München, den 11.08.2022 – Auch wenn Security-Experten alles in ihrer Macht Stehende tun, um einen erfolgreichen Einbruch in die Unternehmens-IT zu verhindern, so ist allen klar, dass es praktisch unmöglich ist, den Zugang zu den Ressourcen des Unternehmens so weit zu beschränken, dass niemand illegal eindringen kann.
Was bedeutet dies für die Praxis? Wenn ein Eindringen von Angreifern nicht zu 100% verhindert werden kann, worin bestehen dann die Möglichkeiten zur Vermeidung schwerwiegender Angriffe?
Andreas Riepen, Head Zentral- und Osteuropa bei Vectra AI, erläutert:
„Es ist eine Binsenweisheit, dass die größte Quelle von Sicherheitsproblemen und Kosten, auf zwei Beinen herumläuft. In den meisten Fällen erfolgreicher Cyber-Attacken in jüngster Zeit wurden die meisten Probleme von den Mitarbeitern verursacht. In Anbetracht dieser Tatsachen umfasst die Aufgabe der Cyber Security ein gewisses Maß an Prävention, aber auch ein erhebliches Maß an Ermittlungen und Abhilfe.
Der größte Durchbruch in der Cyber Security in den letzten Jahren bestand in dem Einsatz von Machine Learning (ML), um herauszubekommen, wann ein Angriff erfolgreich war. Es ist kein einfacher Prozess, aber die Methoden der meisten Angreifer basieren auf denselben Drehbüchern oder offensichtlichen Variationen davon.
Ist es nicht so, dass Netzwerkverkehr, der von Malware ausgeht, einen Alarm auslöst, sobald er erkannt wird? Nicht unbedingt, und zwar aus mehreren Gründen. Das Verfahren zur Ermittlung des normalen Verhaltens kann höchst problematisch sein. Angreifer wissen, wie sie die Erkennung von Anomalien umgehen können. Sie maskieren ihre Aktivitäten so, dass sie den Anschein erwecken, sie seien ein Teil der normalen Prozesse. Ein Beispiel dazu: Die Befehle von Command und Control sehen oft so aus, als ob es sich um einfache Signale handelt – im Netzwerk sieht man diese periodischen Spitzen des Datenverkehrs. Und das ist der erste Schritt. Aber der erste Schritt umfasst auch jede mobile Anwendung, die es jemals gegeben hat, denn Push-Benachrichtigungen sehen genauso aus.
Der Ansatz von Vectra umgeht das Problem des überwachten oder unüberwachten maschinellen Lernens, indem er sich zunächst mit dem spezifischen Sicherheitsproblem befasst, das gelöst werden muss. Wenn man also versucht, ein Sicherheitsproblem zu lösen, muss man verstehen, welches Problem man zuerst lösen will. Und der Ansatz, den wir verfolgen, besteht darin, dass wir mit unseren Sicherheitsforschern beginnen, das Problem zu identifizieren. Es könnte zum Beispiel so etwas sein wie: Ich möchte die Befehls- und Kontrollmechanismen des Angreifers im HTTPS-Webverkehr finden. Wir arbeiten dann mit einem Datenwissenschaftler zusammen, um die beste Methode zur Lösung dieses Problems zu finden. Ist dies ein Klassifizierungsproblem? Oder ist es ein Anomalie-Problem?
Dieser Ansatz, bei dem implizit akzeptiert wird, dass jedes Netzwerk anders ist und andere Lösungen erfordert, lässt vermuten, dass die Plattform sehr umfangreich ist. Und welches mittlerweile massiv verteilte Netzwerk ist nicht dynamisch – man denke nur an Home Working, Multi Cloud, SaaS-Instanzen und so weiter?
Aber allerdings besteht der einzige Vorteil von Angreifern darin, dass sie unabhängig von der spezifischen Netzwerktopologie immer nach demselben Schema vorgehen. In der Tat gibt es für solche Missetäter keinen Unterschied zwischen einem internen LAN, einem lokalen Rechenzentrum und einer beliebigen Anzahl von entfernten Clouds – für sie ist es nur ein einziges Netzwerk. Die von ihnen gewünschten Ergebnisse sind die gleichen, und daher gibt es ein hohes Maß an Standardisierung in Bezug auf Infiltration, Befehlen von Selbstausbreitung und Ausdehnung, Command und Control, Abfangen von Anmeldeinformationen, Abziehen von Daten, Verschlüsselung und so weiter. Indem die Rezepte der Angreifer verarbeitet werden, sind die AI-Algorithmen von Vectra in der Lage, die identischen Muster der Angreifer zu erkennen und entsprechend zu reagieren.
Was sich geändert hat, ist die Angriffsfläche, auf der die Bad Guys operieren können – sie ist viel größer geworden, seit Remote Working, eine stärkere Nutzung von Cloud-Diensten, eine breitere Anzahl von Diensten, die für die Erledigung der täglichen Arbeit erforderlich sind, sowie andere Faktoren wie die zunehmende Präsenz von IIoT (Industrial Internet of Things) und IoT (Internet of Things), die in TCP/IP-Netzwerken eine Rolle spielen.
Unabhängig davon, woher der Angriff kommt und über welchen Mechanismus sich die Angreifer Zugang verschaffen, gibt es natürlich einige Hinweise auf die Präsenz von kriminellen Akteuren. Die Beziehung zwischen dem Angreifer und dem Endpunkt, der sich im Inneren des IT-Systems befindet, sieht immer anders aus als die Beziehung zwischen einem Endbenutzer und einem Server am anderen Ende. Bei Befehlen wie Command und Control ist es genau umgekehrt: Der Angreifer beginnt und der Client innerhalb des Netzwerks antwortet.
Außerdem hilft zum Beispiel die Kenntnis des Frameworks von MITRE ATT&CK bei der Identifizierung von bösartigem Verhalten: Hersteller A wird sagen, dass es sich um Trojaner XYZ handelt, Hersteller B wird sagen, dass es sich um Botnet 123 handelt, Hersteller C wird sagen … und so weiter. Aber das MITRE-Framework verschafft uns einen Überblick.
Die Tools mögen intelligent sein, aber Unternehmen sollten daraus nicht ableiten, dass das Personal für Cyber Security nicht mehr qualifiziert sein muss. Jedes Tool für Cyber Security erfordert nach wie vor Fachwissen, um es richtig zu nutzen und menschliche Einsichten in die hochdynamischen Ergebnisse zu bringen. Das Vectra-Dashboard ist nicht dafür konzipiert, von Anfängern bedient zu werden. Es hilft vielmehr qualifiziertem Personal, seine Arbeit effizienter zu erledigen und im Falle einer unabwendbaren Sicherheitsverletzung sehr viel schneller zu reagieren.
Ein weiterer Vorteil ist die Tatsache, dass die Benutzer nicht unbedingt über mehr als zehn Jahre Erfahrung verfügen müssen, um die Plattform zu nutzen. Die Plattform geht so vor, dass sie die besonders kritischen Vorgänge im Netzwerk aufspürt und den Nutzern dabei hilft, Prioritäten zu setzen, was für das Unternehmen die größte Bedrohung darstellt.
Die vor zehn Jahren gesammelten Erfahrungen sind nach wie vor relevant, aber die Natur von Netzwerken hat sich sehr stark verändert und wird sich auch in Zukunft weiterentwickeln. Ich denke, dass sich die Definition des Begriffs Netzwerk ändern muss. Die meisten Leute betrachten das Netzwerk als ein Rechenzentrum, aber es ist viel mehr als das. Ich glaube, dass die Bereitstellung eines wirklich klaren Netzsignals von entscheidender Bedeutung ist. Wir müssen sicherstellen, dass wir auch die Cloud-Technologien im Auge behalten. Ob es sich um Infrastructure as a Service, Platform as a Service, Software as a Service oder um ein Rechenzentrum handelt – wir müssen die gesamte Angriffsfläche sichtbar machen, um Angreifer verfolgen zu können, wenn sie von einem zum anderen Element wechseln.”
tech2com UG
Philipp Haberland
Am Burgholz 18
D-73098 Rechberghausen
Festnetz: 07162/601400-1
Mobil: 0163/2722363
Mail: p.haberland(at)tech2com.de