alphaspirit - Fotolia

Wie Advanced Security Analytics die Sicherheit verbessert

Fortschrittliche Analyse-Tools sammeln und bewerten Sicherheitsinformationen wie Alarme aus verschiedenen Quellen und entlasten so IT-Abteilungen.

Wie bei vielen anderen Ideen auch, fand die intelligente Cybersicherheit zunächst in der Welt der Science Fiction statt. Wer bereits die 1980er- und 1990er-Jahre bewusst miterlebt hat, erinnert sich sicher an den Genres, die sich mit den Auswirkungen von maschinellem Lernen und virtuelle Realität beschäftigt haben. Dies geschah häufig im Hinblick auf eine Art Cyberkriegsführung.

Und immer wieder sind die Ideen, die zunächst in der Science Fiction auftauchten, einige Jahrzehnte später einfach Realität geworden. So sind die heutigen Smartphones mehr oder minder dem Communicator aus der 60er-Jahre Serie „Raumschiff Enterprise“ nicht unähnlich. Martin Cooper, der Motorola-Ingenieur, der das erste Handy entwickelt hat, wurde in der Tat durch diese Serie inspiriert. Und auch die Visionen der 80er-Jahre Cyberpunks, in Form von fortschrittlichen Sicherheitsanalysen, helfen heutzutage dabei, Unternehmen vor neuen Bedrohungen wie Advanced Persistant Threats zu schützen.

Die Ebenen der IT-Sicherheit

Mit Hilfe der Maslowschen Bedürfnishierarchie lässt sich verdeutlichen, welchen Anteil fortschrittliche Sicherheitsanalysen an der Gesamtsicherheit haben. Die Basis bilden Schutzsysteme, als da wären: Firewalls, Identity and Access Management, Antimalware-Lösungen, sichere Web-Gateways oder auch DLP-Lösungen. Die Tools auf dieser Ebene halten nach bösartigem Schadcode Ausschau und überwachen unbefugten Zugriff auf bestimmte Ressourcen. Charakteristisch für diese Lösungen ist, dass sie sich meist auf den Schutz einer bestimmten Ressource konzentrieren. Diese Werkzeuge sind in einem Sicherheitskonzept unabdingbar, aber nicht ausreichend. Es ist ein Überbau erforderlich, in dem die gesammelten Informationen zusammengeführt werden und die Koordinierung erfolgt.

Daher bilden Erkennungs- und Überwachungssysteme die nächste Ebene. Hier finden sich beispielsweise SIEM-Lösungen oder auch Intrusion-Prevention- oder Intrusion-Detection-Systeme. Diese analytischen Werkzeuge erlauben eine eher ganzheitliche Sicht auf das Unternehmen und die Sicherheit. SIEM, IDS und IPS überwachen und verwalten die Sicherheit über viele Ressourcen und Systeme hinweg. Dies beinhaltet auch die jeweiligen Sicherheits-Tools.

Allerdings hat die Sache einen Haken: SIEM, IDS und IPS sammeln enorme Datenmengen. Selbst wenn Filter zum Einsatz kommen, ist es schwierig, die wirklich wichtigen Informationen zu erkennen. In vielen Unternehmen sind 500 False Positive pro Tag keine Seltenheit. Eine derartige Anzahl ist manuell kaum noch zu überprüfen. Und genau hier setzen die modernen Analyse-Tools an.

Was Advanced Security Analytics leistet

Die modernen Analysetools lassen sich in bestehende Infrastrukturen und Produkte integrieren und helfen mit maschinellem Lernen und Big-Data-Technologien, die Analyse zu automatisieren. Dies erlaubt es den Sicherheitsverantwortlichen, sich den Ereignissen zu widmen, die tatsächlich eine Bedrohung oder einen Datendiebstahl darstellen.

Innerhalb dieser Analyse-Tools gibt es unterschiedliche Ausprägungen. So ist beispielsweise Splunk in der Lage, Verbindungen zwischen unterschiedlichsten Ereignissen zu erkennen. Verhaltensbasierte Bedrohungsanalysen können hingegen Verhaltensmuster von Anwendern, Geräten oder Diensten überwachen und analysieren. So lässt sich ein anomales Verhalten, dass eine Bedrohung darstellen kann, aufdecken.

Die Analysetools erhalten ihre Informationen und Daten in der Regel aus anderen Tools und Systemen wie SIEM, IDS/IPS oder auch Firewalls und Gateways. Sie unterscheiden sich häufig darin, auf welchem Kontext der Schwerpunkt liegt. Dies können beispielsweise Insider-Bedrohungen oder auch die Umsetzung des Sicherheitsrisikos in die Bedeutung für den Geschäftsbetrieb sein.

Unabhängig davon, worauf der jeweilige Schwerpunkt liegt, versuchen diese Lösungen herauszufinden, welche Vorfälle oder Muster von Vorfällen tatsächlich eine Bedrohung für das Unternehmen darstellen. Mit Hilfe von maschinellem Lernen, künstlicher Intelligenz und die Integration in andere Sicherheitslösungen können diese Tools die Anzahl der False Positives dramatisch reduzieren. Und damit lösen sie eines der Probleme der Sicherheitsverantwortlichen.

Aber damit sind die Grenzen dieser Analyseansätze noch nicht erreicht. Der nächste Schritt ist die Vorhersage von Bedrohungen, denen das Unternehmen ausgesetzt sein wird und welche Risiken damit verbunden sein werden. Das wird es Sicherheitsexperten erlauben, nicht auf Vorfälle nur zu reagieren, sondern proaktiv vorzugehen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen

SIEM 2.0: Mit Big Data Cyberangriffen begegnen

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

SIEM: Tipps zur Konfiguration für bessere Ergebnisse

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close