Datenanalyse: Der Weg zum Erfolg bei der Sicherheit

Die Einführung von Datenanalysen wird für immer mehr Sicherheitsteams realisierbar, da die Technologie besser wird und die Kosten sinken. Mit Blick auf ein umfassenderes Situationsbewusstsein und Einblicke in potenzielle Bedrohungen erfassen viele Sicherheitsteams jetzt Daten aus verschiedenen internen und externen Quellen. Wie lässt sich aber bestimmen, welche Daten tatsächlich wertvoll sind? Wie lassen sich nutzbare Ergebnisse erzielen? Wie kann diese wichtige neue Funktion am besten weiterentwickelt werden?

Auf der Grundlage ihrer Erfahrungen haben einige der weltweit renommiertesten Sicherheitsexperten – Mitglieder des SBIC (Security for Business Innovation Council) – im aktuellen SBIC-Bericht Transforming Information Security, Future-Proofing Processes (Transformation der Informationssicherheit, Zukunftssichere Prozesse) wertvolle Empfehlungen zur Entwicklung von Datenanalyseprozessen abgegeben. Mithilfe des Berichts können Unternehmen bestimmen, welche Daten erfasst werden sollten und wo diese zu finden sind.

Für den Anfang empfiehlt das Council einen praktischen Ansatz: Sehen Sie sich die Art der Fragen an, die sich mit Datenanalysen beantworten lassen, und überlegen Sie dann, mit welchen Daten diese Fragen beantwortet werden könnten. Zwei Anwendungsbeispiele wären auffällige Nutzungen und unrealistische Benutzerbewegungen.

Beispielsweise soll ermittelt werden, ob Systemadministratoraktivitäten auf einem bestimmten System durch einen legitimen Benutzer oder einen Eindringling erfolgt sind. Die Antwort könnte in ungewöhnlichen Aktivitätsmustern liegen, z. B. wenn auf einem Rechner mehrmals in schneller Abfolge Anmeldeinformationen eingegeben werden oder wenn eine Anmeldung als Administrator bei einem System erfolgt, das von diesem Administrator gemäß Arbeitsauftrag nicht verwendet wird. Jede auffällige Nutzung muss weitere Ermittlungen nach sich ziehen.

Für jedes Anwendungsbeispiel muss ein iterativer Prozess mit mehreren Zyklen in Bezug auf Datenerfassung, Algorithmusentwicklung, Prüfung und Optimierung durchgeführt werden.  Wenn beispielsweise unrealistische Benutzerbewegungen ermittelt werden sollen, würde der Prozess etwa wie folgt aussehen:

Frage: Das Sicherheitsteam stellt die Frage: „In welchen Fällen meldet sich ein Benutzer an zwei verschiedenen Standorten beim Netzwerk an und vollzieht dabei insofern eine ‚unrealistische Bewegung‘, als die Entfernung zwischen den beiden Standorten im entsprechenden Zeitraum nicht zurückgelegt werden kann?“

Datenerfassung: Das Sicherheitsteam sucht nach Daten wie dem geografischen Standort von Gebäuden mit Kartenlesern, IP-Adressen, Verbindungen von Mobilgeräten und statischen VPN-Verbindungen. Außerdem sind die Zeitstempel in diesen Protokollen sowie Reiseunterlagen des Unternehmens von Bedeutung, die Aufschluss über den Aufenthaltsort des Benutzers geben können.

Algorithmusentwicklung: Der Datenanalyst entwickelt einen Algorithmus, der eine Risikobewertung auf der Grundlage der berechneten Geschwindigkeit generiert, mit der sich der Benutzer bewegt.

Prüfung und Optimierung: Das Team ermittelt, welche Fälle noch normal sind, aber dennoch eine hohe Risikobewertung verursachen. Der Algorithmus wird beispielsweise durch zusätzliche Daten zur Reduzierung falsch positiver Ergebnisse optimiert.

Eine mögliche Herausforderung bei diesem Prozess besteht nach dem Ermitteln der nützlichen Daten in der Feststellung, dass diese Daten nicht leicht zugänglich oder nicht vollständig in den Protokollen enthalten sind. In einigen Fällen muss das Sicherheitsteam eventuell die Protokollierung auf dem ursprünglichen Gerät neu konfigurieren, um die erforderlichen Daten zu erfassen. Der Systemeigentümer wird sich möglicherweise gegen eine umfangreichere Protokollierung sperren, da dies zu Problemen bei der Systemperformance führen kann. Aus diesem Grund sind Verhandlungen mit Systemeigentümern mit dem Ziel sicherheitsrelevanterer Protokolle ein Aspekt des Aufbaus einer Datenanalysefunktion.

Für die meisten Sicherheitsteams wird der Aufbau einer Datenanalysefunktion immer ein fortlaufender Prozess bleiben. Sie werden immer wieder experimentieren und verhandeln müssen. Durch aussagekräftige Analysen werden jedoch fundierte, datengesteuerte Sicherheitsentscheidungen ermöglicht.

 „Die größte Herausforderung in Bezug auf die Datenanalyse ist die Generierung aussagekräftiger Ergebnisse. Es muss Zeit in die Entwicklung einer in sich geschlossenen Strategie investiert werden. Richten Sie den Schwerpunkt auf die für das Unternehmen relevanten Informationen, und entwickeln Sie einen Katalog mit wichtigen Fragen. Andernfalls ertrinken Sie in einem Ozean aus Daten.“ Timothy McKnight, Executive Vice President, Enterprise Information Security & Risk, Fidelity Investments

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments