Data Analytics
Das Schlauchboot auf dem Trockenen
Zunehmende Datenmenge heißt nicht unbedingt Erkenntniszuwachs. Gerade in der Cybersicherheit gibt es einen oberen Scheitelpunkt, ab dem der Erkenntnisgewinn schnell kippt und mindestens für Verwirrung sorgt. Dezentrale Analytics wird deshalb immer wichtiger.
Information führt nicht zwangsläufig zu mehr Wissen – ganz im Gegenteil. Schon längst sind etwa IT-Abteilungen überfordert, wenn sie umfangreiche Firewall-Logs auswerten sollen, um Angriffsstatistiken zu erstellen oder einzelne Ereignisse zu analysieren. Die schiere Menge der Logeinträge führt dann oft zur Resignation, und das kann negative Folgen in Bereichen haben, an die zunächst niemand denkt. Dass einzelne Angriffe nicht ermittelt werden können, liegt nahe; Wenn der CISO aber nicht in der Lage ist, die Geschäftsleitung mangels gut aufbereiteter Statistiken zu überzeugen, höhere Sicherheitsbudgets freizugeben, kann das am Ende den Betrieb der kompletten IT gefährden oder zum Diebstahl vertraulicher Daten führen. Einzelfälle? Sicher nicht. In Unternehmen sind sie vielmehr Alltag.
Unternehmen sind zunehmend datengesteuert und automatisiert, und damit wird die komplette IT-Landschaft immer unhandlicher, nicht nur einzelne Firewalls oder andere Devices: Die Überwachung und Verwaltung aller IT-Komponenten entwickelt sich aufgrund der schnell anwachsenden Datenmenge, die alle User generieren, zur Herkulesaufgabe. Die Big-Data-Analyse wird dabei häufig als Königsweg bezeichnet, um dieses Problem zu lösen. Bei Big-Data-Lösungen werden Sicherheits-Logs und -Ereignisse aus jedem Winkel des Netzwerks in eine zentrale Plattform gespeist. Die Anzahl von schwindelerregenden vier oder fünf Milliarden Ereignissen pro Tag – oder noch viel mehr – muss allerdings erst einmal verarbeitet werden und stellt aufgrund der notwendigen Detailtiefe eine gigantische Herausforderung dar.
Mehr Daten, mehr Mühe?
Die zunehmende Datenmenge erzeugt immer mehr Rauschen, und dabei entstehen mehr und mehr False-Positive-Ergebnisse. Die genaue Verwaltung und die Speicherung der endlosen Aktivitäts-Logs erfordern dabei eine kontinuierliche Wartung, selbst wenn ein Großteil der Arbeit durch Analytics und maschinelles Lernen (ML) erledigt wird. Somit können die Kosten für die benötigte Infrastruktur schnell den Wert des Netzwerks übersteigen, das sie überwachen.
Auch wenn – in der Theorie – ML und Analytics die Arbeit erleichtern, werden in der Praxis oft wichtige Informationen übersehen. Infolgedessen liegt die Ausbeute an interessanten Erkenntnissen bei der Analyse von Milliarden Ereignissen bei weniger als einem Prozent. Wenn man dazu noch die Kosten und die Komplexität berücksichtigt, die nötig sind, um die ML-Algorithmen am Laufen zu halten, wird das Übersehen eines Angriffs zu einem ernsthaften Problem. Hinzu kommt, dass der eigentliche Kontext der User-, Device-, Netzwerk- oder Standortdaten bei der ML-Auswertung fehlt. Er kann teilweise durch Datensatzverknüpfung wiederhergestellt werden, nach wie vor kommt es dabei aber vermehrt zu False-Negative- und False-Positive-Ergebnissen. Mängel der Ursprungsdaten, die etwa durch falsch konfigurierte Source Logs, einzelne Ereignisse oder Telemetrie-Fehler entstehen, sind eine weitere grundlegende Herausforderung.
Der Wert eines jeden Sicherheitsinstruments liegt in der Anzahl der Bedrohungen, die es erkennt. Die Big-Data-fähigen Sicherheitstools großer Unternehmen können bestenfalls fünf Bedrohungen pro einer Milliarde Log-Zeilen erfassen. Das entspricht, um genau zu sein, einer Hitrate von 0,0000005 Prozent – geradezu lächerlich wenig, zumal dann, wenn man auch noch die sehr hohen Kosten für Infrastruktur und Rechenzentrumsverwaltung berücksichtigt.
Der dezentrale Ansatz
Marktforscher IDC schätzt die globalen Ausgaben für Cybersicherheit in 2019 auf 103 Milliarden Dollar. Ob sich Unternehmen damit aber wirklich sicher fühlen? Oft treffen sie falsche Entscheidungen auf Basis unkorrekter Informationen. Weil Hacker mit immer mehr und immer fortschrittlicheren Attacken auf IT-Infrastrukturen zielen und sie die Angriffstaktrate immer höher schrauben, sind Unternehmen gezwungen, umzudenken und ihre konventionelle IT-Sicherheit, die mit dieser Entwicklung kaum noch Schritt halten kann, zu hinterfragen. Zwar können Daten über die Netzwerk- und Benutzeraktivitäten nützliche Erkenntnisse liefern, doch letztendlich ist die Ausbeute an verwertbaren Informationen entscheidend. Mit 0,0000005 Prozent Ausbeute kommt man aber nicht sehr weit.
Dezentralisierung ist eine hervorragende Möglichkeit, diesen Herausforderungen zu begegnen. Dabei gilt es, Analytics so nahe wie möglich an die zu verarbeitenden Daten zu bringen, um die Übertragung der gigantischen Datenmengen in Zaum zu halten. Um es mit einem Vergleich des richtigen Lebens zu visualisieren: Wer ein Schlauchboot kauft, bläst es auch nicht gleich im Sportgeschäft auf, sondern wartet, bis er am Strand ist.
Alan Ross ist Chief Architect bei Forcepoint X-Labs
Lesen Sie mehr zum Thema
