Nach einer Welle von erfolgreichen Cyberangriffen scheint es, als ob die Hacker nun alle Trümpfe in der Hand hätten. So haben beispielsweise die jüngsten Berichte über erfolgreiche Cyberattacken auf deutsche TV-Sender die Öffentlichkeit erneut aufgeschreckt.
Viele Vorfälle haben aber auch dazu beigetragen, Organisationen aufzuzeigen, wie sie sich zukünftig schützen können. Dazu gilt es, sich auf die eine zentrale Schwachstelle der Angreifer zu konzentrieren: deren Unfähigkeit, ihr kriminelles Verhalten zu verbergen, sobald sie sich Zugang zum Netzwerk verschafft haben. Um dieses verdächtige Verhalten rasch zu erkennen rät Vectra zu einem neuen Ansatz bei der Intrusion Detection.
„Spektakuläre Angriffe wie WannaCry und detailliert aufgearbeitete Vorfälle wie bei Equifax aus dem vergangenen Jahr haben aufgezeigt, dass es nicht ausreicht, sich nur auf Abwehrsysteme zu verlassen. Stattdessen müssen sich Unternehmen darauf konzentrieren, was passiert, wenn – und nicht falls – die Angreifer ins Netzwerk gelangen“, erklärt Gérard Bauer, VP EMEA bei Vectra.
Anfang dieses Jahres veröffentlichte Gartner den Magic Quadrant 2018, der die weltweit besten Intrusion-Detection- und Prevention-Systeme (IDPS) beurteilt. Der Bericht prognostiziert, dass bis 2020 neue Technologien und Methoden wie Analytik, maschinelles Lernen und verhaltensbasierte Erkennung in die meisten IDPS-Tools integriert werden. Dies wird die Art und Weise, wie wir solchen Bedrohungen begegnen, grundlegend verändern.
Was passiert hinter der Burgmauer?
Cyberkriminalität war schon immer ein ständiger Kampf der Eskalation und Innovation von beiden Seiten, von Bewegung und Gegenbewegung. Dabei müssen die Angreifer nur einmal erfolgreich sein, um ins Netzwerk zu gelangen, während die Sicherheitsverantwortlichen das weitaus schwerere Los haben, das Netzwerk immer erfolgreich zu verteidigen.
Wie lässt sich dieses ungleiche Verhältnis zu Gunsten der Cybersicherheit drehen? Eine der bedeutendsten Veränderungen im Cybersicherheitsdenken das Faktum, dass es keine Perimetersicherheit gibt, die garantieren kann, alle Angreifer fernzuhalten. Um sich vor den Auswirkungen erfolgreicher Angriffe zu schützen, müssen Unternehmen nach Meinung von Vectra lernen, Bedrohungen schnell zu erkennen und zu neutralisieren, sobald sie den Schutzwall durchbrochen haben.
Cyberangreifer werden schnell als unaufhaltsam eingestuft. Die Netzwerkverteidiger erkennen oft nicht, dass auch die Angreifer ihre Schwachstellen haben. Der Schlüssel zum Verständnis und damit zur Ausnutzung dieser Schwächen liegt in der Erkenntnis, dass Cyberangriffe in der Regel einen typischen Lebenszyklus haben. Sie durchlaufen mehrere Phasen, vom Aufbau eines operativen Standbeins innerhalb des Unternehmens bis hin zum Ausspielen von Endzielen wie Denial-of-Service, Betriebsstörungen sowie Löschung oder Diebstahl von Daten.
Um ihre Ziele zu erreichen, zeigen Angreifer subtile, aber vorhersehbare, unveränderte Verhaltensweisen, die ihre Aktivität erkennbar machen. Dazu gehören unter anderem Auskundschaftung („Reconnaissance“) innerhalb des eingerichteten Brückenkopfes, seitliche Bewegung, um zu anderen Hosts zu springen, oder der Versuch, sich Privilegien anzueignen durch Scans der Authentifizierungsinfrastruktur und Identitätsdiebstahl.
„Werden diese Verhaltensweisen rechtzeitig und präzise erkannt, lässt sich die Bedrohung beseitigen, nachdem die Burgmauer bereits durchbrochen wurde, aber noch bevor die Angreifer Ihr Ziel erreicht haben“, erläutert Gérard Bauer. „Tatsächlich gibt es mehrere Möglichkeiten, hier anzusetzen, was sich bislang jedoch als eine schwierige Aufgabe darstellte. Neue Technologien und Methoden wie die Anwendung von KI auf Modelle zur automatischen Erkennung von Verhaltensbedrohungen reduzieren den Aufwand für die Sicherheitsanalytiker und sind zudem effektiver.“
Verhaltensorientierter Ansatz zur Erkennung von Angreifern
Unternehmen arbeiten hart daran, sich vor ständig wechselnden Bedrohungen zu schützen, aber viele von ihnen teilen die gleiche kritische Schwäche in ihrem Intrusion-Detection-Ansatz: eine anhaltende Abhängigkeit von Systemen, die lediglich den Datenverkehr in und aus dem Netzwerk überwachen oder kontrollieren.
Solche Tools sind in der Lage, durch relativ einfache Techniken wie Heuristik, Pattern-Matching und Hash-Signaturen bestehende bekannte Bedrohungen zu identifizieren. Eines der Probleme ist, dass sie sofort einen Alarm auslösen, wenn sie eine Anomalie registrieren, was sie hyperaktiv macht. Dies wiederum erhöht die Wahrscheinlichkeit, dass es beim Sicherheitspersonal nach einem Tsunami von False Positives zu einer „Alarm-Müdigkeit“ kommt.
„Dieser veraltete Ansatz reicht nicht mehr aus, um einen sinnvollen Schutz gegen die Auswirkungen eines Angriffs zu bieten, der bereits erfolgreich die Verteidigungslinie der Netzwerkumgebung durchbrochen hat“, führt Gérard Bauer aus. „Aus diesem Grund hat Gartners neuester Magic Quadrant für IDPS einen Schwerpunkt auf Technologien gelegt, die einen verhaltensorientierten Ansatz verwenden. Dabei liegt der Schwerpunkt auf der Erkennung von seitlichen Bewegungen von Angreifern innerhalb des Netzwerks.“
Durch den Einsatz von Technologien wie künstliche Intelligenz (KI), Automatisierung und maschinelles Lernen ist eine neue Generation von IDPS in der Lage, nach den verräterischen Verhaltensweisen zu suchen, die auf einen bösartigen Akteur hindeuten. Statt einer Flut von Warnungen, die auf mögliches Eindringen ins Netzwerk hinweisen, zielt dieser neue Ansatz auf die Verwundbarkeit der Angreifer ab. Dies betrifft deren Unfähigkeit, ihre bösartigen Aktivitäten ohne bestimmte Prozesse auszuführen – wie etwa der Wechsel zwischen Servern, um nach Authentifizierungsdaten zu suchen. Einige Verhaltensweisen sind jedoch nicht einfach nur „gut“ oder „böse“. Dies kann nur durch das Verständnis des Kontexts des Verhaltens, der im Unternehmen verwendeten Systeme und legitimen Tools beurteilt werden. Hierzu gehört auch das Verständnis, wer das verdächtige Verhalten gezeigt hat, wo, wann und auf welchem Host. Kontextualisierung ist somit entscheidend.
Deutlich effektiver im Vergleich zu herkömmlichen Methoden
Durch die Automatisierung wichtiger Teile dieses Prozesses kann das verhaltensbasierte IDPS den Angreifern Hürden in den Weg stellen, ohne Tausende von spekulativen Alarmen zu erzeugen. Diese Technologien sollten den Menschen eher ergänzen als ersetzen. Dieser trifft letztlich in den meisten Fällen die endgültige Entscheidung darüber, was eine Bedrohung darstellt und wie sie durch die Überprüfung und das Verständnis des Kontexts bekämpft werden sollte. Je nach Bedrohung und Risikobereitschaft des Unternehmens können Reaktionsmaßnahmen teilweise oder vollständig automatisiert werden. Erfahrungswerte zeigen jedoch, dass die Verwendung von KI zur Erkennung und Analyse des Angreiferverhaltens die Antwortzeiten im Vergleich zu herkömmlichen alarmbasierten Methoden um den Faktor 30 verbessert.
Dieser moderne Ansatz wurde nur durch Innovationen im Bereich der künstlichen Intelligenz und des maschinellen Lernens ermöglicht, verbunden mit tiefen Einblicken in das Verhalten von Angreifern. Der Trend zu KI wird aber auch durch Faktoren wie dem weltweiten Fachkräftemangel im Bereich der Cybersicherheit und sinkende Rechenkosten getrieben. Die neuen IDPS-Technologien und -Methoden versprechen, dass sie menschliche Analysten unterstützen, indem sie ihnen das Wissen vermitteln, das sie benötigen. So erhalten die Sicherheitsfachleute eine unternehmensweite Sicht auf Netzwerkeindringlinge und können geeignete Maßnahmen ergreifen.
„Wie immer im Bereich der Sicherheit, müssen sich Unternehmen davor hüten, diese Technologien als Allheilmittel gegen das Problem neuer, zunehmend anspruchsvollerer Bedrohungen zu betrachten. Es reicht nicht aus, diese Lösungen als Klebepflaster zu sehen“, fasst Gérard Bauer abschließend zusammen. „Sie müssen mit der Einstellung angewendet werden, dass eine Kompromittierung unvermeidlich ist und der Annahme, dass der Verteidigungsring bereits durchbrochen wurde. Automatisierung, unterstützt durch KI, wird einen wichtigen Beitrag zu den adaptiven Sicherheitsarchitekturen und -prozessen leisten, die digitale Unternehmen nutzen müssen, um ihr Cyberrisiko zu reduzieren. Im endlosen Spiel von Angriff und Gegenmaßnahmen versprechen neue Technologien wie Automatisierung und KI bereits einen entscheidenden Schritt nach vorne im Kampf gegen die Cyberkriminalität.“
vectra.ai/dach