Big Data für Security-Analysen

HawkEye sorgt für mehr Sicherheit im Netzwerk

| Autor / Redakteur: Thomas Joos / Nico Litzel

HawkEye AP hilft mit Big-Data-Funktionen bei der Analyse von Netzwerken.
HawkEye AP hilft mit Big-Data-Funktionen bei der Analyse von Netzwerken. (Bild: Hexis Cyber Solutions / T. Joos)

Vor allem größere Netzwerke werden immer komplexeren und besser geplanten Angriffen ausgesetzt. Da gleichzeitig auch die Datenmenge und der Datenfluss im Unternehmen ansteigen, wird es schwerer, solche Angriffe und ihre Folgen aufzudecken. Hier soll die HawkEye Analytics Platform (AP) helfen.

In großen Netzwerken kommen nicht nur große Datenmengen in Umlauf, sondern auch eine Vielzahl an Systemen, die wiederum von einer Vielzahl an Monitorlösungen und Protokollen überwacht werden. Verantwortliche Administratoren verlieren schnell den Überblick, da der Gesamtzustand der Sicherheit nicht abrufbar ist. Die Analyse der einzelnen Systeme ist komplex, es gibt verschiedene Oberflächen und unterschiedliche Verwaltungswerkzeuge. Das macht es Administratoren schwer, den Überblick zu behalten und interne oder externe Angreifer zu entdecken.

Effiziente Sicherheitsanalysen lassen sich ab einer gewissen Menge an Daten und Systemen nicht mehr zuverlässig erstellen. Hier kann Big Data helfen. Zum Beispiel sind neue Risiken wie Ransomware auch in großen Netzwerken schnell sehr problematisch. Um die Ausbreitung in großen Netzwerken zu verhindern, kann HawkEye AP eine wertvolle Hilfe sein, da das System mithilfe von Big-Data-Analysen bereits Anfänge eines Angriffs erkennen kann.

Mit Big Data Sicherheits- und Stabilitätsprobleme erkennen

Mit der HawkEye Analytics Platform (AP) erhalten Unternehmen oder Organisationen mit großen Netzwerken ein Werkzeug an die Hand, mit dem sich über Big-Data-Technologien Angriffe auf die Daten analysieren und entdecken lassen. Das System basiert auf einem Datenflussmodell mit flexiblem Event-Erfassungs- und Korrelationssystem. Unternehmen können eine Vielzahl an Quellen an das System anbinden und mit Big-Data-Analysen umfassend und extrem schnell untersuchen.

Dabei kann die HawkEye Analytics Platform nicht nur Angriffe von außen erkennen, sondern auch unberechtigte und verdächtige Datenabflüsse aus dem Unternehmen selbst. Denn viele unberechtigte Datenzugriffe erfolgen aus dem eigenen Netzwerk, oft von Angestellten oder Partnern. Zusätzlich lassen sich auch Leistungs- und Stabilitätsprobleme mit den Big-Data-Technologien von HawkEye Analytics Platform entdecken. Die Lösung kann also auch unternehmensinterne Regeln und Policies umsetzen und analysieren.

Analyse mit der HawkEye Analytics Platform

Zur Analyse des Datenflusses im Netzwerk, inklusive der Zugriffe, Angriffe, Probleme und Leistungseinbrüchen, werden zunächst die Daten der jeweiligen Server und Geräte an den HawkEye AP Collector gesendet. Die Daten werden anschließend in ihrer nativen Form in einem Event Data Warehouse (EDW) gespeichert. Darin liegt auch einer der Vorteile der Lösung: Das Data Warehouse in HawkEye AP wurde speziell für die Speicherung von Daten optimiert. Hier ist die Lösung die einzige ihrer Art, die so arbeitet. Die Daten behalten ihre Integrität, da sie nicht bearbeitet oder konvertiert werden müssen.

HawkEye AP analysiert die Daten und zeigt sie in einer auf HTML5-basierten Konsole an. Auch mit externen Werkzeugen lassen sich Analysen durchführen. Dabei kann HawkEye auf eine Vielzahl von Geräten und Lösungen zugreifen. Windows-Server, Web-Server, Linux, VMware vCenter, Oracle, Microsoft SQL-Server, aber auch CheckPoint-Firewalls, Unix-Server, Syslog, Router und Switches lassen sich anbinden.

HawkEye AP unterstützt darüber hinaus auch SNMP sowie Cisco Netflow. Über einen optionalen ODBC-Agenten lassen sich auch Dateien analysieren. Die Analysen erlauben auch eigene Abfragen. Auf diesem Weg lassen sich auch Speicher-Systeme anschließen, genauso wie Callcenter Software, mobile Apps oder Endpoint-Lösungen. Im Grunde genommen ist HawkEye ein sehr offenes System, wenn es um die Analyse geht und leicht erweiterbar.

Schnelle Analyse durch Zeitstempel

Die Daten müssen zur Analyse nicht indexiert werden. Alle Daten der eingebundenen Systeme lassen sich gleichermaßen schnell analysieren. Dazu reicht ein Index auf Basis der Zeit (Time Index). Andere Indexe sind nicht mehr notwendig. Damit die Daten schneller verfügbar sind und weniger Speicherplatz benötigen, kann HawkEye AP die Daten auch komprimieren. Darunter leidet die Abfragegeschwindigkeit nicht, aber die zu speichernde Datenmenge wird deutlich verringert.

HawkEye AP nutzt die Columnar Database Technologie. Dadurch lassen sich die gespeicherten Daten einsparen, die notwendig sind, um eine Analyse durchzuführen. Da bei großen Datenmengen und Big-Data-Infrastrukturen auch sehr große Datenmengen notwendig sind, spielen Einsparungen von Storage-Kapazitäten eine wichtige Rolle. Die Daten lassen sich im Vergleich zu relationalen Datenbanken in deutlich reduzierter Form speichern.

HawkEye AP lässt sich durch Cluster-Technologie auf mehrere Petabytes skalieren. Daher lassen sich auch extrem große und sicherheitskritische Systeme, wie zum Beispiel bei Banken, Börsen oder auch Telekommunikationsunternehmen, umfassend analysieren. Das System arbeitet mit seinem Zeitindex (Time Index) und kann alle gespeicherten Daten in einem bestimmten Zeitraum untersuchen und umfassend analysieren. Auch komplexe Analysen lassen sich erstellen, ohne dass Programmierkenntnisse notwendig sind. Die Daten müssen weder umgewandelt noch angepasst werden. Die Analyse erfolgt auf Basis der nativen Form der ursprünglich gespeicherten Daten.

Mit eigenen Tools analysieren

Die Daten lassen sich mit der Konsole über verschiedene Standards aus dem EDW abfragen. Hier stehen ODB/JDBC-Treiber genauso zur Verfügung wie Abfragen per SQL. Dabei unterstützt auch ein Assistent, die richtigen Daten auszulesen. Außerdem besteht auch die Möglichkeit, auf fertige Berichte zurückzugreifen oder die vorhandenen Berichte an die eigenen Anforderungen anzupassen. Zur Analyse lassen sich daher auch eigene Tools verwenden, zum Beispiel Crystal Reports, Business Objects oder andere Analysewerkzeuge. Aber auch in den Bordmitteln sind Analysewerkzeuge enthalten. Compliance Reporting, Security Analytics und Insider Threat Detection sind auch mit der Konsole und Bordmitteln abrufbar.

Da gespeicherte Daten nicht mehr änderbar sind, benötigt das EDW keinerlei Undo-Logs oder Rollback-Logs. Die Daten müssen lediglich schnell lesbar sein. Mit Massively Parallel Processing (MPP) und Shared-nothing Clustering kann die Umgebung leicht skaliert werden. Die Lösung profitiert von zusätzlichen Clusterknoten, genauso wie von CPU-Kernen.

Fazit

HawkEye AP ist eine Security-Lösung für sehr große Unternehmen, die für Sicherheit im Netzwerk sorgen müssen. Vor allem beim Einsatz großer Mengen an Hardware und Daten in heterogenen Umgebungen spielt HawkEye AP seine Stärken aus. Mit dem System lassen sich umfassende Sicherheitsanalysen erstellen und hochkomplexe Abfragen erstellen. Unternehmen, die bereits auf Big Data setzen, können mit HawkEye eine weitere Lösung integrieren, mit der sich zwar nicht der Umsatz im Unternehmen erhöhen lässt, dafür aber die Sicherheit. An das System lassen sich eine Vielzahl an interne Systeme zur Analyse anschließen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44352556 / Recht & Sicherheit)