W H I T E P A P E R

Splunk, Big Data und die Zukunft der Sicherheit

W H I T E P A P E R

listen to your data 2

Neue BedrohungsszenarienMit herkömmlichen Tools und Konzepten für die IT-Sicherheit lassen sich Ausmaß und Komplexität der heutigen Bedrohungen nicht mehr bewältigen. Obwohl sich die Internetsicherheit in den vergangenen zehn Jahren deutlich weiterentwickelt hat, zwingen immer neue Gefahren und immer ausgefeiltere Malware die IT-Sicherheitsteams zum Umdenken – und zur Anwendung neuartiger Abwehrmechanismen.

Die Geschichte der IT-SicherheitsinfrastrukturBegonnen hat der Wettlauf um die Sicherheit der IT-Infrastruktur mit traditionellen Perimeter-Verteidigungslinien wie Firewalls, Antivirensoftware und Intrusion Detection (IDS)-Systemen. Im Laufe der Jahre wurden IDS-Systeme stetig komplexer, um schließlich in Intrusion Prevention (IPS)-Systemen zu münden. Doch selbst diese leistungsfähigen Technologien konnten nicht alle Sicherheitsvorfälle erfassen; zudem lösen IDS-Systeme nur allzu häufig falschen Alarm aus. Als Reaktion darauf und um die erzeugte Datenmenge zu korrelieren, entstanden Security Event Management (SEM)-Systeme. Sie verringern durch differenzierte Korrelationsregeln die Systemauslastung und damit die Gefahr von Fehl-Erkennungen, warnen vor möglichen Bedrohungen und bieten zudem eine Reihe von Visualisierungsfunktionen und vorgefertigten Berichten, die einige Sicherheitskennziffern abdecken.

„[...] Mittlerweile besteht ein breiter Konsens darüber, dass Technologien wie Antivirensoftware, IPS-Systeme und Firewalls nur begrenzt Schutz bieten.“ Chris Silva, IANS Trend Report 2011

Mit zunehmender geschäftlicher Nutzung von Web und E-Mails entstanden in rascher und wenig geordneter Folge Web Proxy, E-Mail-Sicherheit, Verwundbarkeitsanalyse und Datenbanksicherheit. All diese Ansätze sollten mögliche Angriffe erkennen, ungepatchte und verwundbare Systeme identifizieren und die Verbreitung von Viren und Malware in der IT-Umgebung verhindern. Weil die resultierende Datenflut die SEM-Systeme überforderte, wurde das Security Information Management (SIM)-System entwickelt. Es sollte den SEM-Workload senken, indem es die von der Sicherheitsarchitektur erzeugten Daten sammelte, aufbereitete, speicherte und lediglich einen Teilsatz davon an das SEM-System leitete.

Die Kombination aus SIM- und SEM-Technologie sowie der zugehörigen Datenerfassungskomponenten erhielt die Bezeichnung Security Information & Event Management (SIEM) und setzte die von SEM-Lösungen begonnene Tendenz zur Datenreduzierung

und -destillation weiter fort. Dargestellt wird dieser Ansatz meist als Trichter: Die Daten werden von den verschiedensten signaturbasierten Systemen und Betriebssystemen erfasst und lediglich ein Teilsatz davon wird an das SEM-System gesendet und unter Verwendung eines regelbasierten Systems korreliert, das sich auf bekannte Angriffsstrategien wie klassische Perimeter-Angriffe über offene Ports oder Brute Force-Attacken konzentriert.

Als immer mehr Unternehmen einen unerwünschten Abfluss sensibler Daten aufgrund von Mitarbeiterunzufriedenheit oder -abgang feststellten, wurden Data Loss Prevention (DLP)-Lösungen entwickelt. Zeitgleich wurden infolge der Unternehmensskandale der späten 90er und frühen 2000er Jahren Zugangskontrollen und Systemüberwachung vorgeschrieben – Compliance wurde zu einer festen Kostenstelle für jede Art von Geschäftstätigkeit. Die Finanzierung verlagerte sich von Sicherheits- zu Compliance-Aspekten, und die Anbieter überschlugen sich fast bei der Entwicklung von Standard-Berichten, von der sie sich schnelles Geld versprachen.

Obwohl der Trichter- oder Datenreduktionsansatz der SIEM-Technologie durchaus hilfreich war, um das Datenvolumen zu verringern, das vom Sicherheitsteam zur Erkennung möglicher Angriffe analysiert werden musste, nutzten die Angreifer die Tatsache aus, dass aufgrund der Skalierbarkeit eben nur ein Teilsatz aller Daten für die Analyse zur Verfügung stand. Zudem blieben in großen IT-Unternehmen unerwünschte Silo-Strukturen zwischen IT-Abteilungen, IT-Sicherheit und -Entwicklung bestehen. Applikationen mit höchster Relevanz für das zentrale Produkt- oder Dienstleistungsangebot des Unternehmens wurden von den IT-Abteilungen, von den Anwendungsteams oder auch von keinem der beiden überwacht. Gleichzeitig schufen die Entwickler Anwendungen, die entweder überhaupt nicht oder aber so protokolliert wurden, dass dies nur von den Entwicklern selbst verstanden werden konnte – ganz zu schweigen von der fehlenden Standardisierung. Aus Komplexitäts- oder Kostengründen konnten die Daten nicht in die SIEM-Lösung einfließen und blieben dadurch ungenutzt.

Der fehlende Zugriff auf Applikationsdaten führte jedoch dazu, dass die Sicherheitsteams für die geschäftlichen Risiken blind waren, die Malware und Viren verursachten, indem sie Schwachstellen von unveröffentlichten oder neuen (Zero-Day) Anwendungsschichten, die mangelnde kontextuelle Analyse von Sicherheitsvorfällen und die schwerfälligen Silo-Strukturen mit ihren langen Reaktionszeiten gnadenlos ausnutzten.

1 IANS Trends: A Behavioral Approach To Threat Modeling, 2011

W H I T E P A P E R

listen to your data 3

präsent ist. Sie kann auch einen selten genutzten Netzwerkdienst ersetzen oder aktivieren, um andere Systeme zu infizieren. Oder sie installiert sich gleich auf mehreren Systemen, bleibt dort aber im Ruhemodus und steht als Backup zur Verfügung, falls die Malware auf dem ersten kompromittierten System entdeckt wird. Zwischen jedem dieser Schritte können Tage, ja Wochen liegen.

Obwohl sich also die Bedrohungslage von Grund auf geändert hat, verfolgen Sicherheitsteams nach wie vor konventionelle Ansätze zur Gefahrenabwehr wie beispielsweise:

• Sicherung aller Datenbestände

• Nutzung von primär signaturbasierten, präventiven Überwachungsmechanismen

• Konzentration auf ausgehende Netzwerkverbindungen

• Erstellung von Protokollen für Compliance und forensische Post-Incident-Analyse

• Information über aktuelle Malware-Bedrohungen

• Erkennung und Entfernung von Malware und Viren

• Schutz der Netzwerkintegrität nach dem Motto: „Erfolg bedeutet, dass kein Angreifer eindringen kann“ ³

Gefahr trotz SIEM?Angesichts von Hunderten verschiedener Social Engineering-Szenarien, zahlreichen Ansatzpunkten für die Kompromittierung eines Systems, Zero-Day-Schwachstellen in Anwendungen und Betriebssystemen und Tausenden von Malware-Varianten beantwortet sich die Frage, wie wahrscheinlich es ist, dass eine von dem Unternehmen aufgestellten 200+ SIEM-Regeln das Problem erkennt und einen Alarm von allein auslöst. „Traditionelle Lösungen für das Security Information Event Management sind meist nicht in der Lage, eine gezielte und massive Attacke zu erkennen, die ja eben zur Vermeidung von Red Flags konzipiert wurde. Sie sind dafür gemacht, ungewöhnliche Aktivitäten aufzudecken und nicht für gut getarnte Angriffe, die sich hinter legitimen Zugangsdaten oder normalem Traffic verbergen.“ 4

„‚Ist mein System gefährdet?‘ ist vor diesem Hintergrund eindeutig nicht mehr die richtige Frage.“ Jason Rebholz, Mandiant, 2011

listen to your data

Vertrauensmissbrauch - eine perfide WaffeHeutzutage kann jeder bei LinkedIn, Facebook und anderen sozialen Netzen nachlesen, wer wir sind, was wir machen und wen wir kennen. Eine simple Google-Recherche führt zu den von uns erstellten PowerPoint-Präsentationen und informiert über die Konferenzen, an denen wir teilgenommen haben. Damit können Angreifer uns am verwundbarsten Punkt der schönen neuen Netzwelt treffen – indem sie unser Vertrauen durch Spear-Phishing missbrauchen. Die Bedrohung durch Advanced Persistent Threat (APT)-Angriffe und die allgegenwärtige Präsenz von Malware erwischen viele IT-Organisationen auf dem falschen Fuß. Laut Kevin Mandia von Mandiant Inc. „[...] gibt es jetzt, in diesem Moment, Tausende von kompromittierten Unternehmen“ 2 – Opfer von hochkomplexer Malware, die von Cyber-Hackern gezielt eingeschleust wurde.

Eine geeignete Analogie für dieses neue Bedrohungsszenario wäre der Unterschied zwischen einem Autodieb, der verschiedene Parkplätze nach nicht abgeschlossenen Wagen absucht, und einem Dieb, der es ganz gezielt auf ein bestimmtes Auto abgesehen hat. Letzterer folgt dem Besitzer vielleicht für Wochen oder Monate, macht sich mit seinen Gewohnheiten vertraut und findet heraus, wo er wohnt, mit wem er sich unterhält, wohin er geht und wen er kennt. Danach stellt der Dieb sich dem Besitzer auf einer Party als Kollege eines gemeinsamen guten Freundes in einer anderen Abteilung vor und fragt den Besitzer, ob er sich kurz sein Auto leihen könnte.

Entsprechend ist der Datendieb, mit dem der Autobesitzer auf Linkedin in Kontakt kommt, gar kein lange aus den Augen verlorener Kollege, sondern jemand, den er überhaupt nicht kennt, der aber seinerseits sehr gut über ihn Bescheid weiß. Er schickt dem Besitzer eine E-Mail mit einer angehängten PDF-Datei, die den Titel „organisatorische Änderungen“ trägt und leider auch Schadcode zur Ausnutzung von Zero-Day-Schwachstellen enthält. Mit einem Klick gehört das System nicht mehr dem Unternehmen – und alle E-Mails, privaten Daten, Website-Inhalte oder sonstiges geistiges Eigentum des Unternehmens befinden sich in höchster Gefahr.

Noch bedrohlicher wird die Lage, wenn der betroffene Mitarbeiter über Administratorrechte für das System verfügt und Zugangsdaten zu anderen kritischen Applikationen im Unternehmensnetzwerk auf dem Rechner gespeichert hat. Die eingeschleuste Malware kann Einstellungen für das Windows-Gruppenrichtlinienobjekt oder die Windows-DLL-Startreihenfolge ändern, so dass sie bei jedem Systemstart aktiviert wird und dauerhaft auf dem Computer

2 Report Details Hacks Targeting Google, Others, WIRED, Kim Zetter, February 3, 2010

3 When Advanced Persistent Threats go Mainstream, Security for Business Innovation Council, July 11, 2011

4 APT Shaping SIEM, Kelly Higgins, Security Dark Reading, 10/3/2011

W H I T E P A P E R

listen to your data 4

gemeinnützigen Organisation (natürlich per Kreditkarte) etwas zu spenden, positiv reagiert.

Auch wenn sich Sicherheitsexperten extrem schwer damit tun, dies zuzugeben: Einen absoluten Schutz vor derartigen Angriffen gibt es nicht. Sehr wohl können Sicherheitsteams in der heutigen IT-Umgebung den Schaden aber minimieren, indem sie ungewöhnliche Benutzer- oder Systemmuster, bei denen sich ein genauerer Blick lohnen könnte, auch in großen Datenvolumen schnell erkennen.

„Denken wie ein Angreifer“ – der Schlüssel zur Erkennung unbekannter GefahrenSeit Jahren reagieren Sicherheitsprofis nur, wenn eine Bedrohung am Horizont auftaucht. Sobald eine Gefahr erkannt wird, eilen die Retter los, um sie zu bekämpfen. Wenn sich zeigt, dass das Problem durch ein bestimmtes Benutzerverhalten verursacht wurde, informiert das Sicherheitsteam die Benutzer über die Wichtigkeit des Datenschutzes und widmet sich dann dem nächsten Problem. Für jede Sicherheitsbedrohung, die so abgearbeitet wird, gibt es zahlreiche andere, die weder erkannt noch behoben werden. Warum dies so ist? Weil uns die gegenwärtigen Sicherheitstools (einschließlich SIEM) dazu verleiten, wie ein Opfer und nicht wie der Täter zu denken. Um das volle Ausmaß einer Attacke abschätzen zu können, müssen wir in die Haut der Angreifer schlüpfen.

Hierfür müssen folgende Voraussetzungen gegeben sein:

• Kenntnis der Wichtigkeit von Assets und Daten

• Kenntnis des Speicherorts der wichtigsten Daten-Assets

• Kenntnis der Zugriffsmöglichkeiten auf Systeme und Daten

• Kenntnis der möglichen Verbreitungswege von Malware im Unternehmen

• Kenntnis der möglichen Vorgehensweisen für die dauerhafte Festsetzung von Malware im Unternehmen

• Kenntnis der „attraktivsten“ Opfer, ihrer Tätigkeitsebene im Unternehmen und ihrer Datenzugriffsrechte

• Kenntnis von als „auffällig“ einzustufenden Datenzugriffe unter Zugrundelegung von Kriterien wie Zeitpunkt, Häufigkeit oder Ort

• Kenntnis der Tatsache, dass die Entdeckung eines einzigen kompromittierten Hosts nicht das Ende der Sicherheitsanalyse bedeutet

listen to your data

Wenn wir Glück haben und eine Komponente unserer Sicherheitsinfrastruktur einen kompromittierten Host mit persistenter Malware findet, erklären wir den Sieg, säubern den Host bzw. spielen Daten neu auf und freuen uns über unseren Erfolg. Die meisten SIEM-Lösungen arbeiten quasi seriell: Der auf SIEM-Ebene entdeckte Sicherheitsvorfall wird – gestützt auf die Daten signaturbasierter Systeme – als End- und Schlusspunkt präsentiert. Was wir nicht erfahren, ist, dass der aktuelle Vorfall Host Nummer 117 betroffen hat, während der Angriff eigentlich vor mehr als einem Jahr mit einem ganz anderen Host seinen Anfang nahm. Wir können dies auch gar nicht erfahren, denn die relevanten Daten sind schon längst nicht mehr zugänglich. SIEM-Lösungen sind nicht dafür entwickelt worden, einen lange zurückliegenden Angriff im Lichte neuer Informationen zu analysieren. Erst im Juli 2011 meldete McAfee, dass es aktive Malware gefunden hatte, die im Jahr 2006 auf den Systemen etabliert worden war. Die Analyse von Protokolldaten aus fünf Jahren übersteigt die Kapazität herkömmlicher SIEM-Systeme und verlangt nach einer Big Data-Lösung.

„Ein Großteil der Sicherheitssoftware eliminiert bzw. erkennt zahlreiche bekannte Bedrohungen. Natürlich braucht man diese Fähigkeit, um Botnets und Viren zu entdecken, die das Tagesgeschäft beeinträchtigen können. Ausgefeilte Angriffe auf sensible, erfolgsrelevante Informationen werden damit jedoch nicht unterbunden. Dazu kommt, dass viele (wenn auch nicht alle) dieser Anwendungen einem die volle Kontrolle darüber, welche Bedrohungen wie erkannt und wann behoben werden, aus der Hand nehmen.“ 5

Sobald ein Cyber-Hacker merkt, dass der in Besitz genommene Host nicht mehr verfügbar ist, nimmt er seine eigene Analyse des Systems vor und wechselt seine Taktik, um sich umso nachhaltiger auf anderen Netzwerkhosts festzusetzen. Neue Befehls- und Steuerungsanweisungen werden an andere, schlafende Malware gesendet, und die dauerhafte Ausspähung eines Unternehmens kann weitergehen.

Die Implikationen der neuen AngriffsstrategienHeutige Täter wollen, dass sich ihre Malware möglichst normal verhält, um zu vermeiden, dass auffällige Protokolldaten einen Alarm auslösen. Wenn ein Cyber-Krimineller erst einmal umfassende Informationen über einen Mitarbeiter gesammelt und durch eine tatsächliche (oder nur vorgegebene) lange Bekanntschaft sein Vertrauen erworben hat, ist die Chance groß, dass er auf die Aufforderung des Kriminellen, eine bestimmte Website zu besuchen, einen Anhang anzuklicken oder einer

5 MANDIANT M-Trends Report 2011, Mandiant Inc.

W H I T E P A P E R

listen to your data 5

Wie ein Angreifer zu denken, heißt, große Mengen an „normalen“ Aktivitätsdaten auf Muster zu überprüfen, bei denen eine zeitliche, örtliche oder anderweitige Auffälligkeit besteht. Infolge dieser Fokusverschiebung entsteht eine neue Funktion innerhalb des Sicherheitsteams, die Funktion des Security Intelligence-Analysten6. Ein Security Intelligence-Analyst:

• versetzt sich in die Rolle des Aggressors, um die Identitäten, Ziele und Methoden potenzieller Gegner zu verstehen;

• arbeitet mit Management-, LOB- und betrieblichem Personal zusammen und schärft so sein Bewusstsein für die Gefahr durch persistente Angriffe

• beurteilt Maßnahmen und ermittelt, ob ein verdächtiges Verhaltensmuster vorliegt

• erfasst und visualisiert verdächtige Verhaltensmuster, indem er massive Datensätze alltäglicher IT-Aktivitäten mittels Analysefunktionen untersucht.

„Im Zentrum der effektivsten [APT]-Abwehr steht eine neue Art von Sicherheitsanalysen, die normabweichende Muster schnell aufdeckt – leistungsfähige Instrumente in den Händen einer wichtigen neuen Gruppe der Datenwissenschaftler: der Security Analytics-Experten.“ 7

Einbrüche mittels APT in Unternehmensnetze haben SIEM von einer gefeierten Lösung zu einem Tool degradiert, das überwiegend für die Aufdeckung bekannter Bedrohungen genutzt wird.

„Die neuen Täter sind intelligent, mit ausreichend Ressourcen ausgestattet und äußerst geduldig. Sie spionieren ihr Opfer wochenlang aus und wenden Monate auf, um ihre Malware in den Unternehmen einzuschleusen und Daten abzusaugen.“ Chris Silva, IANS Trend Report 2011 8

Big Data und Analytics im Kampf gegen unbekannte BedrohungenAnalog zu BI-Lösungen, mit denen Unternehmen große

Datenmengen analysieren, um mehr über ihre Kunden zu erfahren, benötigen Sicherheitsprofis spezielle Lösungen für die Überwachung der Infrastruktur.

Sie müssen in der Lage sein, die netzwerk-, host-, und anwendungsbezogenen Muster der verschiedenen IT-Daten innerhalb ihres Kontextes zu überwachen. Nur so lässt sich erkennen, ob und wie sehr die IT-Umgebung von persistenter Malware befallen ist.

„In der Informationssicherheit gibt es eine Reihe von Anwendungsszenarien, die sich nur mit Big Data-Funktionen bewältigen lassen.“Neil MacDonald, Gartner, 12. April 2011

Splunk – das erste Big Data-System für mehr SicherheitSplunk Enterprise ist die Engine für Maschinendaten. Mit Splunk erhalten Unternehmen wahre operative Intelligenz, indem sie Echtzeit-Maschinendaten und Terabytes von historischen Daten, die vor Ort oder in der Cloud vorliegen, überwachen, zu Berichten verarbeiten und analysieren. Splunk bietet Analysefunktionen, mit denen Unternehmen jedes denkbare Angriffsszenario durchspielen, visualisieren und seine Auswirkungen auf die wichtigsten Datenwerte des Unternehmens überprüfen können. Dabei lassen sich die Szenarien schnell und einfach an den am Geschäftsrisiko orientierten Angriffsstrategien möglicher Cyber-Täter ausrichten. Automatische Suchdurchläufe überwachen Host-, Netzwerk- und Anwendungsdaten fortlaufend auf abnorme Muster. Kombiniert mit dem Wissen darüber, wo kritische Daten abgelegt sind und wer Zugang dazu haben sollte, sowie mit der zeitbasierten Analyse des typischen Benutzerverhaltens (Anzahl der täglich verschickten E-Mails, übliche Datenzugriffszeiten, physischer Zugriff und normales Host-Netzwerkverhalten) entsteht damit ein Netz an Informationen, in dem Unternehmen abweichende Muster leicht erkennen können. Durch die adaptive Überwachung während der aktiven Phase eines Angriffs lassen sich Host- und Netzwerkaktivitäten, die von der Norm abweichen, effektiv feststellen.

„Splunk verfügt über rund 3.000 Kunden; der größte Teil von ihnen nutzt Splunk-Software zur Lösung von Big Data-Problemen, d. h. zur

6 IANS Trends: A Behavioral Approach To Threat Modeling, 2011

7 When Big Data Met Security: Is The New Era Beginning? Chuck Hollis, VP – CTO, EMC Corporation, April 12, 2011 http://chucksblog.emc.com/chucks_blog/2011/08/when-big-data- met-security-is-the-new-era-beginning.html

8 IANS Trends: A Behavioral Approach To Threat Modeling, 2011

W H I T E P A P E R

listen to your data 6

Bereitstellung von Operational Intelligence, um IT-Daten zugänglich, verwertbar und gewinnbringend zu machen.“

Frank Sparacino, First Analysis, 15. September 2011

Mit definierten Gruppen von automatisch ablaufenden Splunk-Suchdurchläufen können mehrere Angriffsszenarien abgedeckt und Benutzeraktivitäten auf verdächtige Erscheinungen überwacht werden. So kann eine einzige Suche wie bei einem Entscheidungsbaum mehrere andere Suchvorgänge auslösen und dadurch Existenz und Verbreitung von Malware verifizieren. Verdächtige Verhaltensmuster können gemeinsam mit anderen zeitlich geordneten IT-Daten und Änderungen an Host-Konfigurationsdateien präzise analysiert werden. Historische Sicherheitsvorfälle können und sollten regelmäßig überprüft und erneut analysiert werden, um eine wiederholte Ansteckung mit Malware zu verhindern und zu ermitteln, ob das erste kompromittierte System ein Einzelfall, das erste Opfer in einer langen Reihe oder aber ganz konkret Opfer Nummer 112 war.

Mit einem ausgereiften Konzept, das Big Data und Analytics für die Erfassung und Aufdeckung persistenter Malware nutzt, kann ein Sicherheitsteam im Unternehmen den entscheidenden Schritt von der konventionellen, eindimensionalen Angriffsbekämpfung zu einer flexiblen Strategie nach aktuellem Stand der Technik vollziehen, mit der sich auch neueste Bedrohungen erfolgreich abwehren lassen. Zu den Best Practices für diese neue Strategie zählen:

• Fokussierung auf die wichtigsten Daten-Assets des Unternehmens

• Nutzung von Überwachungs- und Analysefunktionen zur Erkennung von „Verhaltensausreißern“

• Ermittlung, Modellierung und Analyse von Angriffsmustern

• Entwicklung eines tiefgehenden Verständnisses der Angriffsstrategie im Kontext der wichtigsten Assets und IT-Umgebungen des Unternehmens

• Verankerung der Erkenntnis, dass zwar nicht jeder Einbruch verhindert werden kann, dass Eindringlinge aber schnell entdeckt und die Folgen/Risiken minimiert werden können

Bei Ad-hoc-Analysen von Daten und Angriffsmodellierung auf Basis der Geschäftsrisiken kann das Sicherheitsteam seine ganze Kreativität und Vorstellungskraft ausspielen. Auf diese Weise lässt sich die mögliche Stoßrichtung von Attacken bereits im Vorfeld erkennen. Gleichzeitig können unterschiedliche Alarmausgaben dazu verwendet werden, sicherheitsrelevante Vorkommnisse auf den einzelnen Hosts voneinander zu unterscheiden.

Die erfolgreiche Bekämpfung bekannter GefahrenObwohl sich das vorliegende Whitepaper primär mit neuen Bedrohungsparadigmen und neuartigen Herangehensweisen befasst, sollen althergebrachte Praktiken für die Abwehr bekannter Gefahren keinesfalls in Bausch und Bogen verdammt werden. Script-Kiddies und im Netz bereitgestellte Angriffswaffen sind immer noch eine reale Bedrohung. Im Interesse einer kontinuierlichen Verbesserung sollten Sicherheitsmetriken nach wie vor überwacht werden. Auch System-Patches, IPS-Lösungen, Firewalls, DNS-Protokolle, DLP-Systeme, Antivirenprogramme und sonstige Komponenten der Endpoint-Sicherheit sollten von Unternehmen fest im Blick behalten werden.

Splunk bietet Benutzern, die sich normalerweise für eine konventionelle SIEM-Lösung entschieden hätten, eine attraktive Alternative. Ab sofort stehen 30 Splunk-Sicherheits-Apps für spezifische Sicherheitsprobleme kostenlos zur Verfügung. Ergänzend dazu bietet die Splunk App for Enterprise Security die Überwachung von über 100 Sicherheitskennziffern, mehr als 160 Reports, Identitätskorrelation und ein vollständiges Arsenal der wichtigsten Korrelationssuchen für eine umfassende SIEM-Funktionalität. Die App beinhaltet Incident Workflows und unterstützt neben der tiefgehenden Rohdatenanalyse auch Workflow-Aktivitäten, mit denen Datentyp-übergreifende Ansichten von Incident-Daten erzeugt werden können. Wie beim Splunk-Kernprodukt können auch hier Echtzeit-Alerts generiert werden.

Auf dem Weg zur Security IntelligenceDie Identifizierung auffälliger Muster in großen Datensätzen über einen längeren Zeitraum hinweg und ihre Korrelation mit neuartigen Gefährdungsszenarien ist der Schlüssel zur Aufdeckung persistenter Cyber-Angriffe und der Malware, die von ihnen hinterlassen wird. SIEM-Lösungen, mit denen sich die Sicherheitsinfrastruktur auf bekannte Gefahren überwachen lässt, sind keine Lösung für die Herausforderung durch APT-Attacken. Sie führen dazu, dass sich die Sicherheitsteams ständig um reaktive Schadensbegrenzung bemühen und dabei wie die Opfer, nicht wie die Angreifer denken. Nur Big Data-Lösungen

W H I T E P A P E R

listen to your data 7www.splunk.com

250 Brannan St, San Francisco, CA, 94107 info@splunk.com | sales@splunk.com 866-438-7758 | 415-848-8400 www.splunkbase.com

listen to your data

Copyright © 2012 Splunk Inc. All rights reserved. Splunk Enterprise is protected by U.S. and international copyright and intellectual property laws. Splunk is a registered trademark or trademark of Splunk Inc. in the United States and/or other jurisdictions. All other marks and names mentioned herein may be trademarks of their respective companies. Item # WP-Splunk_09_10

mit leistungsstarken Analyse- und Visualisierungsfunktionen gewähren wirklich Einblicke in normabweichendes Netzwerkverhalten.

Sicherheitsteams müssen ihre ganze Kreativität ins Spiel bringen, um sich in die Angreifer hineinzuversetzen und geschäftliche Risiken in Beziehung zu konkreten Daten zu setzen. Indem sie denken wie Cyber-Täter und Attacken modellieren, die sich z. B. durch Spear-Phishing Zugriff auf die wichtigsten Unternehmenswerte verschaffen, können sie Daten-Assets und Risiken priorisieren und ihre Tätigkeit an den unternehmerischen Zielvorgaben ausrichten. Eine solche Herangehensweise ist eine wertvolle Fähigkeit.

Splunk bietet eine Security Intelligence-Lösung für die Überwachung großer Datenmengen, mit der Unternehmen zwischen berechtigten Interaktionen mit ihren IT-Systemen und verdächtigen Verhaltensweisen, die eventuell durch Malware verursacht werden, unterscheiden können. Anhand der Informationen von signatur- und regelbasierten Systemen erkennt Splunk bekannte Gefahren und warnt gleichzeitig vor unbekannten Bedrohungen, indem die Splunk-Analysefunktionalität durch risikobasierte Szenarien angereichert wird.