Mit Big-Data-Analyse gegen heimliche Angreifer

Angriffe von staatlich sanktionierten Hackern, Raub von geistigem Eigentum oder die Bedrohung der für Wirtschaft und Gesellschaft hochwich­tigen Infrastrukturen: Das IT-Angriffsszenario hat sich im Vergleich zu früher grundlegend geändert – hauptsächlich deshalb, weil auch die Angreifer andere sind. Die Gegner der Security Officer in den Unternehmen sind hochflexibel, ändern ständig die Spielregeln und erweisen sich als extrem ausdauernd. In der Cybersecurity-Szene nennt man dies Advanced Persistent Threat (APT), was so viel heisst wie hoch entwickelte, hartnäckige Bedrohung. «Die Cyberkriminellen arbeiten heute weltweit zusammen und funktionieren immer mehr wie ein globales Unternehmen», beschreibt Paul Stamp die neuzeitlichen Hacker. Stamp, der bei RSA, dem Security-Arm von EMC, für das Produktmarketing zuständig ist, macht ausserdem auf die zunehmende Schieflage zwischen Angriff und Abwehr aufmerksam: «Hacker verwenden mehr Zeit darauf, ihre Angriffe zu planen und auszuarbeiten, als es die Firmen tun, um diese abzuwehren», lautet sein Fazit. Zudem wissen sich die Angreifer heute bestens vor den Security-Spezialisten zu verstecken, weil sie die Methoden kennen, mit denen diese nach ihnen suchen. «Der Cyberkriminelle bricht in das Unternehmensnetz ein und bleibt dort längere Zeit. Vor allem wird er alles daran setzen, sich gegen die Versuche des Angegriffenen zu wehren, ihn wieder aus dem Netz zu jagen», sagt Stamp. Eine betrübliche Ausgangslage für die Sicherheitsspezialisten in den Firmen. Lesen Sie auf der nächsten Seite: Berechenbar durch Compliance Berechenbar durch Compliance Die Hersteller von Security-Lösungen haben diese Entwicklung natürlich mitverfolgt und ihren Devices die Suche nach Anomalien beigebracht. Auch die Firewalls der nächsten Generation oder SIEM-Appliances (Security Information and Event Management), die in Logdaten nach Unstimmigkeiten forschen, haben dazugelernt und besitzen heute ein Vielfaches an Intelligenz als noch vor Jahren. Es besteht aber die berechtigte Frage, ob dies reicht, um dem neuen Hacker das Handwerk zu legen. Nein, meint Alex Cox, leitender Threat-Analytiker bei RSA, und macht dafür eine gewisse Kurzsichtigkeit verantwortlich. Viele Hersteller und Security-Verantwortliche schielen zu sehr auf die Regulatoren, kritisiert Cox: «Sie bauen und installieren ihre Appliances und Applikationen so, dass die Infrastruktur in den Augen der Regulatoren ausreichend geschützt ist und sie den Compliance-Stempel erhalten.» Das hätten allerdings auch die Cyberkriminellen gelernt. Eben weil sie dadurch sehr genau wüssten, wie die Firmen ihre Verteidigungsringe aufbauen, folgert Cox, könnten sie auch entsprechende Schlupflöcher ausmachen und diese unerkannt benutzen. «Die bestehenden Security-Modelle greifen zu kurz», folgert Cox. «Sie gehen davon aus, dass Unternehmen einen Perimeter haben, den man verteidigen kann.» Das stimme allerdings für unsere globalisierte Welt schon lange nicht mehr, meint auch Art Caviello, CEO des Security-Experten RSA. Die Firmen haben ihre In-frastruktur geöffnet, um besser mit Partnern interagieren zu können. Das Problem dabei: «Die Kriminellen benützen dieselben Öffnungen für ihre Machenschaften und dies im Wissen, dass die Security-Strategie sich kaum geändert hat», sagt Caviello. Investiert werde jedoch weiter hauptsächlich in die Prävention. «Rund 70 bis 80 Prozent der IT-Security-Budgets werden derzeit in die reine Abwehr gesteckt, nur 15 bis 20 Prozent fliessen dagegen in die Aufdeckung. Unerklärlich geringe 5 bis 10 Prozent werden für Gegenmassnahmen ausgegeben», rechnet Caviello vor. Lesen Sie auf der nächsten Seite: Zu langsam für moderne Zeiten Zu langsam für moderne Zeiten Auch Marc van Zadelhoff, der bei IBM Security Systems für Strategie und Produkte zuständig ist, sieht bei der in vielen Unternehmen üblichen Sicherheitsinfrastruktur Defizite: «Ich habe Kontakt zu Kunden, die sage und schreibe 65 verschiedene Security-Produkte und -Appliances im Einsatz haben, die zu allem Übel nicht miteinander sprechen können.» In so einem Umfeld ist es logischerweise äusserst schwierig, APT-Angriffe aufzudecken. Tatsächlich hat sich die Industrie in der Vergangenheit stattdessen beeilt, zu jeder neuen Bedrohungsart jeweils eine neue Appliance anzubieten. Die Öffnung und Beschleunigung der IT-Infrastruktur, die wohlgemerkt ein unerhörtes Mehr an Produktivität gebracht hat, erfordert laut Caviello deshalb einen Wechsel des Fokus auf die Aufdeckung und aktive Bekämpfung von Cyberangriffen. Dies sei aber nur möglich, wenn man sehr schnell reagieren könne. Ihm zufolge braucht es dazu einen intelligenteren Ansatz als bisher. Caviello zufolge greifen SIEM-Systeme hier zu kurz. «Ehrlich gesagt: Die Analyse und Korrelation von Log-Daten reicht nicht mehr aus», meint der RSA-Chef. Er schlägt stattdessen vor, Big-Data-Analysemethoden zu verwenden. Damit könnten nicht nur Log-Daten, sondern auch Paketinformationen und die Daten aus verschiedensten Security-Appliances sowie externe Feeds von Sicherheitsfirmen zentral zusammengeführt und analysiert werden. Nur so könne man schneller zu Erkenntnissen kommen, was eigentlich in der eigenen Infrastruktur abgehe, ist Caviello überzeugt. Vor allem könnten die Security-Verantwort-lichen dadurch ganz neue Zusammenhänge und Angriffsvektoren entdecken, auf die sie selbst nie gekommen wären, ergänzt Eddie Schwartz, Chief Information Security Officer bei RSA. Denn Hacker benützen immer das Unbekannte, um einzubrechen – «the unknown Unknown», wie es Schwartz nennt. Um zu solchen unerwarteten Schlüssen zu kommen, müsse man erst einmal «alles aufzeichnen», lautet sein Rezept. Diese allumfassende Aufzeichnung beinhalte zwei Dimensionen: Auf der ersten Ebene müsse man sich fragen, was sich überhaupt im eigenen Netz befindet und welche Informationen relevant für die Sicherheit sind. Zweiter Schritt ist der Blick nach aussen: Nur wenn die Infos von externen Stellen mit den eigenen Daten in Verbindung gesetzt werden, erkenne man Zusammenhänge. Lesen Sie auf der nächsten Seite: Sammle und analysiere alles Sammle und analysiere alles Albert Einstein soll einmal gesagt haben, dass er als Wissenschaftler nicht zu suchen aufhöre, wenn er die Nadel im Heuhaufen gefunden habe, sondern nach weiteren Nadeln Ausschau halte. Dieses Prinzip gilt auch für Big Data Security Analytics. Der Heuhaufen repräsentiert dabei alle Netzwerkverbindungen, Daten, Programme, Sicherheitslöcher, Malware-Kombinationen, Appliances und Personen der Online-welt. Die Nadeln stehen für die Angreifer, die unterschiedliche Abstufungen von potenzieller Sichtbarkeit aufweisen. Es gilt also, nach Un­regelmässigkeiten und Anomalien zu suchen. Doch wie findet man diese, wenn erst einmal «alles» aufgezeichnet ist? Zunächst müsse das Datenmaterial in drei Kategorien geteilt werden, schlägt Brendan Hannigan, General Manager von IBM Security Systems, vor. Hannigan unterscheidet dabei zwischen heissen, warmen und kalten Daten. Die heissen Daten, also Echtzeitinformationen aus dem laufenden Betrieb, werden sofort korreliert und analysiert, um aktuelle Abweichungen zu erkennen. Die warmen Daten umfassen die letzten paar Tage, kalte Daten sind eventuell schon einige Jahre alt. Gerade die kalten Daten sind für das Auf­decken von Betrugsfällen jedoch besonders interessant, wie Jim Brennan, Program Director für Threat Protection bei IBM, erklärt. «Wir nehmen die zum Teil mehrere Jahre alten Daten und ermitteln auf dieser Basis, wie die normale oder standardmässige Benutzung einer Applikation aussieht», führt er aus. Damit können dann sowohl alte Fälle aufgedeckt als auch neue Angriffsmethoden erkannt werden. Denn mit der rein historischen Analyse ist es noch nicht getan. Aus dem ermittelten Normalfall entsteht ein Raster, das Risiken aufzeigt. Dieses wiederum lässt sich auf die Echtzeitdaten anwenden. «So erkennen wir anhand der historischen Daten, welche Attacken sich hier und jetzt gerade anbahnen», so Brennan. Lesen Sie auf der nächsten Seite: Zwei praktische Beispiele Zwei praktische Beispiele Derek Lin, Data Scientist bei der EMC-Tochter Greenplum, nennt zwei Szenarien, bei denen Big-Data-Technik im Security-Bereich gute Dienste leisten kann. Im ersten Praxisbeispiel geht es darum, die Aktivität eines sogenannten «Malware Beacon» aufzudecken. Hier versucht eine viren- oder trojanerbefallene Maschine, sich mit einer externen IP in Verbindung zu setzen, um von einem entfernten Kontrollserver neue Befehle zu empfangen. Solche Verbindungsversuche gehen normalerweise im regulären Webverkehr unter, zumal dann, wenn sie über den für das HTTP-Protokoll verwendeten Port 80 abgewickelt werden. «Wenn wir für diesen Verkehr statistische Indikatoren ent­wickeln, etwa die Wahrscheinlichkeit von Zeitintervallen zwischen einzelnen Verbindungen oder der Anzahl Bytes, die normalerweise über einen siebentägigen Zeitraum verschickt werden, kann errechnet werden, ob die Netzwerk­aktivität der Norm entspricht», erklärt Lin. Ein weiteres Anwendungsbeispiel ist die Aufdeckung eines Anwenders, der abnormal viele Netzwerkressourcen in Anspruch nimmt. «User mit derselben Aufgabe haben in der Regel auch einen ähnlichen Bedarf an Netzwerk­ressourcen. Die Verwendung dieser Ressourcen folgt gewissen Mustern», führt der Data Scientist aus. Diese User-Muster könne man clustern, indem die Logdaten aus den Aktivitäten mehrerer Monate zusammengezogen werden, und mithilfe einer graphentheoretischen Analyse veranschaulichen. Die Verhaltensmuster der verschiedenen Usergruppen lassen sich dann mit den tatsächlichen Daten der einzelnen Anwender aus dem Active Directory und den für den Verzeichnisdienst definierten Policies vergleichen. Lesen Sie auf der nächsten Seite: Neues Jobprofil Neues Jobprofil Neben der schieren Menge und Flüchtigkeit der Daten sowie der Verschiedenheit der Datenquellen besteht nach Ansicht von Lin aber noch eine weitere Herausforderung bei der Einführung von Big-Data-Methoden im Security-Bereich: die Expertise des Sicherheitsexperten. «Viele Security-Verantwortliche haben nicht genügend mathematisches Rüstzeug, um die statistischen Analysen durchzuführen, die etwa das Profiling von Verhaltensweisen im Netzwerk erfordert», meint er. Hier sei das Wissen eines Data Scientist gefragt, wobei Lin einräumt, dass diesem wiederum das Wissen um die Netzwerksicherheit fehle bzw. über mehrere Jahre erarbeitet werden müsse. Lin fordert daher, diese gemeinsame Expertise künftig schon auf Hochschul-ebene zu vermitteln. Als Beispiel, wo Wissenschaft und Informatik bereits gut zusammenwirken, nennt er die Bioinformatik. Denn eines ist klar: Den künftigen, wissenschaftlich ausgebildeten Security-Spezialisten geht die Arbeit garantiert nicht so schnell aus. Big Data Security Analytics: Herstellerüberblick Big Data Security Analytics ist ein blutjunges Betätigungsfeld für die IT- und Security-Industrie. Entsprechend spärlich ist auch das Angebot an handfesten Lösungen. Dass die Anbieter darin jedoch ein hohes Potenzial sehen, beweist die Tatsache, dass in den letzten Monaten gleich zwei IT-Schwergewichte Produkte rund um das Thema vor­gestellt haben. So geht die EMC-Tochter RSA mit der Lösung «RSA Security Analytics» an den Start. Diese beruht auf der Architektur der hauseigenen Netzwerküberwachungs­lösung RSA NetWitness und vereint folgende Funk­tionen in einer Plattform: Security Information & Event Management (SIEM), Netzwerkforensik sowie Big-Data-Analysen. Mit ihrer Lösung «Security Intelligence with Big Data» präsentiert auch IBM ein entsprechendes Paket. Dieses enthält unter anderem IBMs «QRadar Security Intelligence Platform» und die hauseigene «Big Data Platform». Auch Hewlett-Packards Angebot «Security Breach Management Solution» geht in Richtung Big Data Security, da die Lösung stark auf Forensik setzt.Neben den Big Playern leisten auch etliche Spezialisten im Bereich Big Data Security Analytics wichtige Pionierarbeit. Zu nennen wären hier sicherlich LogRhythm, die mit «SIEM 2.0» ein Werkzeug für die multidimensionale, Big-Data-basierte Security-Analyse bietet. Die weiteren Hersteller lassen sich in zwei Lager teilen. Während Click Security, Lancope und Solera Networks sich auf die Analyse von Echtzeitdaten fokussieren, untersuchen Firmen wie LexisNexis, PacketLoop und RedLambda asymmetrische Daten.