Neuer Ansatz für Intrusion Detection

Nach einer Welle von erfolgreichen Cyberangriffen scheint es, als ob die Hacker nun alle Trümpfe in der Hand hätten. So haben beispielsweise die jüngsten Berichte über erfolgreiche Cyberattacken auf deutsche TV-Sender die Öffentlichkeit erneut aufgeschreckt.

 Viele Vorfälle haben aber auch dazu beigetragen, Organisationen aufzuzeigen, wie sie sich zukünftig schützen können. Dazu gilt es, sich auf die eine zentrale Schwachstelle der Angreifer zu konzentrieren: deren Unfähigkeit, ihr kriminelles Verhalten zu verbergen, sobald sie sich Zugang zum Netzwerk verschafft haben. Um dieses verdächtige Verhalten rasch zu erkennen rät Vectra zu einem neuen Ansatz bei der Intrusion Detection.

„Spektakuläre Angriffe wie WannaCry und detailliert aufgearbeitete Vorfälle wie bei Equifax aus dem vergangenen Jahr haben aufgezeigt, dass es nicht ausreicht, sich nur auf Abwehrsysteme zu verlassen. Stattdessen müssen sich Unternehmen darauf konzentrieren, was passiert, wenn – und nicht falls – die Angreifer ins Netzwerk gelangen“, erklärt Gérard Bauer, VP EMEA bei Vectra.

Anfang dieses Jahres veröffentlichte Gartner den Magic Quadrant 2018, der die weltweit besten Intrusion-Detection- und Prevention-Systeme (IDPS) beurteilt. Der Bericht prognostiziert, dass bis 2020 neue Technologien und Methoden wie Analytik, maschinelles Lernen und verhaltensbasierte Erkennung in die meisten IDPS-Tools integriert werden. Dies wird die Art und Weise, wie wir solchen Bedrohungen begegnen, grundlegend verändern.

Was passiert hinter der Burgmauer?

Cyberkriminalität war schon immer ein ständiger Kampf der Eskalation und Innovation von beiden Seiten, von Bewegung und Gegenbewegung. Dabei müssen die Angreifer nur einmal erfolgreich sein, um ins Netzwerk zu gelangen, während die Sicherheitsverantwortlichen das weitaus schwerere Los haben, das Netzwerk immer erfolgreich zu verteidigen.

Wie lässt sich dieses ungleiche Verhältnis zu Gunsten der Cybersicherheit drehen? Eine der bedeutendsten Veränderungen im Cybersicherheitsdenken das Faktum, dass es keine Perimetersicherheit gibt, die garantieren kann, alle Angreifer fernzuhalten. Um sich vor den Auswirkungen erfolgreicher Angriffe zu schützen, müssen Unternehmen nach Meinung von Vectra lernen, Bedrohungen schnell zu erkennen und zu neutralisieren, sobald sie den Schutzwall durchbrochen haben.

Cyberangreifer werden schnell als unaufhaltsam eingestuft. Die Netzwerkverteidiger erkennen oft nicht, dass auch die Angreifer ihre Schwachstellen haben. Der Schlüssel zum Verständnis und damit zur Ausnutzung dieser Schwächen liegt in der Erkenntnis, dass Cyberangriffe in der Regel einen typischen Lebenszyklus haben. Sie durchlaufen mehrere Phasen, vom Aufbau eines operativen Standbeins innerhalb des Unternehmens bis hin zum Ausspielen von Endzielen wie Denial-of-Service, Betriebsstörungen sowie Löschung oder Diebstahl von Daten.

Um ihre Ziele zu erreichen, zeigen Angreifer subtile, aber vorhersehbare, unveränderte Verhaltensweisen, die ihre Aktivität erkennbar machen. Dazu gehören unter anderem Auskundschaftung („Reconnaissance“) innerhalb des eingerichteten Brückenkopfes, seitliche Bewegung, um zu anderen Hosts zu springen, oder der Versuch, sich Privilegien anzueignen durch Scans der Authentifizierungsinfrastruktur und Identitätsdiebstahl.

„Werden diese Verhaltensweisen rechtzeitig und präzise erkannt, lässt sich die Bedrohung beseitigen, nachdem die Burgmauer bereits durchbrochen wurde, aber noch bevor die Angreifer Ihr Ziel erreicht haben“, erläutert Gérard Bauer. „Tatsächlich gibt es mehrere Möglichkeiten, hier anzusetzen, was sich bislang jedoch als eine schwierige Aufgabe darstellte. Neue Technologien und Methoden wie die Anwendung von KI auf Modelle zur automatischen Erkennung von Verhaltensbedrohungen reduzieren den Aufwand für die Sicherheitsanalytiker und sind zudem effektiver.“

Verhaltensorientierter Ansatz zur Erkennung von Angreifern

Unternehmen arbeiten hart daran, sich vor ständig wechselnden Bedrohungen zu schützen, aber viele von ihnen teilen die gleiche kritische Schwäche in ihrem Intrusion-Detection-Ansatz: eine anhaltende Abhängigkeit von Systemen, die lediglich den Datenverkehr in und aus dem Netzwerk überwachen oder kontrollieren.

Solche Tools sind in der Lage, durch relativ einfache Techniken wie Heuristik, Pattern-Matching und Hash-Signaturen bestehende bekannte Bedrohungen zu identifizieren. Eines der Probleme ist, dass sie sofort einen Alarm auslösen, wenn sie eine Anomalie registrieren, was sie hyperaktiv macht. Dies wiederum erhöht die Wahrscheinlichkeit, dass es beim Sicherheitspersonal nach einem Tsunami von False Positives zu einer „Alarm-Müdigkeit“ kommt.

„Dieser veraltete Ansatz reicht nicht mehr aus, um einen sinnvollen Schutz gegen die Auswirkungen eines Angriffs zu bieten, der bereits erfolgreich die Verteidigungslinie der Netzwerkumgebung durchbrochen hat“, führt Gérard Bauer aus. „Aus diesem Grund hat Gartners neuester Magic Quadrant für IDPS einen Schwerpunkt auf Technologien gelegt, die einen verhaltensorientierten Ansatz verwenden. Dabei liegt der Schwerpunkt auf der Erkennung von seitlichen Bewegungen von Angreifern innerhalb des Netzwerks.“

Durch den Einsatz von Technologien wie künstliche Intelligenz (KI), Automatisierung und maschinelles Lernen ist eine neue Generation von IDPS in der Lage, nach den verräterischen Verhaltensweisen zu suchen, die auf einen bösartigen Akteur hindeuten. Statt einer Flut von Warnungen, die auf mögliches Eindringen ins Netzwerk hinweisen, zielt dieser neue Ansatz auf die Verwundbarkeit der Angreifer ab. Dies betrifft deren Unfähigkeit, ihre bösartigen Aktivitäten ohne bestimmte Prozesse auszuführen – wie etwa der Wechsel zwischen Servern, um nach Authentifizierungsdaten zu suchen. Einige Verhaltensweisen sind jedoch nicht einfach nur „gut“ oder „böse“. Dies kann nur durch das Verständnis des Kontexts des Verhaltens, der im Unternehmen verwendeten Systeme und legitimen Tools beurteilt werden. Hierzu gehört auch das Verständnis, wer das verdächtige Verhalten gezeigt hat, wo, wann und auf welchem Host. Kontextualisierung ist somit entscheidend.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Neuer Ansatz für Intrusion Detection
2. Deutlich effektiver im Vergleich zu herkömmlichen Methoden

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler