Bis vor wenigen Jahren assoziierte man mit den Begriffen „Big Data“ und „künstliche Intelligenz“ eher theoretische Zukunftsszenarien als praktische Anwendungen. Das uneingeschränkte Sammeln, Speichern und Zusammenführen von Unmengen von Informationen jeder Art sowie die Analyse dieser Daten mit neuen technischen Methoden und Algorithmen sollten ganz neue Erkenntnisse und Lösungsmethoden für bestehende Probleme bringen. Aus diesem Hype um „Big Data“ sind mittlerweile handfeste Anwendungen geworden, welche auf verschiedenartigsten Gebieten erfolgreich zum Einsatz kommen. Dazu zählen etwa die medizinische Diagnostik, die Vorhersage von Epidemien, die Kriminalstatistik und Terrorbekämpfung, der nachhaltige Umgang mit ökologischen Ressourcen und nicht zuletzt die Online-Werbung.
Aber auch auf dem Gebiet der IT-Sicherheit hat Big Data schon praktischen Einzug gehalten. Eine IT-Landschaft eines modernen Unternehmens besteht aus einer Vielzahl von Endgeräten, von Servern, Netzwerkkomponenten, Datenbanken und Applikationen, meist auch aus Anwendungen in der Cloud. Bei digitalisierten Produktionsbetrieben gesellen sich noch die Sensorik und Robotik dazu. All diese Systeme erzeugen im laufenden Betrieb eine erhebliche Menge an technischen Daten, wie etwa die Protokolldaten und Statistiken. Wurden diese Daten in der Vergangenheit als wertlos eingestuft, so änderte sich dies unter dem Einfluss von Big Data, und nun wird versucht, aus diesen Rohdaten mit neuen Analysemethoden wertvolle Erkenntnisse über den Zustand des Gesamtsystems, etwa hinsichtlich Sicherheit oder für die Ressourcenoptimierung, zu gewinnen.
Diese Vorgehensweise wird von verschiedenen Produkten zur IT-Sicherheit eingesetzt. Drei Arten von solchen Produktkategorien nehmen wir genauer unter die Lupe.
SIEM
Das Kürzel SIEM steht für „Security Information and Event Management“ und bedeutet so viel wie das Verwalten von sicherheitsrelevanten Informationen und Ereignissen. Ein SIEM ist darauf spezialisiert, alle sicherheitsrelevanten Ereignisse der Systeme im IT-Verbund in Echtzeit an einer zentralen Stelle zu erfassen. Ein charakteristisches Merkmal eines SIEMs ist die Fähigkeit, die verschiedenen Ereignisse plattformübergreifend intelligent zu interpretieren und zu klassifizieren. Damit eröffnet sich die Möglichkeit, Einzelereignisse in der gesamten IT-Landschaft untereinander zu korrelieren und daraus ganz neue Erkenntnisse zu gewinnen. So sind etwa sporadische fehlgeschlagene Logins auf unterschiedlichen Systemen für sich betrachtet ganz physiologisch, wenn allerdings darin ein bestimmtes Muster erkannt wird, so kann dies ein Hinweis auf einen ausgeklügelten Angriffsversuch sein. Ohne die Intelligenz und die Korrelationsfähigkeiten eines SIEMs sind solche Angriffsmuster nicht aufzuspüren.
Wird durch das SIEM eine Ausnahmesituation erkannt, so wird ein Alarm ausgelöst und die gesamte relevante Information zum Vorfall wird sofort bereitgestellt. Bei eindeutig gefährlichen Situationen kann ein SIEM auch automatisiert darauf reagieren; dabei wird eine Reihe von vordefinierten technischen Aktionen ausgelöst.
Moderne SIEMs sind selbstlernend und können nach einiger Zeit selbständig einschätzen, ob die Situation gerade normal ist, oder ob es signifikante Abweichungen vom Normalwert gibt. Die dazugehörigen Vergleichswerte werden dynamisch, auf Tages-, Wochen- und Monatsebene berechnet.
UEBA
Maschinengestütztes Lernen ist auch eine besondere Spezialität von sogenannten „User and Entity Behavior Analytics“ (UEBA) Systemen. Der Name bedeutet die Analyse und das kontinuierliche Überwachen des Benutzer- und Systemverhaltens. Liegt bei einem SIEM der Schwerpunkt der Analyse auf den einzelnen Sicherheitsereignissen, so sind es bei einem UEBA System ganz allgemeine Parameter wie etwa die Anzahl der Datenbankzugriffe, die Anzahl der gelesenen oder modifizierten Dateien, die übertragene Datenmenge, die Netzwerkzugriffe oder die Zeiten des An- und Abmeldens. Aus all diesen Werten ergibt sich ein Bild, wie die Benutzer im Normalfall die IT-Systeme verwenden. Diese Parameter werden von einem UEBA-System kontinuierlich analysiert, und nach einer angemessenen Lernphase, können damit auch subtile Abweichungen von Normalverhalten festgestellt werden.
Eine erhöhte Anzahl von Dateizugriffen könnte etwa darauf hinweisen, dass ein böswilliger Insider versucht, Daten aus dem Unternehmen abzuleiten; und wenn zusätzlich noch Anmeldungen zu unüblichen Zeiten stattfinden, so könnte dies ein Hinweis auf ein kompromittiertes Konto eines Anwenders sein.
Die UEBA-Systeme enthalten schon eine Vielzahl von Analysemethoden um gängige Bedrohungen zu erkennen, sie bieten aber auch die Möglichkeit, neue Methoden festzulegen und der Fantasie sind dabei keine Grenzen gesetzt.
Der Einsatz eines UEBA-Systems ist für Hochsicherheitsbereiche im Unternehmen absolut notwendig, wenn nicht sogar verpflichtend. Wenn man allerdings bedenkt, wie rasch die Digitalisierung voranschreitet und dass nach wie vor die größte Gefahr zur IT-Sicherheit nachweislich aus dem Inneren des Unternehmens kommt, so ist es sicher angebracht, solche Systeme unternehmessweit zur Vorbeugung und zum Erkennen von Bedrohungen einzusetzen.
NAC
Auf einen anderen spezifischen Themenbereich der IT-Sicherheit sind NAC (Network Access Control) Lösungen zugeschnitten, auf das Netzwerk. Zu jedem Zeitpunkt muss garantiert sein, dass nur berechtigte Geräte mit konformen Einstellungen und authentifizierten Benutzer auf die Informationen des Unternehmens zugreifen können. Durch die enorme Verbreitung von Smartphones und Tablets, durch den selbstverständlichen Einsatz von WLANs und durch die Vernetzung der verschiedensten Objekte im Internet der Dinge gestaltet sich dies zu einer wahren Herausforderung. Und hierbei unterstützen die NAC-Lösungen, deren Kernaufgabe darin besteht, die Geräte, welche sich mit dem Netzwerk verbinden, vorab zu überprüfen und die Rechtmäßigkeit der Verbindung einzuschätzen.
Für die Überprüfung eines Verbindungsversuches können ganz unterschiedliche Entscheidungskriterien zum Einsatz kommen und die innovativen NAC-Lösungen erledigen viele Aufgaben schon mit eigener Intelligenz und mit selbstlernenden Fähigkeiten gestützt auf Big Data. Erfüllt ein Gerät die Bedingungen für den Zugang nicht, so wird es aus dem Netzwerk ausgesperrt oder in einen Bereich zur Normalisierung verschoben. Wird die Verbindung zum Netzwerk hingegen erlaubt, so wird das Verhalten des Gerätes laufend überprüft und im Falle eines Regelverstoßes wird die Verbindung sofort wieder getrennt.
Ein wichtiger Nebeneffekt beim Einsatz einer NAC-Lösung ist die erlangte Sichtbarkeit auf das gesamte Netzwerk. In vielen Fällen ist dies allein schon der ausschlaggebende Grund, eine NAC-Lösung einzusetzen.
FAZIT
Die betrachteten drei Techniken, SIEM, UEBA und NAC verwenden alle innovative Analysemethoden aus dem Umfeld von Big Data wobei es immer darum geht, bestimmte Verhaltensmuster zu erkennen. Der Focus der einzelnen Technologien ist unterschiedlich aber alle werden mit dem Ziel eingesetzt, die IT-Sicherheit im Gesamten zu verbessern.