Big Data entwickelt sich mehr und mehr zu einer Herausforderung für die IT-Security-Abteilungen. Die stecken in einem Dilemma: Sie sehen sich konfrontiert mit immer komplexer werdenden Datenlandschaften, die geschützt werden müssen, sowie der zunehmenden Raffinesse und den immer besseren technischen Möglichkeiten der Hacker.
Gefordert sind daher ausgefeilte Security-Lösungen und Strategien, die über die klassischen Methoden hinausgehen. Herkömmliche Abwehrmaßnahmen, die auf der Erkennung bekannter Angriffsmuster basieren, greifen im komplexen Datengeflecht von Big Data oft nicht. "Wie soll man das Böse erkennen, wenn man nicht weiß, wie es aussieht?", fragt Gartner-Analyst Neil MacDonald.
Oracle: Audit Vault
Lösungen bieten unter anderem die Anbieter von Datenbanken. Oracle hat beispielsweise neben den in der Datenbank integrierten Sicherheitsfunktionen mit "Audit Vault and Database Firewall" eine Security-Suite im Programm, die zunehmend als produkt- und herstellerübergreifende Lösung positioniert wird. Die im vergangenen Dezember als Software-Appliance vorgestellte Kombination sammelt Audit- und Log-Daten von verschiedenen Datenbanken.
Neben den Oracle-Produkten werden auch IBM DB2, Microsofts SQL Server, SAPs Sybase ASE und MySQL unterstützt. Darüber hinaus kann das System laut Hersteller Event-Logs auf Betriebssystem-Ebene sowie aus verschiedenen Directories und File-Systemen sammeln und auswerten. Sämtliche Informationen werden in einem zentralen Audit-Repository konsolidiert und könnten dort auf Basis zuvor definierter Compliance-Regeln in Echtzeit ausgewertet werden. Anwender würden damit in die Lage versetzt, alle Zugriffe auf bestimmte Daten sowie sämtliche Aktivitäten rund um das Daten-Handling zu überwachen.
Außerdem kooperiert Oracle mit den Anbietern von Big-Data-Lösungen. Unterstützt wird beispielsweise das Framework Hadoop, mit dessen Hilfe sich große Datenmengen parallelisiert in hoher Geschwindigkeit analysieren lassen. Dabei kooperiert Oracle mit dem Hadoop-Anbieter Cloudera. Beide Hersteller arbeiten daran, das Hadoop-Modul "Hive" weiterzuentwickeln, das eine SQL-Schnittstelle zwischen Hadoop und klassischen Datenbanken bietet. Auf Basis von Hive-Tabellen ließen sich dann bekannte Sicherheits-Features aus der SQL-Welt in Hadoop einbauen, zum Beispiel Authentifizierungskonzepte, wer auf welche Daten zugreifen darf.
IBM: InfoSphere Guardium
Auch IBM weitet seine Sicherheitskonzepte für herkömmliche Datenbanken zunehmend auf Big-Data-Umgebungen wie Hadoop aus. Mit "InfoSphere Guardium" verspricht der Hersteller seinen Kunden Echtzeit-Monitoring sowie ein automatisiertes Compliance-Reporting für Hadoop-basierte Systeme wie Cloudera und das IBM-eigene "InfoSphere BigInsights". Ein Data-Activity-Monitor soll dabei für Transparenz bei allen Big-Data-Transaktionen sorgen. Sämtliche Datenzugriffe würden protokolliert. Manipulationen und verdächtige Aktionen sollen sich in Echtzeit erkennen lassen. Flankiert wird der Big-Data-Wächter von zwei weiteren Werkzeugen. Ein "Key Lifecycle Manager" hilft Anwendern bei der Schlüsselverwaltung im Rahmen der Authenfizierung. Mit "Optim Data Masking" ließen sich sensible Daten wie Finanzinformationen oder Mitarbeiterdaten beim Transport in und aus Hadoop-Systemem maskieren.
Darüber hinaus entwickelt IBM seine Security-Information-and-Event-Management-(SIEM-)Lösung "QRadar" weiter, die der Konzern mit dem Kauf von Q1 Labs Ende 2011 übernommen hatte. Der Anbieter positioniert das Werkzeug als Security Intelligence Platform, auf der Anwender Log-Informationen über die Verwendung von Daten sowie eine Vielzahl weiterer sicherheitsrelevanter Informationen sammeln, speichern und analysieren können. QRadar soll nach Herstellerangaben Auffälligkeiten in Nutzungsmustern erkennen und Alarm schlagen können. Die SIEM-Lösung soll künftig tiefer in Techniken wie das Endpoint-Management, Firewalls und Governance, Risk and Control (GRC) integriert werden.
Hewlett-Packard: ArcSight
Auch HP bietet mit "ArcSight" eine SIEM-Lösung an. Als zentrale Komponente liefert der "ArcSight Enterprise Security Manager" (ESM) ein komplettes Set an Überwachungsfunktionen. Mit dem "Application Security Monitor" sollen sich auch Anwendungen in die Sicherheitsarchitektur einbinden lassen. Zudem verspricht HP eine Integration mit Security-Techniken von Drittanbietern. Ergänzen lässt sich die Lösung mit "ArcSight Logger", einer Reihe von Spezial-Appliances für das Sammeln von Log-Daten etwa zum User Activity Monitoring. Außerdem bietet HP mit "ArcSight Express" eine vorkonfigurierte SIEM-Appliance für mittelständische Anwender an, die sich einfach implementieren und betreiben lassen soll.
McAfee: NitroSecurity
Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM). Außerdem fließen seit Mitte vergangenen Jahres Informationen aus McAfees Bedrohungsanalysen, dem Risk Advisor und dem Vulnerability Manager mit ein.
RSA (EMC): enVision/NetWitness
Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log-Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können. Ein einheitliches User Interface soll die Bedienung beider Tools künftig vereinfachen. Außerdem arbeitet der Hersteller verstärkt an Funktionen für Echtzeit-Monitoring sowie an speziellen Paketen für Mittelständler.
Symantec: SSIM
Der Security-Spezialist bietet mit dem "Symantec Security Information Manager" (SSIM) eine speziell für SIEM-Funktionen ausgelegte Appliance. Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten.
Splunk
Der Anbieter Splunk baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit-Monitoring einrichten. Künftig sollen vor allem die Funktionen zur Erkennung von Unregelmäßigkeiten ausgebaut werden.
Big Data für Big-Data-Sicherheit
Mit der stärkeren Nutzung von SIEM-Werkzeugen fallen in den Unternehmen auch immer mehr Security-Daten an. Diese könnten sich wiederum mit Hilfe von Big-Data-Techniken schneller und effizienter auswerten lassen. Einige Startups bieten dafür bereits Tools an. Packetloop hat beispielsweise eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen. Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren. (Computerwoche)