Essential Guide

Big Data: Anwendung, Datenschutz und Technologie

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Plattformen für Big Data Security Analytics: Fünf Faktoren für die Evaluierung

Wir stellen mehrere Kriterien zur Evaluierung von Plattformen für Big Data Security Analytics vor. Diese Systeme erhöhen die Informationssicherheit.

Das steigende Risiko, Opfer von Cybercrime und anderen bösartigen Aktivitäten im Internet zu werden, veranlasst Unternehmen, mehr Sicherheitskontrollen bereitzustellen und mehr Daten zu erfassen als jemals zuvor. Als Folge davon werden nun Fortschritte bei Big Data Analytics auf die Sicherheitsüberwachung angewendet, um durch eine breitere und tiefergehende Analyse wertvolle Firmenressourcen zu schützen. Diese als Big Data Security Analytics bezeichnete Technologie nutzt – teilweise – die Skalierbarkeit von Big Data und kombiniert sie mit Advanced-Analytics- und SIEM-Systemen (Security Information and Event Management).

Wie wir im letzten Beitrag dieser Reihe festgestellt haben, eignet sich Big Data Security Analytics für viele, allerdings nicht alle Einsatzszenarien. Bedenken Sie die Herausforderungen, APT-Techniken (Advanced Persistent Threat) zu entdecken und zu blockieren. Angreifer, die solche Methoden einsetzen, nutzen womöglich behutsam durchgeführte, kaum auffallende Angriffsmuster, um der Erkennung zu entgehen. Konventionelle Protokollierungs- und Monitoring-Verfahren können diese Art von Attacken übersehen. Einzelne Schritte des Angriffs finden vielleicht auf separaten Geräten über längere Zeiträume statt und stehen scheinbar in keinem Zusammenhang. Beim Überprüfen von Logs und Netzwerkflüssen auf verdächtige Aktivitäten können einem mitunter wichtige Bestandteile der Kill Chain eines Angreifers entgehen, da sie sich von normalen Aktivitäten möglicherweise kaum unterscheiden. Ein Weg, um zu verhindern, dass Daten unentdeckt bleiben, besteht darin, so viele Informationen wie möglich zu sammeln. Das ist der Ansatz, den Plattformen für Big Data Security Analytics verfolgen.

Wie der Name impliziert, stützt sich diese Vorgehensweise bei Security Analytics auf die Tools und Techniken, die für das Erfassen, Analysieren und Verwalten von großen, mit hoher Geschwindigkeit anfallenden Datenmengen gedacht sind. Dieselben Techniken werden verwendet, um unterschiedlichste Produkte weiter zu verbessern – angefangen von Filmempfehlungssystemen für die Nutzer von gestreamten Videos bis zur Analyse der Leistungsmerkmale von Fahrzeugen, um die Effizienz von Fuhrparks zu optimieren. Sie sind genauso hilfreich, wenn man sie auf die Informationssicherheit überträgt.

Wenn Sie Plattformen für Big Data Security Analytics evaluieren, achten Sie darauf, die folgenden fünf Faktoren miteinzubeziehen, die wesentlich sind, um das gesamte Potenzial von Big Data Analytics auszuschöpfen:

  • Einheitliche Daten-Management-Plattform
  • Unterstützung für mehrere Datentypen, einschließlich Protokoll-, Schwachstellen- und Flussdaten
  • Skalierbare Datenerfassung
  • Speziell für die Informationssicherheit geeignete Analyse-Tools
  • Erstellen von Compliance-Berichten

Zusammengenommen liefern diese Kriterien die Palette an Funktionen, die erforderlich sind, um große Datenvolumen in der Geschwindigkeit, mit der sie erzeugt werden, zu erfassen und um die Daten schnell genug zu analysieren, damit Informationssicherheitsexperten auf Angriffe in wirksamer Weise reagieren können.

Faktor 1: Einheitliche Daten-Management-Plattform

Eine einheitliche Daten-Management-Plattform bildet die Grundlage eines Systems für Big Data Security Analytics. Die Daten-Management-Plattform speichert Unternehmensdaten und fragt sie ab. Das klingt wie ein wohlbekanntes und gelöstes Problem, das demnach kein Unterscheidungskriterium sein sollte, es aber dennoch ist. Typischerweise erfordert das Arbeiten mit großen Datenvolumen verteilte Datenbanken, da relationale Datenbanken nicht so kostengünstig skalieren wie verteilte NoSQL-Datenbanken – zum Beispiel Cassandra und Accumulo. Indessen bringt die Skalierbarkeit von NoSQL-Datenbanken ihre eigenen Nachteile mit sich. So ist es schwierig, verteilte Versionen einiger Datenbankfunktionen zu implementieren, die wir als selbstverständlich annehmen dürften, etwa ACID-Transaktionen.

Die einem System für Big Data Security Analytics zugrunde liegende Daten-Management-Plattform muss Daten-Management-Funktionen mit Kosten und Skalierbarkeit unter einen Hut bringen. Die Datenbank sollte zeigen, dass sie in der Lage ist, neue Daten in Echtzeit zu schreiben, ohne Schreibvorgänge zu blockieren. Ebenso sollten Abfragen schnell genug ausgeführt werden, um die Echtzeitanalyse von eingehenden Sicherheitsdaten zu unterstützen.

Ein weiterer wichtiger Aspekt, den es bei einer einheitlichen Daten-Management-Plattform zu berücksichtigen gilt, betrifft die Datenintegration.

Faktor 2: Unterstützung für mehrere Datentypen

Wenn es um Big Data geht, fallen häufig die Begriffe Volumen, Geschwindigkeit und Vielfältigkeit. Die unterschiedlichen Typen von Sicherheitsereignisdaten stellt für die Datenintegration eine Reihe von Herausforderungen dar.

Ereignisdaten werden auf verschiedenen Granularitätsebenen erfasst. Zum Beispiel sind Netzwerkpakete feingranulare Daten auf unterer Ebene, während Protokolleinträge über die Änderungen eines Administrator-Passworts auf einem Server eher grobgranular sind. Trotz des offensichtlichen Unterschieds könnten sie jedoch verknüpft werden. Netzwerkpakete könnten Daten über die Methode des Angreifers enthalten, um einen ins Visier genommenen Server zu erreichen, und – nach erfolgreichem Zugang – das Administrator-Passwort ändern.

Die Semantik von Ereignisdaten variiert je nach Datentyp. Die in Netzwerkpaketen verfügbaren Informationen helfen Analysten dabei, zu verstehen, welche Daten zwischen zwei Endpunkten übertragen wurden, während das Protokoll eines Schwachstellen-Scans bis zu einem gewissen Grad den Zustand eines Servers oder eines anderen Gerätes über einen längeren Zeitraum beschreibt. Plattformen für Big Data Security Analytics benötigen ausreichend Informationen über die Semantik von unterschiedlichen Datentypen, um sie angemessen zu integrieren.

Faktor 3: Skalierbare Datenerfassung

Server, Endpunkte, Netzwerke und sonstige Infrastrukturkomponenten ändern ihren Zustand permanent. Viele dieser Statusänderungen protokollieren nützliche Informationen, die zu einer Plattform für Big Data Security Analytics übertragen werden sollten. Angenommen, das Netzwerk verfügt über genügend Bandbreite. Dann besteht das größte Risiko darin, dass die Komponente zur Datenerfassung der Security-Analytics-Plattform die eingehenden Daten nicht schnell genug verarbeiten kann. Wenn das der Fall wäre, könnten Daten verloren gehen, was das Ziel, eine Plattform für Big Data Security Analytics bereitzustellen, unterlaufen würde.

Big Data Security Analytics nutzt die Skalierbarkeit von Big-Data-Plattformen zusammen mit den Analysefähigkeiten von Security Analytics und SIEM-Tools.

Systeme können eine skalierbare Datenerfassung erreichen, indem sie Daten in eine Warteschlange einreihen und so für einen hohen Schreibdurchsatz sorgen. Einige Datenbanken sind mittlerweile darauf ausgelegt, Schreibvorgänge mit hohem Volumen zu unterstützen, indem sie für Schreibvorgänge einen Append-Only-Ansatz verfolgen. Dabei werden Daten an das Ende eines Commit-Logs angehängt, anstatt sie in einen beliebigen Block auf dem Datenträger zu schreiben. Das verringert die Latenz, die im Zusammenhang mit zufallsgesteuerten Schreibvorgängen auf magnetische Speichermedien auftritt. Alternativ kann das Daten-Management-System eine Warteschlange verwalten, die als Puffer fungiert, um Daten vorzuhalten, während sie auf die Platte geschrieben werden. Falls es zu einer Lastspitze bei Meldungen kommt oder ein Hardwarefehler auftritt, so dass Schreiboperationen verlangsamt werden, können Daten sich in der Warteschlange sammeln, bis die Datenbank den Rückstand bei den Schreibvorgängen aufgeholt hat.

Faktor 4: Security-Analytics-Tools

Big-Data-Plattformen, zum Beispiel Hadoop und Spark, sind universelle Tools. Obwohl sie nützlich sind, um Sicherheits-Tools zu erstellen, sind sie für sich genommen keine Security-Analytics-Tools. Analyse-Tools sollten skalieren, um mit der Größe der Daten, die in der Infrastruktur einer Organisation erzeugt werden, zurechtzukommen. In diesem Sinne erfüllen Tools wie Hadoop und Spark die Kriterien. Zusätzlich allerdings sollten Security-Analytics-Tools Beziehungen zwischen unterschiedlichen Datentypen, beispielsweise Nutzern, Servern und Netzwerken, berücksichtigen.

Analysten sollten in der Lage sein, Ereignisdaten auf einem Abstraktionsniveau abzufragen, das aus Sicht der Informationssicherheit sinnvoll ist. So sollte ein Analyst in der Lage sein, Verbindungen zwischen Usern, die mit bestimmten Servern und Anwendungen arbeiten, und die Gemeinsamkeiten dieser zwei Komponenten abzufragen. Diese Art von Abfragen erfordert eher grafisch orientierte Analysetools anstatt der aus herkömmlichen Spalten und Zeilen bestehenden Abfragen, die bei relationalen Datenbanken zum Einsatz kommen.

Faktor 5: Erstellen von Compliance-Berichten

Das Erstellen von Compliance-Berichten ist nicht mehr nur eine nette, aber entbehrliche Beigabe. Viele der Datenelemente, die für Compliance-Zwecke anfallen, sind eng mit Best Practices im Sicherheitsbereich verknüpft. Sogar in Fällen, in denen Unternehmen nicht verpflichtet sind, Compliance-Berichte zu führen, können sie hilfreich für die interne Kontrolle sein.

Wenn die Erstellung von Compliance-Berichten notwendig ist, prüfen Sie die Reporting-Verfahren, die bei verschiedenen Big-Data-Security-Plattformen enthalten sind, um sicherzustellen, dass die Anforderungen Ihres Unternehmens erfüllt werden.

Big Data Security Analytics: Effektive Bereitstellung der Plattformen

Big Data Security Analytics nutzt die Skalierbarkeit von Big-Data-Plattformen zusammen mit den Analysefähigkeiten von Security Analytics und SIEM-Tools sowie weiteren Werkzeugen. Es ist wichtig zu erkennen, dass Funktionen von beiden Komponenten, ebenso wie die fünf in diesem Artikel beschriebenen Faktoren, zur effektiven Bereitstellung von Plattformen für Big Data Security Analytics erforderlich sind. Eine echte Plattform für Big Data Security Analytics entsteht keineswegs dadurch, indem man einer Big-Data-Plattform einfach das Wort Security hinzufügt oder schlicht behauptet, dass auch ein SIEM-System mit umfangreichen Datenmengen umgehen kann – selbst wenn solche Produkte für diesen Einsatzzweck gar nicht konzipiert wurden.

Im nächsten Beitrag dieser Reihe werden wir die in diesem Artikel vorgestellten Faktoren und Kriterien auf die Produkte, Tools und Plattformen anwenden, die heute von den führenden Anbietern von Big Data Security Analytics erhältlich sind.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close