Der rapide Anstieg der Cyber-Bedrohungen steht in einem direkten Zusammenhang mit der zunehmenden Größe und Komplexität der weltweiten Netze selbst. Einen wesentlichen Faktor in diesem Gefüge stellt die Vielzahl von internetfähigen Endgeräten dar. Die vormals überschaubaren Zugriffsmöglichkeiten von Hackern haben sich über die letzten Jahre exponentiell vermehrt. Hinzukommt, dass durch die Möglichkeiten zur Maschine-zu-Maschine-Kommunikation mittlerweile auch Geräte beziehungsweise Systeme von Attacken betroffen sind oder sein können, die bis vor kurzem noch von öffentlichen Netzen isoliert waren und deshalb meist nur über physikalische Schutzmaßnahmen verfügen. Als Beispiel können SCADA-Systeme kritischer Infrastrukturkomponenten angeführt werden. Durch die stetige Digitalisierung wirtschaftlicher Aktivitäten wächst der zu berücksichtigende Datenberg für sicherheitsrelevante Analysen permanent weiter an.
Bisherige Big-Data-Ansätze fokussieren sich zum größten Teil auf die Analyse der anfallenden Daten zu Zwecken der Gewerbeerkundung. Sogenannte Security-Intelligence-Plattformen lassen sich aber auf ganz ähnliche Weise nutzen, um das Sicherheitsniveau nachhaltig zu erhöhen. So führen automatische Echtzeitanalysen beispielsweise zu konkreten Handlungsanweisungen oder zu einer Rangliste der gefährdeten Wirtschaftsgüter in einem Unternehmen.
„Security-Intelligence-Plattformen setzen sich zum einen aus SIEM- und Log-Management-Systemen und zum anderen aus Korrelations- und Analyse-Funktionen zusammen“, erklärt Ralph Kreter, Director Central Europe and Middle East bei LogRhythm, einem der Marktführer im Bereich Cyber-Threat-Erkennung und -Abwehr. „Darüber hinaus skalieren derartige integrierte Systeme so massiv, dass sie mit der schieren Menge an Informationen in Zeiten von Big Data problemlos zurechtkommen.“
Log-Files fungieren in diesem Analyseansatz als digitaler Fingerabdruck, der gesammelt und analysiert wird. Zusammen mit der SIEM-Komponente sorgt das für eine Aggregation einer großen Bandbreite von Log- und Event-Daten aller sich beim Unternehmen im Einsatz befindlicher IT-Systeme und stellt die Datenbasis sicher. Durch die Korrelation der Log-Aufzeichnungen kann so das normale Netzwerkverhalten definiert und mit dem aktuellen Geschehen abgeglichen werden. Als weitere Vergleichsbasis werden zudem unabhängig formulierte Regelstrukturen herangezogen, die aus bereits bekannten Angriffsmethoden abgeleitet werden können.
„Durch die Verknüpfung dieser drei Bausteine stellt sich eine enorme Entlastung des IT-Personals in einem Unternehmen ein bei gleichzeitiger Erhöhung des Sicherheitsniveaus“, so Kreter weiter. „Frühere SIEM-Systeme hatten mit dem Vorwurf zu kämpfen, dass zu viele Security-Incidents durch das System proklamiert wurden und dadurch tatsächliche sicherheitsrelevante Vorfälle im Systemrauschen untergingen. Durch die automatisierte Korrelationsfunktionalität von integrierten Security-Intelligence-Plattformen wird diesem Vorwurf adäquat begegnet. Die Verantwortlichen erhalten einen tiefen Einblick in ihr Netzwerkgeschehen und Datenmaterial, ohne dabei Gefahr zu laufen, den Überblick bei einer manuellen Auswertung zu verlieren. Man könnte sagen, Security-Intelligence-Plattformen übernehmen die Rolle des zentralen Nervensystems in einem Unternehmen.“