Das SAS Magazin
Menschen / Perspektiven / Lösungen

Cybersecurity

Gefahrensucher

Hacker sind unberechenbar. Das Rennen zwischen Hase und Igel wird immer hektischer, und die Sicherheitsstrategien der Unternehmen geraten ins Hintertreffen. Bei Cybersecurity ist deshalb Umdenken angesagt – und Analytics.

Reden wir über Risiko. Ihre 13-jährige Tochter will nach der Schule „zu jemand aus ihrer Klasse“? Klar, nicht riskant, denken sie und erlauben es. Fakt ist aber, dass sie sich keine Gedanken über die Nebenbedingungen gemacht haben. Dieser „jemand“ ist ein Junge? Oha. Sie kennen weder ihn noch seine Eltern? Und besagte Eltern sind zur Zeit verreist? Jetzt stellt sich die Situation plötzlich ganz anders und viel bedenklicher dar. Hier wäre ein genauer Blick sehr wohl angesagt gewesen. Der Unterschied liegt: im Kontext. Wer den Kontext zu einem scheinbar harmlosen Sachverhalt kennt, kann ihn und mögliche Risiken weit realistischer beurteilen, als wenn er nach einer einfachen Regel wie „Schulfreund = unbedenklich“ handelt.

Und genau hier ist die Lücke, die sich im Cybersecurity-Konzept der meisten Unternehmen auftut. Sie suchen nach bekannten Gefahren, nach dem typischen Verhalten von Hackern, Malware- oder Phishing-Aktionen. Sie stellen mit speziellen Werkzeugen konkrete Fragen an ihre IT-Infrastruktur („fließen Daten über unerlaubte Ports?“) und erhalten darauf konkrete Antworten. Was sie nicht erhalten, sind Antworten auf Fragen, die sie gar nicht gestellt haben. Natürlich reichert sich das Wissen in solchen Systemen immer weiter an, aber immer erst zu spät. Rund 207 Tage dauert es im Durchschnitt, Malware zu entdecken und wirksame Gegenmaßnahmen zu ergreifen. Sieben Monate, in denen ein enormer Schaden entstehen kann. 207 Tage zu viel. Das klassische Duell zwischen Hase und Igel.

Unter dem Radar

Ein Rennen, dem kein Unternehmen entkommt. Laut einer aktuellen Erhebung gibt zum Beispiel jede zehnte Bank an, in den letzten zwei Jahren konkrete Hackerangriffe abgewehrt zu haben, mehr als jede dritte ein ernsthaftes Malware-Problem und jede zweite Phishing. Und das sind nur die bekannten Fälle oberhalb des Radars. Die Dunkelziffern dürften weit höher liegen.

Was macht also beispielsweise ein Angreifer, der es auf langfristige Industriespionage anlegt, um unterhalb dieses Radars zu bleiben? Er testet zuerst die Grenzen aus. Wenn er den Zugang zum System geschafft hat, nutzt er zunächst einige unbescholtene User-Accounts, um die Alarmschwellen auszutesten. Sobald er (oder eine entsprechend programmierte Malware) weiß, nach welchen Kriterien Aktivitäten im Netzwerk eines Unternehmens als gefährlich bewertet werden, kann er genau diese Alarmschwellen meiden und ungestört sein Unwesen treiben. Eben durchschnittlich 207 Tage lang.

Blick für das Ungewöhnliche

„Wir müssen in Sachen Cybersecurity umdenken – und uns auf typische menschliche Verhaltensmuster besinnen“, ist Chris F. Smith, Director, Cyber Strategy bei SAS, überzeugt. „Wenn wir zum Beispiel in eine Menschenmenge schauen, sind wir nicht in der Lage, jedes Detail wahrzunehmen. Aber wir können oft auf Anhieb sagen, wenn sich jemand ungewöhnlich verhält.“ Und das, so Smith, müsse eine Sicherheitsinfrastruktur für die Unternehmens-IT zukünftig viel besser können.

Er liefert auch Beispiele: Ein User aus der Buchhaltung mit Administratorrechten loggt sich auf einem Desktop-Rechner der Personalabteilung ein und greift auf Daten aus dem Marketing zu. Verboten? Nein (sonst hätten es die Zugangsregeln unterbunden). Ungewöhnlich? Auf jeden Fall. Gefährlich? Hacker nutzen die gleichen Tools wie die Administratoren, sie dürfen es nur nicht. Deshalb lohnt sich ein zweiter Blick auf den Vorgang in jedem Fall.

Der Schlüssel zu Entdeckungen dieser Art ist der eingangs erwähnte Kontext. Ohne die Information über die Zugehörigkeit des Users kann das seltsame Verhalten nicht auffallen. Ohne das Zusatzwissen, wo der Rechner örtlich steht, auch nicht. Und erst in einer ganzheitlichen Betrachtung der Verhaltensmuster des Users wird erkennbar, ob Absicht hinter den Handlungen steckt und damit ein gezielter Angriff, ein unspezifischer Datenfluss, wie er oft für Malware typisch ist – oder einfach nur ein Versehen eines ganz normalen Benutzers. „Wir brauchen keine Regeln, keine festen Parameter, wir brauchen Vergleiche. Wir brauchen Kontext“, ist Smith überzeugt.

Daten durchleuchten, noch während sie fließen

Heuristische Verfahren sind durchaus nicht ungewöhnlich, einzelne Sicherheitslösungen wie etwas Virenscanner nutzen sie bereits. Aber was Smith und sein Team entwickelt haben, geht weit darüber hinaus. Ziel ist es, die internen und externen Datenströme eines Unternehmens auf Auffälligkeiten zu untersuchen, noch während sie unterwegs sind. Alles In-memory, alles in Echtzeit. Dazu gehören die verschiedensten Datenquellen, die gleichzeitig in Beziehung gesetzt werden etwa mit Zugriffsberechtigungen, Jobdefinitionen aus dem Personalbereich oder Threat Intelligence, aber auch mit herkömmlichen Regeln und den Strukturen bereits bestehender Datenbestände. Eben Daten und ihr Kontext. Klingt herausfordernd? Ist es auch. Aber eine moderne analytische Infrastruktur kann das leisten. Streaming Analytics nennt sich das, und es funktioniert auch bei Zehntausenden von Geräten. Teil des Erfolgsrezeptes ist dabei, dass auf dem einzelnen Gerät, egal ob PC, Tablet oder Smartphone, kein sogenannter Agent installiert wird, der das System verlangsamt, verkompliziert und auch selbst wieder gehackt werden kann. Nur das tatsächliche Verhalten des Gerätes und seines Users wird untersucht, nicht das, was es über sich selbst „sagt“.

Dass SAS Cybersecurity funktioniert, hat sich in derzeit noch laufenden Pilotprojekten verschiedener Größe bereits eindrucksvoll herausgestellt. „Wir finden Vorgänge, die kein anderes System entdeckt. Nicht immer ist das alles bösartig, aber immer auffällig und deshalb fragwürdig“, freut sich Smith. Eine Zahl macht die Leistung deutlich: Statt den bisher durchschnittlich 207 Tagen bis zur Entdeckung eines Angriffs dauert es in den bisherigen Anwendungen nur rund eineinhalb Stunden (!).
Schwere Zeiten für Töchter: Der eine oder andere Vater wird künftig etwas mehr Zeit haben, um sich ihre Schulfreunde anzusehen.

SAS Cybersecurity steht kurz vor der Markteinführung. Mehr Informationen über die Technologie finden Sie hier

Bildnachweis: osign/istockphoto.com

« Zurück