Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit – if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Inhalt Motivation „Big Data Security“ Prinzipielle IT-Sicherheitsstrategien Big Data Security Zusammenfassung 2 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Inhalt Motivation „Big Data Security“ Prinzipielle IT-Sicherheitsstrategien Big Data Security Zusammenfassung 3 Motivation “Big Data Security” Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Kein angemessener Schutz vorhanden! Professionelle Hacker greifen alles erfolgreich an! US Firmen (Google, RSA, …) US Regierungsorganisationen Ist ein internationales Problem, das alle betrifft! … Die größten IT-Sicherheitsherausforderungen im Internet Zu viele Schwachstellen in Software Ungenügender Schutz vor Malware Verwendung von schlechten Authentikationsmechanismen, wie Passwort … NSA und Co. sammeln alle Daten und werten fleißig aus! Manipulation der IT und IT-Sicherheitsmechanismen Zugriff auf unsere Daten (sehr viel Geld, Patiot Act, …) … 4 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Komplexe und schnell verändernde IT-Infrastrukturen $ $ $ $ Gelegenheit macht Diebe 5 Advanced Persistent Threat (APT) Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Eine besondere Herausforderung Gezielter Angriff Aufwendige Hintergrundinformationen eines Opfer-IT-Systems und dessen Umgebung (IT-Intrastruktur, Technologien, Personen, …) Großer Aufwand (Advanced) Mit komplexen Angriffstechnologien und -taktiken sowie professionellen Angreifern und (die besten der Welt – virtuellen Zusammenarbeit) Social Engineering Möglichst lange (Persistent) unentdeckt bleiben Langfristiges Auslesen von wertvollen Daten Manipulation von IT-Systemen (Stuxnet) Wir haben heute im Prinzip keine passenden Abwehrtechnologien gegen APTs im Einsatz! Motivation für „Big Data Security“ 6 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Inhalt Motivation „Big Data Security“ Prinzipielle ITSicherheitsstrategien Big Data Security Zusammenfassung 7 Prinzipielle IT Sicherheitsstrategien Welche Werte müssen geschützt werden? Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Im Schnitt sind nur ca. 5 % aller vorhandenen Daten in Unternehmen besonders schützenswert. $ $ Aber welche Daten sind besonders schützenswert und wie können diese angemessen geschützt werden? 8 Prinzipielle IT Sicherheitsstrategien Vermeiden von Angriffen – (1) Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Nicht alle IT-Systeme ans Internet anschließen So wenig wie möglich Daten generieren Keine Technologie mit Schwachstellen verwenden (z.B. Browser, Betriebssysteme, Internet-Dienste, …) Schwachstellenampel vom BSI … $ Assets Bewertung der Vermeidung Vermeidung von Angriffen ist die beste IT-Sicherheitsstrategie! Ist nur begrenzt umsetzbar, wenn wir IT mit allen Vorteilen nutzen wollen! 9 Prinzipielle IT Sicherheitsstrategien Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Entgegenwirken von Angriffen – (2) Meist verwendete IT-Sicherheitsstrategie IT-Sicherheitstechnologien mit einer hohen Wirkung gegen Angriffe (NSA arbeitet dagegen, z.B. schlechte Zufallszahlengeneratoren) Beispiele, bei denen ein hoher Nachholbedarf besteht: Verschlüsselungssicherheitssysteme (Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL, ...), Authentikationsverfahren (Challenge-Response, globale Identität, Föderation, …), Vertrauenswürdige IT-Systeme (Security Kernel, Isolierung u. Separierung, ..) … Direct Threat $ Assets Bewertung des Entgegenwirkens Eine naheliegende IT-Sicherheitsstrategie Leider stehen zurzeit nicht genug wirkungsvolle und vertrauenswürdige IT-Sicherheitstechnologien, -Lösungen und -Produkte zur Verfügung oder sind im Einsatz Probleme: Schlechte SW, ungenügende Anti-Produkte, Passworte, … 10 Prinzipielle Sicherheitsstrategien Erkennen von Angriffen – (3) Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Erkennen von Angriffen, denen nicht entgegengewirkt werden kann Angriffe erkennen und versuchen, den Schaden so schnell wie möglich zu minimieren (APT). Generell IT-Sicherheitssysteme, die Warnungen erzeugen, wenn Angriffe mit Hilfe von Angriffssignaturen oder Anomalien erkannt werden. Attack trial Monitoring $ Assets Monitoring Monitoring Bewertung des Erkennen Die IT-Sicherheitsstrategie, Erkennen von Angriffen, ist sehr hilfreich, hat aber definierte Grenzen. 11 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Inhalt Motivation „Big Data Security“ Prinzipielle IT-Sicherheitsstrategien Big Data Security Zusammenfassung 12 Big Data Security Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Übersicht Ziel: Big Data Security soll „Advanced Persistent Threats“ erkennen, um Schaden zu verhindern oder zu reduzieren. Idee: Die Themen „Big Data“ und „Security“ werden kombiniert, um mehr IT-Sicherheit erzielen zu können. Big Data: Große Datenmengen aus vielfältigen Quellen mit neu entwickelten Methoden und Technologien erfassen und analysieren, um gewünschte Ergebnisse zu erzielen. Big Data Security: Viele sicherheitsrelevante Informationen und Kontextinformationen sammeln (strukturiert und unstrukturiert) Beurteilung der IT-Sicherheitssituation Advanced Persistent Threat (APT) erkennen 13 Big Data Security Datenquellen für die Analyse Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Als Datenquellen werden sicherheitsrelevante und Kontext Informationen in dem zu überwachenden IT-Bereich generiert, gesammelt und verarbeitet. 14 Datenquellen (IT-Systeme) Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Sicherheitsrelevante Informationen Beispiele von IT-Systemen: Netzkomponenten, wie Switche, Route, Gateways, … IT System Server, wie Webservern, E-Mail-Servern, SIP-Servern, … IT-Sicherheitskomponenten, Regel wie Firewall, Anti-Malware, Intrusion Detection,, … Endsysteme (Betriebssysteme, Dateisysteme, Anwendungen, CPU-Auslastung, Speicherauslastung, Stromversorgung, usw.) Ereignis Alarm Verarbeitungsmodul für sicherheitsrelevante Ereignisse Log File Eintrag Log File Spezielle Sensoren von der Kommunikationsinfrastruktur und Endsysteme … Logdaten-Systeme halten Ereignisse in Log Files fest Alarme, sind besonders wichtige Ereignisse, die direkt weitergeleitet werden 15 Datenquellen Kontextinformationen Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Kontextinformationen für die Erstellung eines dynamisches Lagebilds der ITSicherheit und die Bestimmung der Wahrscheinlichkeit von Angriffen. Hierzu zählen insbesondere: Tatsächlich genutzte Technologien in der Organisation Informationen über bekannte Bugs, Schwachstellen, … Sicherheitsvorfälle Lagebilder anderer Organisationen, die zur Verfügung gestellt werden. Sicherheitsinformationen nationaler und internationaler CERTs Usw. 16 Aufbau eines Systems Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Grundsätzliche Idee … … APT Big Data Security Lagebild Kontext-Daten … Schwachstellen, Hintergrundinformationen, … 17 Methoden zum Finden von relevanten Angriffsdaten Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Maschinelles Lernen „unüberwachtes“ Lernen nach Mustern auch in vorher unklassifizierten Daten zu suchen „überwachtes Lernen“ Regression Zahlen zur Darstellung von kritischen Sicherheitsrisiken Klassifizierung Daten in verschiedene Klassen einteilen (z.B. bösartig oder harmlos) Aufgrund der individuellen Gegebenheiten eines Unternehmens und der ständigen Änderungen ist der Einsatz von Lernalgorithmen an die vorhandenen IT-Infrastrukturen anzupassen. Falsche Klassifikationen: False „negative“ and „positive“ 18 Technologien zum Umsetzen Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen ist jetzt möglich! Heutige, marktübliche Computer verfügen über genügend Computerleistung, um viele dieser umfangreichen Prozesse von maschinellem Lernen in akzeptabler Zeit durchzuführen. Leistungsfähige Hardware (Multi-Core, RAM, …) Hohe Geschwindigkeit der Datenübertragung Dauerhafte Speicherung der sicherheitsrelevanten Informationen und von Kontext Informationen (Speicherplatz) Leistungsfähige Datenbanken … 19 Big Data Security Herausforderungen Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Umgang mit maschinellem Lernen Das Finden von APTs Datenschutzaspekte Arbeitsabläufe (Betriebsrat, …) Private Informationen (E-Mail, Soziale Netzte, …) Datensicherheit Auch die Angreifer interessieren sich für diese Informationen Wie definieren wir die Vertrauenswürdigkeit der Anbieter? (Welchen Einfluss hat die NSA darauf?) Manipulation von sicherheitsrelevanten Daten Zusammenarbeit mit anderen Organisationen 20 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Big Data Security Bewertung (positiv) Finden der Nadel im Heuhaufen 21 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Big Data Security Bewertung (negativ) Verstreuen von zusätzlichem Heu 22 Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Inhalt Motivation „Big Data Security“ Prinzipielle IT-Sicherheitsstrategien Big Data Security Zusammenfassung 23 Big Data Security Zusammenfassung Prof. Norbert Pohlmann, Institut für Internet-Sicherheit - if(is), Westfälische Hochschule, Gelsenkirchen Klar ist, dass wir uns zurzeit nicht angemessen gegen die professionellen Hacker schützen können! Die 5 % unserer wichtigen und wertvollen Daten müssen wir wirkungsvoll schützen (Verschlüsselungssicherheitssysteme, Vertrauenswürdige IT-Systeme, …), um Schaden zu verhindern! Big Data Security ist ein Ansatz, der uns helfen könnte, komplexe Sicherheitsprobleme zu identifizieren und damit Schäden zu vermeiden oder zu reduzieren. Je besser die Zusammenarbeit mit anderen Organisationen ist, um so besser können die Ergebnisse sein. Es wird sich herausstellen müssen, ob der große Aufwand von Big Data Security durch die Ergebnisse gerechtfertigt werden kann. Der Versuch lohnt sich! 24 Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Vielen Dank für Ihre Aufmerksamkeit Fragen ? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit – if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de
© Copyright 2024 ExpyDoc