RSA Conference, San Francisco
Mit Big Data gegen Sicherheitsprobleme
Die Hersteller von IT-Sicherheitslösungen sind aufgewacht: Herkömmliche Schutzkonzepte aus Firewall, Antivirensoftware und IPS/IDS wehren halbwegs versierte Angreifer nicht ab. Daher präsentierte die Branche auf der RSA Conference 2013, die vom 25.2. bis 1.3. in San Francisco stattfand, das Thema Big Data Analytics als Zaubermittel gegen die Angriffe.Die bei halbwegs gezielt gerittenen Attacken auf Netzwerke verwendeten Schädlinge rauschen unter dem Radar der Antivirensoftware ins Netz, infizieren dort Rechner und bleiben lange Zeit unentdeckt. Die Analyse riesiger Datenbestände soll diese geräuschlosen Angriffe spätestens dann ausfindig machen, wenn die Schädlinge Daten aus dem Unternehmensnetz an Hintermänner senden - und so das Zeitfenster zwischen Infektion und Entdeckung verkleinern. Big Data steht damit beim neuen Sicherheitstrend zwar im Mittelpunkt, aber nicht aus Sicht des Schutzes großer Datenmengen: Vielmehr sollen sich die riesigen Log-Datenbestände mit Big-Data-Analysemethoden schneller und besser auswerten lassen. Für RSA-Chairman Art Coviello ist die Sache klar: "Das kontinuierliche Auswerten von Big Data ermöglicht automatische Sicherheitsinstrumente, die bisher nicht gekannten Schutz bieten", sagte er während seiner Eröffnungsrede der RSA Conference 2013. Das Unternehmen präsentierte konsequenterweise gleich eine passende Lösung namens Security Analytics Unified Platform. Die Plattform ist letztendlich eine Mischung aus den vorhandenen Lösungen RSA Envision (SIEM-Software, Log-Management) und RSA Netwitness (Netzwerk-Monitoring). Die zur Plattform gehörenden Appliances erfassen strukturierte und unstrukturierte Daten im Netzwerk und legen sie zur Analyse in einem eigenen Data Warehouse ab. Kunden sehen im neuen Ansatz offenbar Vielversprechendes: "Neue Techniken sorgen dafür, dass die Anzahl der Systeme, die Loginformationen liefern, stetig steigt. Die Menge an Daten, die somit aus den diversen Logdateien hervorgeht, überfordert selbst IT-Sicherheitsspezialisten", so Ralph Salomon, CISO bei SAP. "Man kann mit diesen Daten Compliance-Anforderungen erfüllen, aber zum zeitnahen Aufspüren komplexer IT-Sicherheitsvorfälle sind andere Techniken als die heute verwendeten SIEM-Lösungen notwendig." Laut Eddie Schwartz, CISO von RSA, basieren Big-Data-Sicherheitslösungen auf speziell für diesen Zweck entwickelten Event Processing Engines. Diese seien erheblich schneller als gewöhnliche Datenbanken. So könne man beispielsweise erstmals quasi in Echtzeit sämtliche Kommunikation zwischen Layer 2 (Data Link Layer, Sicherungsschicht) und Layer 7 (Application Layer, Anwendungsschicht) erfassen und auswerten. In der Praxis heißt dies, dass Big-Data-Analytics-Systeme nicht ausschließlich auf Logdateien angewiesen sind. Im Fall der RSA-Lösung wird zudem der Netzwerkverkehr auf Paketebene erfasst und in Korrelation mit den Log-Files analysiert. Nir Zuk, Gründer von Palo Alto Networks, einem Hersteller von Next Generation Firewalls, sieht die Kombination dieser Datenquellen als zwingend notwendig an. "Bislang hat mir noch kein Hersteller von Tools zur Loganalyse einen bis dato unbekannten Angriff aufzeigen können, der nur auf Basis von Log-Dateien entdeckt worden wäre", so Zuk. "Dieser Ansatz funktioniert nur mit bereits bekannten Angriffsmustern." Auch Symantec setzt auf die Analyse von Datenbergen. Im Rahmen seiner Keynote beschrieb Symantec-Manager Francis de Souza die "Big Intelligence" getaufte Idee: Big Intelligence kombiniert interne Daten, wie sie beispielsweise RSAs Plattform erzeugt, mit Informationen über externe Bedrohungen. Mit den bisher verwendeten Techniken seien die hereinströmenden Daten nicht sinnvoll auszuwerten gewesen, so de Souza. Roger Scheer, Regional Director bei RSA Deutschland, erklärte im Gespräch, die neue Analyseplattform eigne sich nicht nur für Großunternehmen. Es gebe Einstiegsvarianten, die preislich auch für kleine und mittlere Unternehmen interessant seien. Laut Scheer können auch in Sachen IT-Sicherheit versierte Mitarbeiter dieser Unternehmen mit der RSA-Lösung umgehen. Bei SAP war man sich da allerdings nicht so sicher: SAP setzt zum Betrieb der Analyselösung auf RSA-Mitarbeiter, die vor Ort bei SAP mit der Software auf Spurensuche im Netzwerkverkehr gehen. Der Autor auf LANline.de: der_reisende
Lesen Sie mehr zum Thema
