Dieser Artikel ist Teil unseres Guides: Big Data: Anwendung, Datenschutz und Technologie

Big Data Security Analytics – Sicherheitsrelevante Ereignisse untersuchen

Wir erklären, was Big Data Security Analytics ist, durch was sich diese Tools auszeichnen und wie sie eine bessere Ereignisanalyse ermöglichen.

Ein beträchtlicher Teil der Bemühungen im Zusammenhang mit der Informationssicherheit konzentriert sich auf die Überwachung und Analyse von Daten über Ereignisse auf Servern, in Netzwerken und auf anderen Geräten. Fortschritte bei Big Data Analytics werden nun auf die Sicherheitsüberwachung angewendet, was eine breitere und tiefergehende Analyse ermöglicht. In vielerlei Hinsicht sind Big Data Security Analytics und Big Data Security Analysis Erweiterungen von Security Information and Event Management (SIEM) und verwandter Technologien. Allerdings führt der quantitative Unterschied bei den untersuchten Datenmengen und Datentypen zu qualitativen Unterschieden bei den Informationsarten, die aus Sicherheitsgeräten und -anwendungen extrahiert werden.

Tools für Big Data Security Analysis umfassen üblicherweise zwei funktionale Kategorien: SIEM sowie Performance and Availability Monitoring (PAM). SIEM-Tools beinhalten im Allgemeinen Log-Management, Event-Management und Verhaltensanalyse, außerdem Datenbank- und Anwendungsüberwachung. PAM-Tools konzentrieren sich auf die Verwaltung des laufenden Betriebs. Doch Tools für Big Data Analytics sind mehr als nur miteinander kombinierte SIEM- und PAM-Tools. Sie sind dazu gedacht, große Datenvolumen in nahezu Echtzeit zu sammeln, zu integrieren und zu analysieren, was einige zusätzliche Funktionen erfordert.

Wie bei SIEM besitzen Tools für Big Data Analytics die Fähigkeit, Geräte in einem Netzwerk präzise zu erkennen. In einigen Fällen kann eine Datenbank für das Konfigurations-Management die Qualität von automatisch erfassten Daten ergänzen und verbessern. Die Integration in Sicherheits-Tools von Drittanbietern sowie die Integration in LDAP- oder Active-Directory-Server sind weitere unverzichtbare Funktionen von Big Data Analytics. Die Unterstützung für Incident-Response-Workflows variiert je nach verwendeten SIEM-Tools, ist aber essentiell, wenn man mit großen Datenvolumen bei Logs und anderen Quellen von Sicherheitsereignisdaten arbeitet.

Fünf grundlegende Funktionen dienen zur Unterscheidung zwischen Big Data Security Analytics und sonstigen Bereichen der Informationssicherheit.

Hauptfunktion 1: Skalierbarkeit

Eines der wichtigsten Unterscheidungsmerkmale von Big Data Analytics ist die Skalierbarkeit. Diese Plattformen müssen in der Lage sein, Daten in Echtzeit oder in nahezu Echtzeit zu sammeln. Der Netzwerk-Traffic besteht aus einem kontinuierlichen Strom von Paketen, die untersucht werden müssen, sobald sie erfasst sind. Die Analyse-Tools dürfen nicht darauf angewiesen sein, dass der Netzwerk-Traffic eine Pause einlegt, um einen Rückstand bei den zu analysierenden Paketen aufzuholen.

Es ist wichtig, zu verstehen, dass es bei Big Data Security Analytics nicht nur um eine zustandslose Untersuchung von Paketen oder eine Analyse mittels Deep Packet Inspection geht. Das ist zwar wichtig und notwendig, aber ein elementares Unterscheidungskriterium von Plattformen für Big Data Analytics ist deren Fähigkeit, Ereignisse zeit- und raumübergreifend zu korrelieren. Dies bedeutet, dass der Ereignisstrom, der von einem Gerät (zum Beispiel einem Webserver) protokolliert wird, möglicherweise im Zusammenhang mit Ereignissen auf einem Endbenutzergerät kurze Zeit später extrem wichtig wird.

Hauptfunktion 2: Reporting und Visualisierung

Eine andere essentielle Funktion von Big Data Analytics betrifft das Reporting und die Unterstützung zu Analysezwecken. Sicherheitsexperten können schon lange auf Reporting-Tools zugreifen, um das Betriebs- und Compliance-Berichtswesen zu unterstützen. Zudem stehen ebenfalls Dashboards mit vorkonfigurierten Sicherheitsindikatoren zur Verfügung, um genaue Übersichten von wichtigen Leistungskennzahlen zu ermöglichen. Auch hier gilt: Beide genannten Tools sind notwendig, reichen jedoch alleine nicht aus, um die Anforderungen von Big Data zu erfüllen.

Visualisierungs-Tools werden auch benötigt, um Informationen, die aus Big-Data-Quellen abgeleitet sind, so zu präsentieren, dass Sicherheitsanalysten sie ohne Schwierigkeiten und Verzögerungen erfassen können. Beispielsweise nutzt Sqrrl Visualisierungstechniken, um Analysten zu helfen, komplexe Beziehungen bei verknüpften Daten über so unterschiedliche Bereiche wie Websites, Benutzer und HTTP-Transaktionen hinweg zu verstehen.

Hauptfunktion 3: Persistenter Big-Data-Storage

Big Data Security Analytics taucht als eigener Begriff auf, weil die Storage- und Analysefunktionen dieser Plattformen sie von anderen Sicherheits-Tools abgrenzen. Diese Plattformen verwenden Storage-Systeme für Big Data, zum Beispiel das Hadoop Distributed File System (HDFS) und Archivierungs-Storage mit längerer Latenz. Die Backend-Verarbeitung kann unterdessen mit MapReduce durchgeführt werden, einem gut etablierten Berechnungsmodell für die Batch-Verarbeitung. Zwar ist MapReduce äußerst fehlerresistent, doch geht dies zulasten von I/O-intensiver Verarbeitung. Eine gängige Alternative zu MapReduce ist Apache Spark, ein allgemeiner gehaltenes Verarbeitungsmodell, das Speicher effektiver nutzt als MapReduce.

Big Data Security Analytics muss nicht nur physische Geräte und virtuelle Server berücksichtigen, sondern auch Sicherheitsfragen im Zusammenhang mit Software.

Systeme zur Analyse von Big Data, wie MapReduce und Spark, konzentrieren sich auf die Berechnungsanforderungen von Security Analytics. Langfristiger persistenter Storage basiert derweil typischerweise auf relationalen oder NoSQL-Datenbanken. So unterstützt die Splunk-Hunk-Plattform die Analyse und Visualisierung in Verbindung mit darunterliegenden Hadoop- und NoSQL-Datenbanken. Die Plattform befindet sich zwischen den nicht relationalen Datenspeichern einer Organisation und dem Rest der Anwendungsumgebung. Hunk-Apps integrieren sich direkt in Datenspeicher und erfordern keine einzelnen Vorgänge, um zu einem sekundären In-Memory-Speicher verschoben zu werden. Die Hunk-Plattform umfasst eine Vielzahl verschiedener Tools, um Big Data zu analysieren. Sie unterstützt die Entwicklung von benutzerdefinierten Dashboards und Hunk-Apps, die sich direkt auf einer HDFS-Umgebung erstellen lassen, sowie adaptive Suche und Visualisierungs-Tools.

Eine weitere wichtige Funktion von Plattformen für Big Data Security Analytics betrifft Intelligence-Feeds. Hierbei werden bekannte Schwachstellendatenbanken sowie Sicherheitsblogs und andere Nachrichtenquellen fortlaufend mit potenziell hilfreichen Informationen aktualisiert. Plattformen für Big Data Security können Daten aus vielen unterschiedlichen Quellen verarbeiten, Threat-Benachrichtigungen deduplizieren und Informationen aus ihren eigenen individuell angepassten Methoden zur Datenerfassung korrelieren.

Hauptfunktion 4: Informationskontext

Da Sicherheitsereignisse derart viele Daten generieren, besteht das Risiko, dass Analysten und andere Sicherheitsfachleute von der Informationsflut überwältigt werden, was ihre Fähigkeit einschränkt, relevante Ereignisse zu entdecken. Nützliche Tools für Big Data Security Analytics ordnen Daten in den Kontext von Usern, Geräten und Ereignissen ein.

Daten ohne diese Art von Kontext sind weit weniger hilfreich und können zu einer höheren Rate von False Positives als nötig führen. Kontextinformationen verbessern zudem die Qualität der Verhaltensanalyse und der Anomalieerkennung. Sie können relativ statische Informationen enthalten – zum Beispiel die Tatsache, dass ein bestimmter Mitarbeiter in einer bestimmten Abteilung arbeitet. Darüber hinaus umfassen Kontextinformationen auch dynamischere Angaben, etwa typische Nutzungsmuster, die sich im Laufe der Zeit ändern können. So mag an einem Montagmorgen eine große Zahl von Anfragen an ein Data Warehouse nicht ungewöhnlich sein, weil Manager Ad-hoc-Abfragen starten, um in ihren Wochenberichten beschriebene Ereignisse besser zu verstehen.

Hauptfunktion 5: Funktionsumfang

Das letzte Unterscheidungsmerkmal von Big Data Security Analytics ist die Palette an funktionalen Sicherheitsbereichen, die dadurch abgedeckt wird. Natürlich erfasst Big Data Analytics Daten von Endpunktgeräten, das heißt von allen Geräten, die über das Internet mit einem TCP- oder IP-Netzwerk verbunden sind. Das schließt alles mit ein – von Notebooks und Smartphones bis zu IoT-Geräten (Internet of Things). Big Data Security Analytics muss nicht nur physische Geräte und virtuelle Server berücksichtigen, sondern auch Sicherheitsfragen im Zusammenhang mit Software. Zum Beispiel werden Schwachstellenbewertungen verwendet, um alle möglichen Sicherheitslücken in einer spezifischen Umgebung festzustellen. Das Netzwerk ist eine reiche Quelle für Informationen und Standards, etwa das von Cisco entwickelte NetFlow-Netzwerkprotokoll, mit dem man Informationen über den Traffic in einem Netzwerk sammeln kann.

Plattformen für Big Data Analytics können auch Intrusion-Detection-Systeme nutzen, die das System- oder Umgebungsverhalten analysieren, um etwaigen bösartigen Aktivitäten auf die Spur zu kommen.

Die Unterschiede von Big Data Security Analytics

Big Data Security Analytics unterscheidet sich qualitativ von anderen Formen von Security Analytics. Die Anforderungen nach Skalierbarkeit, nach Tools zur Integration und Visualisierung verschiedener Datentypen, die zunehmende Wichtigkeit von Kontextinformationen und der Umfang der Sicherheitsfunktionen, die bei Big Data Security Analytics unterstützt werden müssen, führen dazu, dass die Anbieter erweiterte Datenanalysen und Storage-Tools auf die Informationssicherheit übertragen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im April 2016 aktualisiert

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close