Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere
IT-Sicherheitssituation verbessern?
Prof. Dr. (TU NN)
Norbert Pohlmann
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
http://www.internet-sicherheit.de
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Inhalt
Motivation „Big Data Security“
Prinzipielle IT-Sicherheitsstrategien
Big Data Security
Zusammenfassung
2
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Inhalt
Motivation
„Big Data Security“
Prinzipielle IT-Sicherheitsstrategien
Big Data Security
Zusammenfassung
3
Motivation “Big Data Security”
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
 Kein angemessener Schutz vorhanden!
Professionelle Hacker greifen alles erfolgreich an!
US Firmen (Google, RSA, …)
US Regierungsorganisationen
Ist ein internationales Problem, das alle betrifft!
…
Die größten IT-Sicherheitsherausforderungen im Internet
Zu viele Schwachstellen in Software
Ungenügender Schutz vor Malware
Verwendung von schlechten Authentikationsmechanismen, wie Passwort
…
NSA und Co. sammeln alle Daten und werten fleißig aus!
Manipulation der IT und IT-Sicherheitsmechanismen
Zugriff auf unsere Daten (sehr viel Geld, Patiot Act, …)
…
4
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Komplexe und schnell verändernde
 IT-Infrastrukturen
$
$
$
$
Gelegenheit macht Diebe
5
Advanced Persistent Threat (APT)
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
 Eine besondere Herausforderung
Gezielter Angriff
Aufwendige Hintergrundinformationen eines Opfer-IT-Systems und
dessen Umgebung (IT-Intrastruktur, Technologien, Personen, …)
Großer Aufwand (Advanced)
Mit komplexen Angriffstechnologien und -taktiken sowie
professionellen Angreifern und
(die besten der Welt – virtuellen Zusammenarbeit)
Social Engineering
Möglichst lange (Persistent) unentdeckt bleiben
Langfristiges Auslesen von wertvollen Daten
Manipulation von IT-Systemen (Stuxnet)
Wir haben heute im Prinzip keine passenden
Abwehrtechnologien gegen APTs im Einsatz!
 Motivation für „Big Data Security“
6
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Inhalt
Motivation
„Big Data Security“
Prinzipielle ITSicherheitsstrategien
Big Data Security
Zusammenfassung
7
Prinzipielle IT Sicherheitsstrategien
 Welche Werte müssen geschützt werden?
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in
Unternehmen besonders schützenswert.
$
$
Aber welche Daten sind besonders schützenswert und wie
können diese angemessen geschützt werden?
8
Prinzipielle IT Sicherheitsstrategien
 Vermeiden von Angriffen – (1)
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Nicht alle IT-Systeme ans Internet anschließen
So wenig wie möglich Daten generieren
Keine Technologie mit Schwachstellen verwenden
(z.B. Browser, Betriebssysteme, Internet-Dienste, …)
 Schwachstellenampel vom BSI
…
$
Assets
Bewertung der Vermeidung
Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie!
Ist nur begrenzt umsetzbar,
wenn wir IT mit allen Vorteilen nutzen wollen!
9
Prinzipielle IT Sicherheitsstrategien
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
 Entgegenwirken von Angriffen – (2)
Meist verwendete IT-Sicherheitsstrategie
IT-Sicherheitstechnologien mit einer hohen Wirkung gegen Angriffe
(NSA arbeitet dagegen, z.B. schlechte Zufallszahlengeneratoren)
Beispiele, bei denen ein hoher Nachholbedarf besteht:
Verschlüsselungssicherheitssysteme
(Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...),
Authentikationsverfahren
(Challenge-Response, globale Identität, Föderation, …),
Vertrauenswürdige IT-Systeme
(Security Kernel, Isolierung u. Separierung, ..)
…
Direct
Threat
$
Assets
Bewertung des Entgegenwirkens
Eine naheliegende IT-Sicherheitsstrategie
Leider stehen zurzeit nicht genug wirkungsvolle und
vertrauenswürdige IT-Sicherheitstechnologien, -Lösungen und
-Produkte zur Verfügung oder sind im Einsatz
Probleme: Schlechte SW, ungenügende Anti-Produkte, Passworte, …
10
Prinzipielle Sicherheitsstrategien
 Erkennen von Angriffen – (3)
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Erkennen von Angriffen, denen nicht entgegengewirkt werden kann
Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu
minimieren (APT).
Generell IT-Sicherheitssysteme,
die Warnungen erzeugen, wenn
Angriffe mit Hilfe von Angriffssignaturen
oder Anomalien erkannt werden.
Attack
trial
Monitoring
$
Assets
Monitoring
Monitoring
Bewertung des Erkennen
Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich, hat
aber definierte Grenzen.
11
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Inhalt
Motivation
„Big Data Security“
Prinzipielle IT-Sicherheitsstrategien
Big Data Security
Zusammenfassung
12
Big Data Security
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
 Übersicht
Ziel:
Big Data Security soll
 „Advanced Persistent Threats“ erkennen, um
 Schaden zu verhindern oder zu reduzieren.
Idee:
Die Themen „Big Data“ und „Security“ werden
kombiniert, um mehr IT-Sicherheit erzielen zu können.
Big Data:
Große Datenmengen aus vielfältigen Quellen mit neu
entwickelten Methoden und Technologien erfassen
und analysieren, um gewünschte Ergebnisse zu erzielen.
Big Data
Security:
Viele sicherheitsrelevante Informationen und
Kontextinformationen sammeln (strukturiert und unstrukturiert)
 Beurteilung der IT-Sicherheitssituation
 Advanced Persistent Threat (APT) erkennen
13
Big Data Security
 Datenquellen für die Analyse
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Als Datenquellen werden
sicherheitsrelevante und
Kontext Informationen
in dem zu überwachenden IT-Bereich generiert, gesammelt und verarbeitet.
14
Datenquellen (IT-Systeme)
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
 Sicherheitsrelevante Informationen
Beispiele von IT-Systemen:
Netzkomponenten, wie
Switche, Route, Gateways, …
IT System
Server, wie Webservern,
E-Mail-Servern, SIP-Servern, …
IT-Sicherheitskomponenten,
Regel
wie Firewall, Anti-Malware,
Intrusion Detection,, …
Endsysteme (Betriebssysteme,
Dateisysteme, Anwendungen,
CPU-Auslastung, Speicherauslastung,
Stromversorgung, usw.)
Ereignis
Alarm
Verarbeitungsmodul
für sicherheitsrelevante
Ereignisse
Log File Eintrag
Log File
Spezielle Sensoren von der Kommunikationsinfrastruktur und
Endsysteme
…
Logdaten-Systeme halten
Ereignisse in Log Files fest
Alarme, sind besonders wichtige
Ereignisse, die direkt weitergeleitet
werden
15
Datenquellen
 Kontextinformationen
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Kontextinformationen für die Erstellung eines dynamisches Lagebilds der ITSicherheit und die Bestimmung der Wahrscheinlichkeit von Angriffen.
Hierzu zählen insbesondere:
Tatsächlich genutzte Technologien
in der Organisation
Informationen über bekannte Bugs,
Schwachstellen, …
Sicherheitsvorfälle
Lagebilder anderer Organisationen,
die zur Verfügung gestellt werden.
Sicherheitsinformationen nationaler und
internationaler CERTs
Usw.
16
Aufbau eines Systems
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
 Grundsätzliche Idee
…
…
APT
Big Data
Security
Lagebild
Kontext-Daten
…
Schwachstellen, Hintergrundinformationen, …
17
Methoden zum Finden
 von relevanten Angriffsdaten
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Maschinelles Lernen
„unüberwachtes“ Lernen
nach Mustern auch in vorher unklassifizierten Daten zu suchen
„überwachtes Lernen“
Regression
Zahlen zur Darstellung von kritischen Sicherheitsrisiken
Klassifizierung
Daten in verschiedene Klassen einteilen
(z.B. bösartig oder harmlos)
Aufgrund der individuellen Gegebenheiten eines Unternehmens und der
ständigen Änderungen ist der Einsatz von Lernalgorithmen an die
vorhandenen IT-Infrastrukturen anzupassen.
Falsche Klassifikationen: False „negative“ and „positive“
18
Technologien zum Umsetzen
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
 ist jetzt möglich!
Heutige, marktübliche Computer verfügen über genügend Computerleistung,
um viele dieser umfangreichen Prozesse von maschinellem Lernen in
akzeptabler Zeit durchzuführen.
Leistungsfähige Hardware (Multi-Core, RAM, …)
Hohe Geschwindigkeit der Datenübertragung
Dauerhafte Speicherung der sicherheitsrelevanten Informationen und
von Kontext Informationen (Speicherplatz)
Leistungsfähige Datenbanken
…
19
Big Data Security
 Herausforderungen
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Umgang mit maschinellem Lernen
Das Finden von APTs
Datenschutzaspekte
Arbeitsabläufe (Betriebsrat, …)
Private Informationen (E-Mail, Soziale Netzte, …)
Datensicherheit
Auch die Angreifer interessieren sich für diese Informationen
Wie definieren wir die Vertrauenswürdigkeit der Anbieter?
(Welchen Einfluss hat die NSA darauf?)
Manipulation von sicherheitsrelevanten Daten
Zusammenarbeit mit anderen Organisationen
20
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Big Data Security
 Bewertung (positiv)
Finden der Nadel im Heuhaufen
21
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Big Data Security
 Bewertung (negativ)
Verstreuen von zusätzlichem Heu
22
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Inhalt
Motivation
„Big Data Security“
Prinzipielle IT-Sicherheitsstrategien
Big Data Security
Zusammenfassung
23
Big Data Security
 Zusammenfassung
 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen
Klar ist, dass wir uns zurzeit nicht angemessen gegen die
professionellen Hacker schützen können!
Die 5 % unserer wichtigen und wertvollen Daten müssen wir
wirkungsvoll schützen (Verschlüsselungssicherheitssysteme,
Vertrauenswürdige IT-Systeme, …), um Schaden zu verhindern!
Big Data Security ist ein Ansatz, der uns helfen könnte,
komplexe Sicherheitsprobleme zu identifizieren und
damit Schäden zu vermeiden oder zu reduzieren.
Je besser die Zusammenarbeit mit anderen Organisationen ist, um so
besser können die Ergebnisse sein.
Es wird sich herausstellen müssen, ob der große Aufwand von
Big Data Security durch die Ergebnisse gerechtfertigt werden kann.
Der Versuch lohnt sich!
24
Kann Big Data Security unsere
IT-Sicherheitssituation verbessern?
Vielen Dank für Ihre Aufmerksamkeit
Fragen ?
Prof. Dr. (TU NN)
Norbert Pohlmann
Institut für Internet-Sicherheit – if(is)
Westfälische Hochschule, Gelsenkirchen
http://www.internet-sicherheit.de