Security-Intelligence
Das zentrale Nervensystem im Netzwerk
Fortsetzung des Artikels von Teil 1
Big-(Network-)Data intelligent analysieren
In modernen Unternehmensnetzwerken generieren sehr viele Geräte noch mehr Daten, darunter Priorisierungsinformationen sowie Applikations- und Log-Daten. Auf Basis dieser oft sicherheitsrelevanten Informationen lässt sich ein ganzheitlicher Netzwerkschutz aufbauen – sofern das IT-Security-System intelligent genug ist.
Ähnlich wie Business-Intelligence-Tools große, heterogene Datenbestände – Stichwort: Big-Data – analysieren, um Entscheidungsprozesse zu optimieren und Wachstumsmöglichkeiten aufzuspüren, können Security-Intelligence-Systeme die im Netzwerkbetrieb aus unterschiedlichen Quellen anfallenden enormen Datenmengen analysieren und Ereignisse in Beziehung zueinander setzen. Diese auch SIEM („Security Information and Event Management“) und Log-Management genannten Tools ermöglichen es beispielsweise, Schwachstellen, Gerätekonfigurationen und Echtzeitdaten zur aktuellen Bedrohungslage zu korrelieren und so Anomalien im Netzwerkbetrieb aufzuspüren.
Sie agieren quasi als zentrales Nervensystem im Netzwerk und können belast-bare Aussagen über das Gefährdungspotenzial einzelner Vorgänge machen.
Die Systeme verfügen über genügend Rechenleistung, um mit Hilfe der immensen Datenmengen die IT-Sicherheit intelligent zu optimieren. Dadurch können auch Handelsunternehmen ihr IT-Sicherheitsniveau deutlich heben.
Doch das Erkennen von böswilligen Verhaltensmustern, die auf einen Eindringversuch oder einen bevorstehenden Datendiebstahl hinweisen, ist nicht trivial. Dafür muss die gesamte Infrastruktur, die beispielsweise in die Verarbeitung von Kreditkartendaten involviert ist, überwacht und nach auffälligen Aktivitäten untersucht werden. Das umfasst alle Elemente vom Verkaufsstand-Terminal (Point-of-sales, POS) bis hin zur Zahlungsverarbeitung sowie die gesamte Back-Office- und Netzwerkinfrastruktur.
Ein Beispiel: Wenn eine Malware auf einem POS-System installiert wird, kann sie möglicherweise auf einen Bestell- und Kontrollserver zugreifen. Dies ist eine für einen POS-Terminal abnormale Kommunikation, die ein Security-Intelligence-System aufspüren kann. Oder die Malware initiiert ungewöhnliche Prozessaktivitäten und versucht, das Dateisystem des POS zu verändern. Ein weiterer Indikator könnte ein Anwender sein, der plötzlich auf einen Back-Office-Server zugreift, auf dem schützenswerte Kundendaten gespeichert sind. In all diesen Szenarien tauchen inkonsistente Aktivitäten auf. Wenn diese gewissenhaft überwacht und analysiert werden, können sie darauf hinweisen, dass ein Angriff stattfindet oder bevorsteht. Das System kann dann einen entsprechenden Alarm auslösen und die IT-Verantwortlichen benachrichtigen.
- Das zentrale Nervensystem im Netzwerk
- Big-(Network-)Data intelligent analysieren
- POS und das Back-Office schützen
Lesen Sie mehr zum Thema
