. Erscheint irgendein Teil der Kommunikation verdächtig, informiert der Cloud-Dienst von PAN sofort alle bei Kunden installierten Geräte. Je nachdem, wie weit der jeweilige Kunde seine Firewall automatisiert hat, unterbricht diese nach Eingang der Warnung sofort sämtlichen Datenverkehr, der dem ermittelten Muster entspricht. Laut Nir Zuk vergehen zwischen 30 und 60 Minuten, bis nach dem erstmaligen Auftauchen eines bislang unbekannten Files alle Kundensysteme gegen dessen bösartiges Verhalten geschützt sind.
So leistungsfähig Big-Data-Lösungen aber auch sein mögen, sie stellen ihre Anwender vor ein Problem: Der Umgang mit solchen Hochleistungslösungen bedarf hochspezialisierter Experten. Nicholas Perocco bezweifelt, dass der Löwenanteil der mittelgroßen Unternehmen mit Big-Data-Analytics gut bedient ist. Er rät eher zu einem Managed Service. Auch RSA-Mann Eddie Schwartz sieht die Problematik des Mangels an qualifiziertem Personal. Service Provider, die im Auftrag der Kunden die Analysen sichten, könnten den Engpass seiner Meinung nach gut ausgleichen. (sh)