Cybersecurity Strategie Big Data
Effiziente Cybersicherheit ist auch eine Big Data-Herausforderung
Verwertbares Wissen statt Datenflut durch automatisierte Analyse, so Palo Alto Networks
München, den 27. November 2015 – Es gibt derzeit viele Diskussionen über die Rolle und den Wert der Bedrohungsanalyse und -erkennung bei Cybersicherheitslösungen. Wie bei so vielem in der Cyberwelt haben sich die Anforderungen verändert, deshalb muss sich auch die Funktionsausrichtung von Sicherheitslösungen ändern.
Als die Heartbleed-Schwachstelle im vergangenen Jahr gemeldet wurde, ging es zunächst darum, weitere Informationen zu sammeln. Innerhalb der ersten 24 Stunden waren bereits Hunderttausende von Artikeln online, viele technische Einblicke konnten genutzt werden. Es gab keinen Mangel an Informationen über die Schwachstelle und wie der Exploit funktioniert.
In der Tat gibt es eine Fülle von technischen Informationen zu Bedrohungen und Schwachstellen, bekannte bösartigen Domains/IP-Adresse und so weiter. Die Herausforderung besteht darin, aus so vielen Rohdaten nützliches Wissen zu generieren. 2014 wurden in der CVE-Liste 9.751 „Vulnerabilities“ und „Exposures“ dokumentiert. Das wären also fast 27 pro Tag, was zu viele Daten wären, um darauf basierend täglich sinnvolle Sicherheitsentscheidungen zu treffen. Angesichts dieser Zahlen, ergeben sich drei Möglichkeiten, um einen Mehrwert aus den unzähligen Analysedaten zu schöpfen:
1. Den Schutz vor so vielen dieser Bedrohungen und so schnell wie möglich sicherstellen.
2. In der Lage zu sein, zu erkennen, welche die risikoreichsten dieser Angriffe sind, die sich wahrscheinlich auf das eigene Unternehmen auswirken können. Vom Gesamtvolumen an Angriffen gilt es die wenigen zu identifizieren, gegen die inkrementell proaktiv vorgegangen werden kann. Dies wären in der Regel jene Angriffe, die sich gegen die eigene Branche und den geografischen Standort richten. Dies sind gezieltere Angriffe mit spezifischen, fokussierten Zielen und größeren Auswirkungen auf den Geschäftsbetrieb.
3. Reverse-Analyse: Die jüngsten Sicherheitsvorfälle, die in den Medien kursierten, bestätigen das Problem, dass Indikatoren einer Kompromittierung (IOCs) oftmals gefunden werden, aber nicht reagiert wird. Entscheidend ist es für Sicherheitsteams, verdächtige IOCs zu verstehen, wenn sie auf bestehende Kampagnen oder Techniken hindeuten. Plattformen wie IT-ISAC (Information Sharing and Analysis Center) entstehen rund um die Welt, um dies auf der Ebene von Interessengruppen zu tun, aber der Effekt ist auf die Mitgliedschaft in den Gruppen beschränkt.
„Bestimmte Elemente sind unbedingt erforderlich, um Informationen in wertvolles, für Unternehmen umsetzbares Wissen zu verwandeln. Dieses soll als Grundlage dienen, um Entscheidungen zu treffen und geeignete Maßnahmen zu ergreifen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Alle diese Faktoren sind voneinander abhängig, und wenn ein einzelner fehlt, geht der Gesamtwert gegen Null.“
- Rechtzeitig: Angriffe sind zunehmend maßgeschneidert sind weisen eine kürzere Lebensdauer auf. Deswegen ist die Zeit, um nützliches, kontextabhängiges Wissen zu erhalten, kritisch.
- Umsetzbar: Analyse ist nur sinnvoll, wenn sie Informationen darüber liefert, was der Empfänger als nächstes tun sollte, um den Angriff abzuwehren. Zu viele Informationen über die Bedrohung führen zum Problem, dass die nötigen menschlichen Eingriffe nicht rechtzeitig ausgeführt werden können.
- Maschinenlesbar: Wo Angriffe nur von CPU-Leistung und Netzwerkgeschwindigkeit eingeschränkt werden, ist eine manuelle Analyse durch Menschen schwierig, da versucht wird, mit einem analogen Prozess in ein digitales Problem einzugreifen. Wenn nicht direkt auf Technologieebene Maßnahmen durchgeführt werden, ohne menschliche Beteiligung, kommt es zu einer Verzögerung im Prozess. Dies ist entscheidend, sowohl in Bezug auf die Zeit, um präventive Überwachungsmaßnahmen anzuwenden als auch auf die Fähigkeit, mit der Kapazität des heutigen Spektrums an Cyberangriffen umzugehen.
- Niedrige False-Positives-Quote: Wenn wir Erkenntnisse aus der Bedrohungsanalyse ohne menschlichen Input nutzen, müssen wir ein hohes Maß an Vertrauen in die erhaltenen Informationen haben.
- Kontext: Aus Sicht des Risikomanagements bedeutet das, in der Lage zu sein, relevante, aktuelle, Hochrisiko-Bedrohungen zu identifizieren, die Kontext erfordern, wie der Angriff aussieht und wie er ausgeführt wird.
Cybersicherheit ist heute ein Spiel mit Zahlen. Mit dem Volumen an weltweiten Ereignissen und dem Volumen an intern entdeckten Ereignissen stehen wir vor einer Big-Data-Herausforderung. Diese lässt sich nur meistern durch die Einbindung von mehr IP-Adressen und mehr Sicherheitsfunktionen, da das Volumen der Angriffe weiter wächst. SIEM-Tools (Security Information and Event Management; Sicherheitsinformations- und Ereignismanagement) unterstützen in der Regel die Konsolidierung interner Ereignisse, aber das ist nur ein Teil der Herausforderung. Wir müssen auch Kontext hinzufügen und externe Informationen konsolidieren.
Ein Schlüsselproblem ist, dass in der Regel eine begrenzte Anzahl an IT-Personal zur Verfügung steht, was einer analogen Begrenzung in der digitalen Welt gleichkommt. Je mehr Aktivitäten sich filtern und automatisieren lassen (Maschine zu Maschine), desto eher ist es möglich, mit der gleichen Geschwindigkeit wie die digitalen Angriffe zu agieren. Es wird immer ein gewisses Maß an menschlichen Eingriffen erforderlich sein, aber heute sind diese Menschen in der Regel mit Aufgaben gebunden, die automatisiert werden sollten, damit sie rechtzeitig ausgeführt werden können. Mit den richtigen Erkenntnissen aus der Bedrohungserkennung und -analyse lässt sich der Automatisierungsgrad erhöhen. Das von Routineaufgaben entlastete Sicherheitspersonal kann sich dann auf wichtigere Aktivitäten, die tatsächlich menschliche Interaktion erfordern, konzentrieren.