Wie man aus Security-Daten mehr herausholen kann

Daten richtig verstehen und auswerten

Daten an sich sind kein Selbstzweck. Dies gilt auch für Security-(Roh-)Daten. Entscheidend ist, aus Daten Informationen zu machen, die einen Erkenntniswert haben. Insofern kommt der Datenaggregation und -modellierung eine Schlüsselrolle zu.

Um erste Anzeichen eines (auch hochentwickelten) Angriffs zu erkennen zu können, müssen möglichst viele Sicherheitsdaten miteinander in Beziehung gesetzt werden. Und dies sollte am besten auf intelligente Weise automatisiert geschehen.

Die derzeitige Situation sieht aber zumeist ganz anders aus: Hier muss das IT-Security-Team Daten aus den einzelnen Silos zusammentragen und dann oft mittels Excel versuchen, einen Kontext herzustellen. Wenn dabei etwas Verdächtiges entdeckt wird, werden die entsprechenden Geräte identifiziert und deren Protokolldateien dann weiter untersucht.

Dies alles ist sehr mühsam, fehleranfällig, zeit- und ressourcenaufwändig. Oder kurz gesagt: ineffizient. Durch intelligente, auf Machine-Learning-Algorithmen basierende Lösungen wird dieser Prozess nicht nur wesentlich beschleunigt, sondern auch deutlich präziser.

Hierbei kann man sich an den Leitlinien von NIST und SANS orientieren und auch auf die eigenen Anforderungen und speziellen Risiken abgestimmte Bedrohungsmodelle entwickeln. Auch bieten zahlreiche Security-Anbieter umfassende, sofort einsatzbereite Threat Models. Sie sind meist bereits vorkonfiguriert und verringern so deutlich die Zeit, die zur Erstellung der eigenen Modelle benötigt wird.

Automation ist aber auch hinsichtlich der enormen Datenmenge unabdingbar: Größere Unternehmen überwachen Zehntausende von Systemen mit Hunderttausenden Ereignissen – pro Minute. Hier Korrelationen schnell zu erkennen (denn bei Angriffen spielt die Zeit eine entscheidende Rolle) ist für rein menschliche Aufpasser unmöglich. Aber auch die technische Infrastruktur inklusive Software muss in der Lage sein, mit diesen Datenmengen klarzukommen und die Performance nicht zu beeinträchtigen.

Durch Korrelation werden aus Daten Informationen

Die Kernfrage bei Sicherheitswarnungen lautet: Ist das Verhalten normal oder tatsächlich auffällig beziehungsweise bedrohlich? So können unauffällige Einzelaktionen in einem Gesamtbild (durch entsprechenden Kontext) deutlich auf einen Angriff hindeuten beziehungsweise andersherum sich vermeintlich verdächtige Aktionen als ganz harmlos herausstellen. Hierzu müssen die eingesetzten Sicherheitslösungen jedoch in der Lage sein, verschiedenste Informationen in Zusammenhang zu bringen und dann normales von abnormalem Verhalten zu unterscheiden.

„Die Kernfrage bei Sicherheitswarnungen lautet: Ist das Verhalten normal oder tatsächlich auffällig beziehungsweise bedrohlich?“

Klaus Nemelka, Varonis

Ein Dateizugriff deutlich außerhalb der Bürozeiten könnte verdächtig sein. Hat das Sicherheitssystem jedoch durch die Analyse des Nutzerverhaltens gelernt, dass der spezielle Nutzer dies öfter macht, ist dieses Verhalten offensichtlich normal. Meldet er sich jedoch über ein VPN von einem unüblichen Gerät an und öffnet Dateien, die er bislang nie bearbeitet hat, kann dies auf einen Angriff hindeuten, wobei jede Information für sich genommen diesen Schluss nicht zwingend zulassen würde.

Das System muss also die einzelnen Nutzer kennen, wissen, wie sie normal agieren und die Aktivitäten zudem mit einer Peer-Gruppe vergleichen. Je mehr Informationen wie etwa auch Telemetriedaten hier einfließen, desto präziser die Ergebnisse.

Mittels der angesprochenen Bedrohungsmodelle können so potenzielle Angriffe recht präzise identifiziert und auf diese automatisiert reagiert werden, etwa durch das Herunterfahren von Rechnern, Sperren von Konten oder Ähnliches. Also etwa zu dem Zeitpunkt, als das Sicherheitsteam ohne entsprechende Lösungen noch dabei ist, Daten in ein Excel-Sheet einzutragen.