Schlüsse ziehen aus Big Data

Eine Threat-Intelligence-Lösung kann ihre Wirkung erst mit Hilfe von Big Data entfalten, da es hier um die Analyse riesiger Datenmengen geht. Quellen sind etwa Weblogs, Bedrohungs- und Schwachstellen-Feeds, Konfigurationsdateien, Spam-Bots, URLs von Angriffen, Benutzer- und Netzwerkstatistiken, Angriffsberichte und forensische Daten.

Die Dimensionen veranschaulicht ein Blick auf das Security Operations Center (SOC) von Telekom Security und Akamai. Telekom Security erfasst täglich rund eine Milliarde sicherheitsrelevante Events aus 3000 Datenquellen, etwa Firewalls, und verzeichnet vier Millionen Angriffe auf seine 200 physischen Honeypot-Sensoren, sprich vorgetäuschten Zielen, die Angriffsversuche von Cyberkriminellen provozieren. Pro Tag wertet Telekom Security sechs Milliarden Datensätze der DNS-Server auf Attacken hin aus, checkt sieben Millionen Websessions mit mehr als 100 GByte Datenvolumen und untersucht zehn Millionen E-Mails auf Spam.

Durch kontinuierliches Monitoring und Analysieren des Verhaltens der Netzinfrastruktur versucht Telekom Security, den störungsfreien Betrieb der IT-Infrastruktur seiner Kunden sicherzustellen. Aus den Erkenntnissen über Angriffe entwickelt das Unternehmen sogenannte Use Cases für wirklich wichtige Auffälligkeiten. „Ohne sinnvolle und effiziente Suchregeln nützt die beste Monitoring-Technik nichts. Durch die intelligente Korrelation von Security-Events und die kontinuierliche Abbildung neuer Angriffsmethoden entsteht ein immer besser werdender Filter für tatsächlich relevante Alarme. Hier kommt auch maschinelles Lernen zum Einsatz. Dadurch erreichen wir sehr hohe Detektionsraten und minimieren die Zahl der False Positives“, sagt Dirk Backofen, Leiter Telekom Security.

Oliver Tavakoli, Chief Technology Officer bei Vectra Networks, einem Spezialisten für die Echtzeit-Erkennung aktiver Cyberangriffe, sieht im Dreigestirn von Big Data, Cloud und maschinellem Lernen (ML) wichtige Vorteile von Security-Intelligence-Systemen: „Big Data macht es auch möglich, rückblickend die Spuren vergangener Attacken zu verfolgen, mit forensischen Mitteln Angriffsschritte zu rekon­struieren und so herauszufinden, wie ein Angriff gelingen konnte. Mit maschinellem Lernen oder Künstlicher Intelligenz schaffen es SI-Lösungen, auch extrem grosse Mengen an Daten erfolgreich auf jene Anomalien hin zu durchsuchen, die tatsächlich auf Angriffe hindeuten. Cloud-Umgebungen schliesslich sind die Basis für skalierbare Update-Mechanismen, die die SI-Systeme aktuell halten.“

Cloudbasierte Services, die die internen Sicherheitsmassnahmen ergänzen, helfen also Unternehmen dabei, die Herausforderungen der IT-Sicherheit besser zu meistern – vor allem die gestiegene Komplexität, die erhöhte Frequenz und das zunehmende Ausmass der Cyberattacken, insbesondere, weil sowieso nur wenige Firmen IT-Spezialisten beschäftigen, die sich dezidiert mit IT-Security befassen.

Die Cloud-Dienste verfügen über genügend skalierbare Rechenkapazitäten, um die für Threat Intelligence anfallenden Datenmassen schnell zu analysieren – auch mit Hilfe von maschinellem Lernen und KI. Sie können selbst schwerste DDoS-Angriffe mit einer Bandbreite von mehr als 100 GBit/s abwehren. Und sie sparen Investitions- und Betriebskosten im Vergleich zu einer Lösung im eigenen Rechenzentrum.