Print:

Cyberaanvallen sneller ontmanteld met Big Data

Ferry Waterkamp, Journalist

LinkedIn profiel

Security Analytics mainstream in 2016?

Security Analytics worden mainstream in 2016. Dit zegt niet alleen Arbor Networks, dat als leverancier zelf actief is op deze markt, maar bijvoorbeeld ook marktonderzoeksbureau IDC. IDC schat in dat Security Analytics nog 12 tot 24 maanden nodig heeft om volwassen te worden, en dan zal de impact ‘companywide’ voelbaar zijn. “De securitymarkt is nu echter nog onvolwassen als het gaat om de toepassing van analytics”, zo waarschuwt Gartner-analist Eric Ahim.

Geen enkele organisatie heeft een compleet overzicht van alle bedreigingen. Sterker nog: veel bedrijven weten het nog niet eens als ze zijn gehackt. Dit blijkt onder andere uit een onderzoek van het SANS Institute onder 350 securityprofessionals . Op de vraag of het bedrijf de afgelopen twee jaar slachtoffer is geweest van een hack, gaf 24 procent aan geen idee te hebben.

Als een hack wel wordt ontdekt, dan blijken de ‘bad guys’ gemiddeld al 243 dagen binnen te zijn, zo blijkt uit een recent onderzoek van het Ponemon Institute. Vervolgens duurt het nog eens ongeveer 45 dagen om de schade te herstellen. Met name Advanced Persistent Threats (APT’s) zijn moeilijk op te sporen omdat hackers bedreven zijn in het verbergen van hun activiteiten.

36 procent van de door het SANS Institute ondervraagde securityprofessionals gaf aan vooral moeite te hebben met het vaststellen van wat normaal verkeer en normaal gedrag is, en wat dus legitiem en geaccpeteerd is. Door het ontbreken van een ‘baseline’ weten veel professionals niet waar ze op moeten letten. Eveneens 36 procent gaf aan het gevoel te hebben dat Big Data de sleutel is tot een betere detectie.

Security Analytics

Steeds meer securityleveranciers beloven die baseline te bieden met ‘Security Analytics’ waarbij alles draait om het vastleggen van ‘normale patronen’ en het ontdekken van de (verdachte) patronen die daar van afwijken. Daarvoor moeten we nog meer securitydata verzamelen dan we al gewend waren. Door met behulp van tools als Splunk of Cisco’s OpenSOC analyses los te laten op die Big Data, wordt het mogelijk om ‘normale patronen’ te herkennen in het gedrag van de gebruikers of in het verkeer dat het netwerk of de endpoints passeert.

Volgens marktonderzoeksbureau Gartner schuilt de kracht van een Security Analytics-platform in het vermogen om events die verspreid door de tijd plaatsvinden met elkaar in verband te brengen en als één enkel incident te zien. “Security Analytics-platforms trachten security-events in een context te plaatsen door zo veel mogelijk data te verzamelen en te analyseren, zodat in ieder geval de events die de grootste schade toebrengen met een grote nauwkeurigheid worden gevonden”, aldus research director Eric Ahim van Gartner.

Drie niveaus

Op hoofdlijnen kan Security Analytics op drie niveaus worden toegepast:
• op netwerkniveau, door te kijken waar netwerkpakketten naartoe gaan. Big Data wordt dan gebruikt om het netwerkverkeer als het ware te ‘profilen’. Verkeer of gedrag dat afwijkt van deze ‘baseline’ moet (automatisch) leiden tot een alert.
• op endpointniveau, door te kijken of er sprake is van afwijkingen in bijvoorbeeld de manier waarop een laptop of desktop contact legt met een website. Als er inderdaad sprake is van een afwijking, dan kan op een verdacht endpoint worden ingezoomd om te kijken of er bijvoorbeeld sprake is van een malware-infectie.
• op gebruikersniveau, door te kijken of er afwijkingen zijn in het gedrag van de gebruiker. Als we bijvoorbeeld online onze bankzaken regelen, dan gaan we doorgaans eerst naar de homepage, checken ons saldo en maken daarna misschien geld over. Aanvallers laten een geheel ander patroon zien; die gaan zo snel mogelijk naar de pagina om geld over te maken om zo snel mogelijk het geld weg te sluizen.

Markt in ontwikkeling

Inmiddels roeren meerdere securityleveranciers zich op de markt voor Security Analytics. Zo biedt HP Enterprise User Behavior Analytics en DNS Malware Analytics (DMA). DMA kijkt naar de karakteristieken van malware die via DNS (Domain Name System) contact opneemt met de Command & Control-server van de hacker om te voorkomen dat het IP-adres van de server wordt opgepikt door een anti-botoplossing. EMC’s beveiligingsdivisie RSA biedt met oplossingen als NetWitness, ECAT en Web Threat Detection oplossingen voor Security Analytics op respectievelijk netwerk-, endpoint- en gebruikersniveau. Andere spelers actief op deze markt zijn onder andere Blue Coat Systems en Arbor Networks.

“De securitymarkt is nu nog onvolwassen als het gaat om de toepassing van analytics”, zo waarschuwt Gartner-analist Ahim. De markt is nog volop in ontwikkeling en het is dan ook lastig om te voorspellen welke combinatie van tools uiteindelijk voor de beste Security Analytics-oplossing gaat zorgen. Wel duidelijk is dat Security Incident and Event Management (SIEM)-oplossingen in ieder geval een rol gaan spelen aangezien deze oplossingen bij uitstek geschikt zijn om grote hoeveelheden data te verzamelen, op te slaan en te analyseren.

Security Analytics-oplossingen kijken daarbij ‘offline’ naar data over grote tijdsperioden om daar patronen in te ontdekken en detecteren vervolgens zelf of via SIEM de afwijkingen van die patronen. Uiteindelijk met het doel het inzicht te verbeteren en zo organisaties in staat te stellen de tijd tussen de start van een aanval en de reactie erop drastisch te verkorten waardoor schade kan worden beperkt of zelfs worden voorkomen.

‘Het uiteindelijke doel is de tijd tussen de start van een aanval en de reactie erop drastisch te verkorten’

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten