Heute ist die Wirtschaft global vernetzt, leistungsfähige Netze wickeln elektronische Transaktionen nahezu in Lichtgeschwindigkeit ab. Gleichzeitig steigt durch das Internet der Dinge die Zahl der an das Internet angeschlossenen Geräte in die Milliarden. Sensoren steuern öffentliche Infrastruktur, Fabrikanlagen, Maschinenparks und zukünftig auch autonome Fahrzeuge. Machine Learning und künstliche Intelligenz ermöglichen zukünftige Anwendungsszenarien, von denen wir heute nur träumen können noch keine Ahnung haben. Die faszinierende Welt der IT hat jedoch auch eine Kehrseite: Security. 2017 hat neuartige Schadsoftware wie WannaCry und PetYa für Aufsehen gesorgt, 2018 beherrschten bislang vor allem die Prozessor-Bugs Meltdown und Spectre die Diskussion, gegen die bisher immer noch keine wirksamen Schutzmechanismen entwickelt werden konnten. Auch den letzten Optimisten ist damit die Verwundbarkeit der Infrastruktur deutlich geworden – sowie auch das Versagen traditioneller Schutzmechanismen. Unter dem Strich lässt sich feststellen, dass das enorme Potential der IT für Unternehmen ein mindestens ebenso großes Potential für Cyberkriminelle und Datenspione bietet.
Herausforderungen beim SIEM-Einsatz
Unternehmen und auch Organisationen aus dem öffentliche Sektor müssen sich zur Wehr setzen, aber vor allem präventiv und nicht erst nach Entdecken einer Attacke. Für die Früherkennung von Bedrohungsszenarien nahezu in Echtzeit eignen sich neue Analyseplattformen in Verbindung mit dem SIEM-Ansatz (Security Information Event Management). SIEM kombiniert die Funktionen aus dem Security Information Management (SIM) und Security Event Management (SEM) in einem Sicherheits-Management-System und bietet Verantwortlichen damit eine ganzheitliche Sicht auf den Schutz der Unternehmens-IT. Weil alle gesammelten Daten parallel betrachtet werden können, lassen sich wesentlich schneller und zuverlässiger Trends und Muster erkennen, die von gewohnten Schemata abweichen. Je schneller Anomalien und mögliche Bedrohungen identifiziert werden, umso schneller können die Verantwortliche darauf auch reagieren.
Allerdings bringen SIEM-Implementierung auch einige Herausforderungen mit sich. Wenn bei der Datenauswertung statische Regeln angewendet werden, können beispielsweise bereits kleinste – auch harmlose – Abweichungen Alarm auslösen. Zahlreiche Fehlalarme wiederum können einen „Gewöhnungseffekt” nach sich ziehen, so dass Meldungen leichtfertig weggeklickt werden. Ein weiterer Punkt betrifft die Menge der zu verarbeitenden Daten: SIEM lebt davon, möglichst viele Daten zu analysieren. Die Datenmenge kann Unternehmen aber an ihre Kapazitätsgrenzen bringen. Um dem entgegenzuwirken, wird die „Data Retention Rate” dann auf Monate statt Jahre reduziert, das hat zur Folge, dass kontextbezogene Datenanalysen nur einen geringeren Zeitraum beleuchten und damit an Genauigkeit und Aussagekraft verlieren.
In ihren Analysefunktionen sind SIEM-Lösungen zudem oft beschränkt und nur wenig flexibel. Zwar liefern sie eine leistungsfähige Plattform für deskriptive Analysen und Diagnosen über eine Teilmenge von Informationen für Realtime-Dashboards. Allerdings können solche suchbasierte Analysen für Analytiker auch eine Einschränkung darstellen. Ohne die Möglichkeit, analytische Open-Source-Innovationen in großem Maßstab nutzen zu können, haben Organisationen Schwierigkeiten, hoch entwickelte unbekannte Angriffe innerhalb des starren Rahmens eines SIEMs zu erkennen. Neben der mangelnden Flexibilität behindern auch proprietäre Speicherverfahren und spezifische Datenformate die Integration. Viele Plattformen ermöglichen nur innerhalb ihres geschlossenen Systems einen Zugriff auf die erhobenen Daten. Ein Plattformwechsel ist nicht ohne Weiteres möglich, es droht ein „SIEM Lock-in”.
Effektiver im Konzert mit modernen Datenanalyse-Plattformen
Moderne Plattformen für Open-Source-Datenanalyse und Machine Learning haben „Security Operations Centern” einen Weg in die Zukunft eröffnet. Sie geben Unternehmen einen Ort, an dem sie Daten speichern und analysieren können; dies kann sowohl das eigene Rechenzentrum als auch die Cloud sein. Gleichzeitig bietet sie eine sichere und gesetzeskonforme Unternehmenstransparenz.
Das Auslagern von SIEM-Daten auf eine spezialisierte Datenanalyse-Plattform hilft Organisationen, die Kosten für Speicherung und Indizierung zu senken, erhöht die Vielfalt und Menge der für Analysen zugänglichen Daten und verbessert damit die Treffergenauigkeit. In Verbindung mit der Strukturierung in einem offenen Datenmodell können Organisationen die Herstellerbindung durchbrechen, Daten im Wert von mehreren Jahren zu geringeren Kosten speichern und potentiell jede Art von Daten hinzufügen. Je größer die Menge der Daten ist, auf die zu Analysezwecken und zum Auffinden möglicher Anomalien zugegriffen werden kann, umso stärker lässt sich das Cybersicherheitsrisiko reduzieren. Durch den Einsatz von Open-Source-Analytik-Bibliotheken können Analysebereiche weiter ausgebaut werden, ohne dass die zugrunde liegenden Plattformen angefasst werde müssen.
Eine solche Datenanalyse-Plattform kann nicht nur vor Ort im eigenen Rechenzentrum betrieben werden, auch der Einsatz in einer oder mehreren Clouds ist möglich. Insbesondere eine Multi-Cloud-Strategie senkt das Risiko eines „Vendor Lock-in”, verhindert Systemausfälle und ermöglicht die Orchestrierung von Workloads zwischen den Clouds. Die Cloud ermöglicht auch die Adhoc-Bereitstellung dynamischer Cluster für spezielle Einsatzfälle. Data Scientists bekommen durch die skalierbaren Speicher- und Rechenressourcen die Möglichkeit, ohne langen Vorlauf oder Investitionen in Infrastruktur Testszenarien durchzuspielen.
Dafür benötigen sie jedoch eine Plattform, die ihnen die erforderlichen Tools liefert, um innerhalb eines einzigen End-to-End-Prozesses sämtliche Schritte von der Entwicklung bis zur Produktion auszuführen. Gleichzeitig ist ein sicherer Zugriff auf verwaltete Daten erforderlich, der kontrollierte Tests ermöglicht und umgehend wichtige Einblicke liefert, um kurze Iterationszyklen sicherzustellen. Die Cloudera Data Science Workbench vereint all diese Funktionen, damit Data Scientists ihre alltäglichen Aufgaben effizienter ausführen können.
