Big Data, das neue Security-Tool

Dave Martin erklärt, wie sich die Sicherheitstrends entwickeln.
 
Früher war alles einfacher. Zumindest was Cyber-Sicherheit betrifft, meinte Dave Martin (Foto rechts) gestern. Am RSA Security Summit in München erklärte der Chief Security Officer (CSO) von EMC, was die neuen Trends der Cyber-Sicherheit sind.
 
Aus Sicht des Security-Teams ist die mobile Gesellschaft voller Gefahren. Man will überall auf Unternehmensressourcen zugreifen können. Die Mails im Zug lesen, oder Zuhause noch kurz etwas erledigen. All die verschiedenen ungesicherten Netzwerke und Geräte gefährden die Integrität des Unternehmens.
 
"Wir werden nicht alle Angriffe abwehren können", meint Martin. All diese Gefahrenquellen würden Prävention alleine ungenügend machen. Ausserdem gebe es vermehrt gezielte Angriffe auf Unternehmen, diese seien fast unmöglich abzuwehren, so Martin.
 
Big Data, Big Brother
Das neue Schlagwort der Cyber-Sicherheit heisst Detection. Dave Martin propagierte den Einsatz von drei Stufen: Discovery, Stream und Batch. Alle drei setzen auf Metadaten, die aufgezeichnet werden müssen. Das wird gigantische Datenmengen verursachen.
 
Discovery soll maschinell funktionieren. Dabei werden alle "verdächtigen" Verbindungen von Geräten herausgepickt. Zum Beispiel seltsame URLs, merkwürdige Up- und Downloadverhältnisse. Oder ein Mitarbeiter, der sich aus zwei verschiedenen Orten einloggt.
 
Beim Stream werden die Funde von Discovery im Kontext angeschaut. Ein Mitarbeiter kann Tätigkeiten ausführen, die einzeln kein Misstrauen wecken, wie beispielsweise Dokumente aus dem Intranet herunterladen. Aber im Zusammenhang mit weiteren Aktivitäten, beispielsweise die genannten Dokumente auf Dropbox stellen und eine Zeitung anrufen, ergibt sich dadurch ein verdächtiges Muster.
 
Die dritte Stufe kümmert sich um solche Muster. Alle Interaktionen des Personals werden untersucht und Abweichungen notiert. "Batching" braucht allerdings eine Menge Daten, um normales Verhalten zu definieren. Danach könne der Computer allerdings verdächtige Verhaltensänderungen herausfiltern, meint Dave Martin. Als Beispiel nennt er einen Mitarbeiter, der normalerweise das Internet selten braucht. Plötzlich generiere er aber viel Traffic. Diese Information lässt vermuten, dass der Computer des Mitarbeiters infiziert ist.
 
Mit diesen Massnahmen sei es möglich, Angriffe schnell und effizient zu behandeln, erklärt Martin. Dennoch sollen Unternehmen unbedingt Szenarien durchdenken, in denen nicht alles glatt läuft, oder eine Attacke unentdeckt bleibt. Das senke die "Recovery"-Kosten enorm. (Colin Simon)
 
(Interessenbindung: RSA hat uns zu dem Event eingeladen und Flug sowie Übernachtung bezahlt.)