KI deckt die Spuren von Cyberangriffen auf
Schockwellen erkennen
Fortsetzung des Artikels von Teil 1
Exakte Modelle mit hoher Treffsicherheit
Viele Angriffe sind zunächst kaum zu erkennen, denn im Endeffekt übertragen sie wenige Datenpakete, um eine vorhandene Schwachstelle für die Installation einer Malware auszunutzen. Der eigentlichen Angriff startet unter Umständen erst einige Monate später. Eine durch Machine Learning trainierte künstliche Intelligenz warnt schon vor diesem verdächtigen vorbereitenden Verhalten oder dient in der Retrospektive der forensischen Analyse von Ursachen und Vorgehensweisen.
Das notwendige Datenmaterial, Anomalien im Netzwerkdatenverkehr zu erkennen, zu überwachen und zu analysieren, liefern die im Netz verteilten Sensoren. Sie zeichnen den Verkehr aller Geräte mit eigener IP-Adresse auf, die Teil des Netzwerks sind. Ein Agent auf dem Endpunkt selbst ist nicht unbedingt nötig. Ein Zugriff auf die Inhalte ist ebenso überflüssig. Es genügt die Analyse der Metadaten. Damit kann eine Network Detection and Response DSGVO-konform sein, zumal wenn diese Daten in einem Spiegel auf einem deutschen Server gelagert sind. Das Standardmodell des legitimen Netzverkehrs steht schon innerhalb von zwei Wochen.
KI erkennt Angriffsmuster und deren Folgen
Es gibt zahlreiche Datenverkehrsmuster, mit der künstliche Intelligenz Angriffe und deren Folgen erkennen kann. Alle ergeben sich aus dem Eindringen der Akteure ins Netz und ihren Interaktionen mit den Endpunkten, bisweilen aus den Versuchen der Angreifer, sich zu tarnen:
Unbekannte Teilnehmer: Anhand von Logfiles erkennt eine künstliche Intelligenz für die Analyse des Netzverkehrs die Interaktion mit unbekannten Servern. Ein zusätzlicher Marker sind Protokolle, die Angreifer laut Threat Intelligence für bestimmte Angriffe typischerweise verwenden.
Die Herkunft verwischen: Komplexe Attacken verbergen ihre Herkunft. In einem ersten Schritt agieren sie von einer gekaperten legitimen Domain und lenken dann die Antwort des angegriffenen Endpunkts auf eine bösartige IP-Adresse um. Allein dies ist schon verdächtig.
Neue Domänen: Angreifer agieren intelligent. Komplexe Attacken generieren per Algorithmen eine große Zahl von Zufallsdomänen als Zieladressen, die an die tatsächliche Hacker-IP angebunden sind. Die Malware wechselt in ihrer Kommunikation zwischen diesen Domänen, um unentdeckt zu bleiben. Solche Manöver kann ein menschlicher Beobachter kaum erkennen oder interpretieren.
Verschlüsselte Kommunikation: C&C-Server und von ihnen in Beschlag genommene Systeme senden ihre Daten verschlüsselt, damit Sicherheitsaudits sie nicht erkennen. Ein lang andauernder, weil verschlüsselter Datenfluss zeichnet sich durch die Metadaten aus.
Brute-Force-Attacken: Brute-Force-Angreifer probieren eine hohe Anzahl von Nutzernamen und Passwort-Kombinationen durch. Intelligentere Attacken tarnen ihr Vorgehen, indem sie die Log-Versuche senken oder Angriffe verteilt durchführen. Diese Muster erkennt die künstliche Intelligenz ebenso wie die typischerweise kurze Dauer einer erratischen Zugriff-Session, die Protokolle und die Kommunikation des Brute-Force-Tools mit dem C&C-Server.
Verdächtige Navigation: Legitime Nutzer und Applikationen kennen sich im System aus und bewegen sich gezielt dorthin. Wer sich jedoch in Systemen auf der Suche nach weiteren Schwachstellen oder Informationen umschauen will, geht mehrere Endpunkte nacheinander ab oder springt im Netz.
Atypische Zugriffszeiten, -orte, und -häufigkeiten: Wer in den frühen Morgenstunden mit einer fernöstlichen IP auf ein System zugreift, ist ein Angreifer – außer er ist ein Partner oder Mitarbeiter , der aus dem Home-Office tätig ist oder sich auf Reisen befindet. Ein menschlicher Analyst kann hier den ersten Befund der künstlichen Intelligenz bewerten.
Datenabfluss: Lesevorgänge, Exporte oder Kopien von Daten mit hoher Frequenz erkennt die KI durch den erhöhten Datendurchsatz, den solche Prozesse verursachen.
Machine Learning für Trainingszwecke
Für das permanente Optimieren der künstlichen Intelligenz sorgt Machine Learning. Denn agile Unternehmen, neue Partner und Applikationen verändern das Normalmodell kontinuierlich. Zugleich arbeiten die Angreifer ständig an ihren Attacken und bauen selbst teilweise auf künstliche Intelligenz. Zu einem gewissen Grad passen sie sich an die Branchen an. Die Attacken und damit auch die von ihnen erzeugten Muster sind also einem ständigen Wandel ausgesetzt.
Künstliche Intelligenz kann der IT-Abwehr helfen, mit dem Fortschritt der Gegenseite Schritt zu halten. Dafür benötigt sie nicht viele Hardware-Ressourcen und erkennt zutreffend Angriffe, ohne dass ein Sicherheitsverantwortlicher eine große Menge falscher Alarme analysieren muss. Dadurch können selbst kleine Sicherheitsteams in kleinen und mittleren Unternehmen eine Network Detection und deren Erkenntnisse nutzen.
Ein wichtiges Ergebnis ist im Anschluss das automatisierte Antriggern von Abwehrmaßnahmen durch eine Lösung für Network Detection and Response bei anderen Bestandteilen der IT-Abwehr im Unternehmen, beispielsweise bei Firewalls oder Tools für die Endpunktsicherheit.
Paul Smit ist Director Professional Services bei ForeNova.
- Schockwellen erkennen
- Exakte Modelle mit hoher Treffsicherheit
Lesen Sie mehr zum Thema
