cherezoff - stock.adobe.com
So kann man die Datenintegrität in Unternehmen verbessern
Nur wer den Kontext eines IT-Security-Vorfalls versteht und nach allen Hinweisen und damit zusammenhängenden Datenobjekten im Netzwerk sucht, kommt den Eindringlingen auf die Spur.
Die zunehmende Bedeutung von Fake News hat dazu geführt, dass sich wieder mehr Unternehmen mit den Auswirkungen und Konsequenzen nicht überprüfter Daten beschäftigen. Zum Sicherstellen der Integrität ihrer Daten müssen Sie auch den Kontext und die Umgebung in Betracht ziehen, unter denen die Daten entstanden sind. Um diese Daten zu sammeln, sollten Sie sich nicht nur mit den Fragen beschäftigen, die Sie als wichtig einstufen. Dabei muss es auch um das Umfeld gehen, welches Sie überprüfen wollen. Dieser Teil ist besonders kritisch, da er das Problemfeld definiert, in dem Sie tätig werden können. Wenn Sie dieses Problemfeld nicht eingrenzen, bleiben alle Lösungen auf einzelne Punkte beschränkt, die scheitern werden, wenn neue Probleme auftauchen.
Die Möglichkeiten, wie Systeme scheitern können, sind endlos. Aber die Möglichkeiten, wie sie korrekt funktionieren können, sind auf der anderen Seite eng begrenzt. Das ist einer der wichtigsten Schlüssel, wenn es um Analysen geht, die zu zuverlässigen Voraussagen führen sollen. Genau dieser Punkt wird aber häufig übersehen oder vernachlässigt, wenn durch Ihre IT-Abteilung akkurate Voraussagen erstellt werden sollen.
Drei Schritte können Sie dabei unterstützen, die Grenzen zu definieren und die kontextbezogenen Daten zu sammeln, die Sie benötigen, um für eine Integrität Ihrer Daten zu sorgen: Modellierung der Abhängigkeiten, Belastbarkeit und Verlässlichkeit.
Modellierung der Abhängigkeiten
Eine Modellierung der Abhängigkeiten wird eingesetzt, um ein gewünschtes Ergebnis und den dafür benötigten Weg zu definieren. Damit zum Beispiel ein berechtigter Alarm ausgelöst werden kann, muss ein Sensor eine Störung in der Umgebung registrieren.
Der Argumentation halber, werden wir hier aber nicht auf die Diskussion um die Erkennung von Signaturen versus Anomalien eingehen. Es geht hier nur darum, dass ein Prozess anders abläuft, wenn ein Alarm auftritt, als wenn kein Alarm registriert wird. Das ist der wesentliche Punkt.
Die Verarbeitung der Daten läuft dann anders ab. Sie ist zudem abhängig von Elementen wie Speicher, Verarbeitungszyklen und Bandbreite. Die Modellierung der Abhängigkeiten beschäftigt sich deswegen mit dem Sammeln, Ordnen und Einstufen von Daten in ihrem Kontext.
Wenn beispielsweise der Datenverkehr in einem Netzwerk untersucht werden soll, zeigt das Abhängigkeitsmodell den Fluss der Daten vom Client zum Server und zurück. Dabei enthalten sind Informationen und Werte, die vom Router stammen, aus dem Domain Name System (DNS), von einem beteiligten Webserver und weitere Daten von anderen Servern, die allesamt benötigt werden, damit die Kommunikation überhaupt stattfinden kann. Diese Verbindungen haben bestimmte Charakteristiken, die in der Regel standardisiert sind und die deswegen genau bestimmt werden können. So können sie genutzt werden, um verlässliche Voraussagen zu treffen.
Belastbarkeit der erfassten Daten
Bei der Belastbarkeit der erfassten Daten geht es darum, dass ein Unternehmen möglicherweise gerade das Ziel eines Angriffs ist und darum, dass erfolgreiche Planungen und Aktionen auf Punkten wie Robustheit der Maßnahmen, Redundanz, Einfallsreichtum und Schnelligkeit beruhen. Auch hier ist es wichtig, genau zu verstehen, welche Elemente für erfolgreiche Planungen unverzichtbar sind. Dazu gehören auch wieder die Variablen aus der jeweiligen Umgebung.
Darüber hinaus sollten Unternehmen bestimmen, welche Funktionen Redundanzen erfordern und unter welchen Bedingungen dies nötig ist. Bei der Belastbarkeit wird meist auch ein zeitlich begrenztes Element in die Überlegungen mit aufgenommen. Das sorgt dafür, schneller zu einer Lösung zu kommen und die Zuverlässigkeit der Voraussagen zu erhöhen.
Verlässlichkeit der erfassten Daten
Drittens ist die Komponente Verlässlichkeit dafür verantwortlich, dass nicht nur die Zeit, sondern auch die Umgebung mit in Betracht gezogen wird. Daher kommt auch die Anforderung, dass erst die Umgebung definiert werden muss, wenn es um die Verlässlichkeit des Modells geht.
Das ändert aber nichts daran, dass Umgebungen nicht immer statisch sind. In der Tat ist die Umgebung in der IT-Security-Welt sogar sehr dynamisch. Aus diesem Grund sollten bestimmte Zustände bei der Verarbeitung der Daten festgelegt werden. Diese Zustände lassen sich generell gesehen mit operativen Profilen vergleichen. Dabei handelt es sich um ein versuchtes numerisches Modell der Vorgänge in der Umgebung.
Hier müssen aber auch Kompromisse eingegangen werden. Dabei verwendete operative Profile können zum Beispiel auf Zuständen wie Startup, Leerlauf, Normal, unter Stress, fehlerhaft oder nicht erreichbar basieren. Möglicherweise wird auch nur eine Teilmenge benötigt.
In manchen Situationen müssen diese auf einige wenige Zustände begrenzt werden, zum Beispiel auf Startup und Leerlauf. Am wichtigsten ist dabei, dass die Zustände definiert und in der geplanten Umgebung enthalten sind. Viele der dabei verwendeten Daten, um etwa die Funktion von Netzwerken zu bewerten, sind identisch mit den Werten, die durch ein QoS-System (Quality of Service) entstehen.
Unterschiede zur traditionellen Erkennung von Anomalien
Die beschriebenen Prozesse unterscheiden sich vor allem in zwei Bereichen von einer traditionell ausgerichteten Erkennung von Anomalien. Zunächst einmal sind die Daten an bestimmte Sitzungen gebunden. Dazu kommt, dass die Variablen aus der Umgebung mit den Datenobjekten verknüpft werden, um so die Basis für alle weiteren sicherheitsrelevanten Untersuchungen zu bilden.
Oder einfacher gesagt, Alarme können manipuliert werden. Wenn aber ein berechtigter Alarm auftritt, zeigen meist auch andere Bereiche des Netzwerks Spuren, die bislang nicht überwacht oder bemerkt wurden. Diese Auswirkungen in der Umgebung sind vergleichbar mit Wellen, die auftreten, wenn ein Stein ins Wasser geworfen wird.
Wenn wir uns die virtuelle Umgebung wie das Wasser vorstellen, das einen Felsen in einem See umgibt, dann können wir das Muster der Wellen untersuchen, die auftreten, wenn der Felsen gestört wird. Das Gleiche gilt für virtuelle Umgebungen. Auch hier wird die Umgebung beeinträchtigt, wenn Daten in der einen oder anderen Form gestört werden. Diese Wellen beziehungsweise Auswirkungen lassen sich beobachten, wenn Sie nur danach suchen wollen. Die drei Schritte Modellierung der Abhängigkeiten, Belastbarkeit und Verlässlichkeit unterstützen Sie dabei, diese Aufgabe durchzuführen und so dauerhaft für die Integrität Ihrer Daten zu sorgen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!