HP-Sicherheitschef: Wie Big Data Hacker auf frischer Tat ertappen kann

Laut dem Sicherheitschef von HP konzentrieren Unternehmen ihre Sicherheitsbemühungen an der falschen Stelle und setzen alles darauf, Kriminelle zu blockieren, anstatt mehr zu tun, um sie nach einem Einbruch zu erkennen.

Laut Art Gilliland, HP Senior VP und General Manager für Unternehmenssicherheitsprodukte, fließen laut Untersuchungen 86 Prozent der Sicherheitsausgaben in die Abwehr von Hackern. Aber Eindringlinge verbringen durchschnittlich 416 Tage in den Computern eines Unternehmens, bevor sie entdeckt werden.

„Seit über einem Jahr sind diese Bösewichte also drinnen und die Systeme, die [die Unternehmen] eingerichtet haben, konnten sie nicht finden.“ Am Ende haben sie sie nicht einmal selbst gefunden; „In 94 Prozent der Fälle hat es ihnen jemand anderes erzählt“, sagte Gilliland.

„Es ist relativ kompliziert, diese Leute rauszuholen, weil man sie gar nicht erst gesehen hat. Sie wissen nicht, wo sie sind. Sie versuchen, die Brücke anhand der Daten wieder aufzubauen, von denen Sie wissen, dass sie gestohlen wurden, aber wo sonst sind sie? An welchen anderen Orten verstecken sie sich? Laut einer Untersuchung, die wir kürzlich durchgeführt haben, dauert es heute 71 Prozent länger als vor zwei Jahren, diese Leute rauszuholen“, sagte er.

Phasen im Verstoßprozess

Laut Gilliland besteht die Antwort darin, nicht mehr alle Ressourcen der Organisation für die Blockierung bereitzustellen und in anderen Phasen des Sicherheitsverletzungsprozesses mit dem Aufbau von Fähigkeiten zu beginnen.

„Sie müssen jede Phase dieses Verstoßes als einen Ort betrachten, an dem Sie Ihre Verteidigung aufbauen müssen. „Der Bereich, in dem wir meiner Meinung nach kurzfristig am vielversprechendsten sind, besteht darin, den Gegner zu finden, nachdem er eingebrochen ist, aber bevor er Daten gestohlen hat“, sagte er.

Laut Gilliland kann der Verstoßprozess in fünf verschiedene Phasen in einer Kette unterteilt werden, die ursprünglich von Lockheed Martin entwickelt wurde. Die erste Stufe ist Forschung, wenn die potenziellen Eindringlinge Systeme und Mitarbeiter studieren, ein Prozess, der durch die Vorliebe der Mitarbeiter für Facebook erheblich erleichtert wird.

Stufe zwei ist Infiltration – wenn die Kriminellen einbrechen – gefolgt von der dritten Phase, bekannt als EntdeckungDabei geht es darum, die interne Umgebung von Überwachungssystemen abzubilden und den Speicherort der sensibelsten Daten zu ermitteln. Der vierte Schritt ist erfassen.

„In 90 Prozent der Fälle handelt es sich um geistiges Eigentum, Kundendaten oder andere Informationen.“ Natürlich erleben wir auch physische Zerstörung, aber das kommt ziemlich selten vor – ich kann mir vorstellen, dass es in den letzten fünf bis zehn Jahren drei Mal passiert ist. „Es ist Stuxnet, es ist Flame, es sind diese Arten von Technologien – normalerweise eher Cyberkriegstechnologien, nicht das typische Verbrechen“, sagte Gilliland.

Endlich kommt Exfiltration. „Das ist der schicke militärische Begriff für ‚Holt die Daten da raus‘.“ Das kann elektronisch sein, es verschlüsseln und über Port 43 und SSL-Kommunikation versenden – das ist schwer zu erkennen. „Oder wenn ich weiß, dass die Marketinggruppe wirklich coole Kundendaten hat, breche ich ein und stehle ein paar Laptops“, sagte er.

Durch die Konzentration von Sicherheitsinvestitionen auf die zweite Stufe der Sicherheitsverletzungskette haben Unternehmen dies erreicht Sie machten sich unweigerlich verwundbar, insbesondere in der entscheidenden dritten Phase, bevor der Eindringling gestohlen hatte irgendetwas.

„Wenn man sich die Verstöße heute anschaut, dann sind sie es In der Regel werden Benutzeranmeldeinformationen gefährdet. Sie stehlen meine Passwörter und sehen dann aus wie ich. Man möchte also tatsächlich in der Lage sein, seltsames Verhalten zu finden“, sagte Gilliland.

„Es gibt ein Profil, dem ich folge, und wenn mein Verhalten zwei Standardabweichungen von diesem normalen Verhalten überschreitet, sollten Sie das wahrscheinlich untersuchen.“

Tools, die für die Big-Data-Analyse entwickelt wurden, kommen laut Gilliland in dieser Rolle besonders gut zur Geltung.

„Im Sicherheitsbereich beschäftigen wir uns schon sehr lange mit Big Data. Wir hatten einfach nicht die neuen Werkzeuge. Erstellen Sie spaltenbasierte Datenbanken, verwenden Sie MapReduce und verwenden Sie tatsächlich einige dieser wirklich coolen Technologien ermöglichen es uns, nicht nur die technischen Daten, sondern auch die Benutzer- und Informationsflussdaten zu integrieren“, sagte er sagte.

„Das hätten wir vorher auf keinen Fall tun können, weil Sie so viele Daten hätten verbrauchen müssen, dass es zu spät gewesen wäre, wenn Ihre Systeme das ganze Zeug rausgedreht hätten.“

Sicherheitsexpertise der Betriebsteams

Doch während Big-Data-Technologien dazu beitragen können, die Sicherheitsreaktion zu beschleunigen, liegt die eigentliche Herausforderung, vor der die meisten Unternehmen stehen, in den Fähigkeiten ihrer Benutzer und der Fachwissen ihrer Sicherheitsteams.

„Im Gegensatz zu Blockierungstechnologien wie einer Firewall oder einem Antivirenprogramm funktionieren diese Technologien nicht eigenständig. Es ist, als ob ein wirklich schönes Auto mit eingeschaltetem Schlüssel und eingeschaltetem Licht in der Einfahrt steht – wir können Ihnen dabei helfen „Wir können dabei helfen, es bereitzustellen und dort unterzubringen, aber wenn man nicht einsteigt und fährt, geht es nirgendwo hin“, sagt Gilliland sagte.

„Ja, wir können dazu beitragen, das selbstfahrende Auto ein wenig weiter zu entwickeln und es einfacher zu machen, aber auch das werden einfache Dinge sein.“ Wenn du einen wirklich entschlossenen Gegner finden willst, musst du ihn bedienen, du musst abseits der Straße fahren, du musst das Ding selbst fahren.“