IT-Sicherheitsexperten brauchen moderne Analyse-Tools zur Erkennung von Insider-Bedrohungen und Advanced Persistent Threats, so das Ergebnis der Ponemon-Studie „Big Data Cybersecurity Analytics Research Report“. 72 Prozent der Befragten erklärten demnach, dass Big-Data-Analysen bei der Erkennung moderner Cyber-Bedrohungen eine wichtige Rolle spielen. 65 Prozent antworteten, Big-Data-Analysen seien wichtig, um eine starke Position bei der Cyber-Sicherheit aufzubauen und sicherzustellen.
Dieses Umfrageergebnis ist nicht wirklich überraschend, denn kaum jemand zweifelt noch daran, dass sich Angriffe und andere sicherheitsrelevante Ereignisse besser aufspüren lassen, wenn man nach ihren digitalen Spuren sucht. Durch die Fülle und Vielfalt dieser Spuren sind Tools aus dem Bereich Big Data Analytics geradezu prädestiniert, für Security-Analysen eingesetzt zu werden. Entsprechend gibt es bereits eine ganze Reihe von Lösungen, die als Big Data Security Analytics klassifiziert werden können.
Kein blindes Vertrauen in Security-Analysen
Die Anwender von Big-Data-Security-Analysen haben laut Ponemon-Studie festgestellt, dass sie stärker auf ihre Fähigkeiten vertrauen, moderne Malware/ Ransomware, gefährdete Geräte (zum Beispiel Diebstahl von Berechtigungen), Zero-Day-Attacken und böswillige Insider zu erkennen. Mit Vertrauen ist es bei Cyber-Sicherheit aber so eine Sache, so manches Vertrauen in Sicherheit stellte sich später als Scheinsicherheit heraus.
Grundsätzlich hängt die Qualität einer Big-Data-Analyse von der Datenqualität ab. Studien warnen bereits seit Jahren davor, dass eine schlechte Datenqualität den Nutzen von Big-Data-Analysen gefährdet. Dies gilt allerdings nicht nur für BI-Anwendungen (Business Intelligence), sondern auch für Security-Anwendungen von Big-Data-Analysen. Erstaunlicherweise sehen Programme zur Optimierung der Datenqualität viele verschiedene Anwendungsbereiche vor, Security gehört in aller Regel aber nicht dazu.
Security-Analysen können verfälscht sein
Schlechte Qualität bei Security-Daten kann ungewollt entstehen, aber auch provoziert werden. So hat Forcepoint darauf hingewiesen (PDF), dass das Risiko durch nicht mehr gewartete Analyse-Software im Security-Umfeld mehr Beachtung verlangt. Andernfalls können Analyse-Tools, die die Security-Experten nutzen, zu fehlerhaften Informationen über die Sicherheitslage führen. Als Beispiel für veraltete Analyse-Software nennt Forcepoint das Tool StrongOD, ein Plugin für den frei downloadbaren Windows Assembler Level Debugger OllyDbg. Dieses Tool wird immer noch weltweit von Security-Analysten zur Prüfung von schadhaften Daten verwendet, obwohl der Hersteller das Tool seit sechs Jahren nicht mehr aktualisiert.
Doch auch Security-Lösungen, die aktualisiert werden, können Security-Lücken in sich tragen, wie zum Beispiel die entsprechenden Warnmeldungen bei CERT-Bund zeigen. Die Schwachstellen in Security-Produkten können je nach Art der Lücke dazu führen, dass die Protokollinformationen und andere sicherheitsrelevante Daten fehlerhaft sind. Werden diese Security-Daten ausgewertet, führt dies dann zu ungenauen oder fehlerhaften Security-Analysen. Entscheidungen und automatisierte Security-Reaktionen können dann ebenso fehlgeleitet sein.
Angreifer könnten zudem versuchen, die Schwachstellen der Security-Lösungen auszunutzen, um Spuren zu verwischen und um die Security-Daten zu manipulieren. Security-Prognosen gehen davon aus, dass es in Zukunft vermehrt zu Attacken auf die Integrität wichtiger Daten kommt. Security-Daten könnten davon ebenso betroffen sein, wenn sie nicht geschützt werden. Ohne Schutz der Integrität sicherheitsrelevanter Daten verlieren die Security-Analysen ihre Datenbasis und letztlich ihre Sicherheit.
Fazit Sicherheitsanalysen: Integritätsschutz ist bei Big Data Security Analytics Pflicht
Damit die Security-Analysen nicht nur Aussagen zur Sicherheit machen, sondern auch selbst sicher sind, müssen die Lösungen im Bereich Big Data Security Analytics vor Attacken und Manipulationen geschützt sein. Unerlaubte Zugriffe auf die Analytics-Funktionen, aber auch auf die Analyseergebnisse und die Ausgangsdaten für die Security-Analyse müssen verhindert werden.
Big Data Security Analytics sollte deshalb immer mit einem Integritätsschutz kombiniert sein, einer File Integrity Protection-Lösung (FIP), die sowohl die zu analysierenden Security-Daten als auch die Report-Daten nach der Analyse überwacht. Zudem müssen alle sicherheitsrelevanten Log-Daten der IT-Systeme vor Manipulation geschützt werden. Das ist nicht nur wichtig aus Compliance-Gründen und zur Beweissicherung, sondern auch für die Sicherheit und Manipulationsfreiheit der Security-Analysen.
Gelingt es Security-Analysen zu manipulieren, lassen sich Security-Entscheidungen und Security-Reaktionen gezielt verändern. Denkt man daran, dass die Security-Abwehr auf Basis der Security-Analysen zunehmend automatisiert werden soll, wäre eine Manipulation der Sicherheitsdaten eine geschickte Methode, um die Abwehr abzulenken und zu blenden. Das gilt es zu verhindern, damit Big-Data-Analysen wirklich die Cyber-Sicherheit stärken und nicht auf Befehl der Angreifer die Security-Lösungen in die Irre führen.
Neueste Kommentare
Noch keine Kommentare zu Big Data: Wie sicher sind Sicherheitsanalysen?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.