SIEM und Remote Access – Big Data in der IT-Sicherheit

Big Data und die Analyse der Datenflut sind in der IT-Sicherheit eine bestimmende Thematik. Steigende Zahlen an Nutzern, Endgeräten und Anwendungen sowie damit verbundene Protokolldaten erhöhen die Anforderungen ebenso wie die zunehmend professionellen Angreifer. Meist liegen mehr als genug sicherheitsrelevante Daten über erfolgte Angriffe und mögliche Sicherheitslücken vor, allerdings werden diese häufig zu spät oder gar nicht entdeckt - weil die Daten unstrukturiert vorliegen und eine Auswertung ohne spezielle Lösungen fast unmöglich ist. SIEM-Systeme (Security Information und Event Management) zur besseren Analyse und Verwaltung von Angriffsindikatoren setzen genau hier an. Aus gesammelten Daten werden Zusammenhänge zwischen einzelnen Ereignissen hergestellt und als Warnungen und Berichte z.B. an IT-Administratoren ausgegeben. Dies dient der Erfüllung von Compliance-Anforderungen und erleichtert die Dokumentation und Archivierung sicherheitsrelevanter Vorfälle. Über Remote Verbindungen versuchen Angreifer den Zugriff auf Firmendaten zu erlangen. In Form von Nutzer- oder Zugriffsdaten z.B. aus Logdateien stehen Unternehmen zahlreiche Informationen zur Verfügung, die Rückschlüsse auf versuchte oder erfolgte Angriffe zulassen. Aufgedeckt werden könnten diese beispielsweise durch die Analyse misslungener Anmeldeversuche oder verdächtiger Datenströme im Netzwerk. Ziel ist es, Fehlerquellen und Schlupflöcher beim Zugang über VPN oder RDP zu minimieren.