KI-unterstützter Blick in den Tunnel macht Cyberangreifer auf Banken sichtbar

Vectra
Könnte ein Datenraub im großen Stil – wie 2017 bei Equifax – erneut auftreten? Cyber-Angreifer nutzen verborgene Tunnel auffällig oft in der Finanzbranche als Kanäle für ihre kriminellen Aktivitäten. KI-gestützte Bedrohungserkennung macht diese Anomalien sichtbar.
von Gérard Bauer, Vice President EMEA Vectra
Finanzdienstleister verfügen über die höchsten Cyber-Sicherheitsbudgets in der Wirtschaft, nur Institutionen im öffentlichen Sektor investieren teilweise noch mehr in die Sicherheit ihrer IT. Die Großbanken in den USA übertrumpfen sich hier regelrecht. Die Bank of America lässt sich die Cyber-Sicherheit jährlich über 600 Millionen US-Dollar kosten und hat erklärt, dass sie über ein „unbegrenztes Budget“ verfügt, um Cyber-Angriffe zu bekämpfen. JPMorgan Chase gibt jährlich 500 Millionen US-Dollar für Cyber-Sicherheit aus.Die Investitionsbereitschaft kommt nicht von ungefähr. Beim US-Finanzkonzern Equifax hatten Hacker im Herbst 2017 persönliche Daten von bis zu 147 Millionen Verbrauchern gestohlen, vor allem besonders sensible Sozialversicherungsnummern. Equifax hat ebenfalls ein beträchtliches Cyber-Sicherheitsbudget in Höhe von immerhin 85 Millionen US-Dollar pro Jahr, was 12 Prozent der gesamten IT-Ausgaben entspricht.
Große Finanzunternehmen bleiben lukrative Ziele für anspruchsvolle Cyber-Angreifer – auch in Europa. Vor etwa einem Jahr war die italienische UniCredit Opfer eines Hackerangriffs, von dem möglicherweise bis zu 400.000 Kunden betroffen waren. Finanzinstitute in Deutschland blieben bislang von erfolgreichen großen Cyber-Angriffen verschont. Doch wie ist die Sicherheitslage einzuschätzen? Der ehemalige FBI-Direktor James Comey brachte es mit seiner vielzitierten Aussage vor einigen Jahren auf den Punkt:
Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht.“
Klar ist, wenn bei einem großen Finanzdienstleister etwas passiert, kann der Schaden immens sein. So wurden bei Equifax 145,5 Millionen Sozialversicherungsnummern, rund 17,6 Millionen Führerscheinnummern, 20,3 Millionen Telefonnummern und 1,8 Millionen E-Mail-Adressen gestohlen. Trotz aufwändiger Sicherheitsvorkehrungen der größten Wirtschaftsauskunftei der USA gelang den Cyber-Kriminellen der Mega-Hack.
Nüchterne Rekonstruktion eines spektakulären Cyber-Angriffs
An einem durchschnittlichen Tag im Jahr 2017 erfasste das Cyber Threat Center von Equifax etwa 2,5 Milliarden Protokolle, überwachte mehr als 50.000 Sicherheitsereignisse pro Sekunde, erhielt über 43.000 Zustandsschecks für Sicherheitsgeräte, analysierte über 250 Internetdomains und befragte über 2.200 Cyber-Intelligence-Foren nach den aktuellen Bedrohungen. Trotz dieser Bemühungen blieb die verhängnisvolle Sicherheitsverletzung 78 Tage lang unentdeckt.
Die erste Infektion trat auf, als die Cyber-Angreifer einen Webserver ausnutzten, um auf das Netzwerk des Unternehmens zuzugreifen. Sicherheitslücken sind in jedem großen Netzwerk alltäglich und letztlich kaum zu beheben. Deswegen sollte die Sicherheitsstrategie auf die Aktivitäten und Verhaltensweisen der Angreifer ausgerichtet sein, die es „irgendwie“ immer schaffen können, ins Netzwerk zu gelangen. In diesem Fall haben es die Angreifer vermieden, bestimmte Hacker-Tools zu verwenden, die sie einer möglichen Erkennung durch das Sicherheitsteam aussetzen würden. Eines der Tools, das die Angreifer benutzten, ermöglichte es ihnen schließlich, versteckte Command-and-Control-Tunnel einzurichten.
So gingen die Angreifer vor:
1. Infektion: Am 10. März 2017 nutzten die Angreifer eine Schwachstelle im Apache Struts Web Framework aus, um Root-Zugriff auf Online-Dispute-Webanwendungen zu erhalten.
Vectra

Vectra
Wie ist die Finanzbranche aufgestellt nach dem Fall Equifax?
Einen guten Einblick in die Sicherheitslage von Unternehmen verschiedener Branchen liefern die Beobachtungen und Daten aus dem aktuellen Attacker Behavior Industry Report von Vectra. Das Unternehmen ist spezialisiert auf die KI-gestützte Erkennung bereits stattfindender Cyber-Angriffe. Der Bericht enthüllt das Verhalten von Angreifern und beschreibt Bedrohungstrends in den Netzwerken von 246 Opt-in-Kunden im Finanzumfeld und 13 anderen Branchen. Von August 2017 bis Januar 2018 überwachte die Cyber-Sicherheitsplattform Cognito von Vectra hierzu den Netzwerkverkehr und sammelte umfangreiche Metadaten von mehr als 4,5 Millionen Geräten und Workloads aus Clouds, Rechenzentren und Unternehmensumgebungen.
Die Analyse dieser Metadaten liefert ein besseres Verständnis des Verhaltens und der Verhaltenstrends von Angreifern sowie der branchenspezifischen Geschäftsrisiken, um katastrophale Datenverluste zu vermeiden. So fand Vectra in der Finanzdienstleistungsbranche in mehreren Unternehmen die gleiche Art von Angreiferverhalten wie bei Equifax vor.

Unauffällig im dichten Netzwerkverkehr mitschwimmen, ist die gängige Strategie der Cyber-Bösewichte. Mit dem Aufkommen von Webanwendungen hat sich der Einsatz von SSL/TLS-Verschlüsselung durchgesetzt. Heute ist HTTPS-Traffic die Norm und HTTP-Traffic die Ausnahme. Das hohe Verkehrsaufkommen von webbasierten Unternehmensanwendungen bietet dennoch eine perfekte Möglichkeit, um Command-and-Control-Funktionen, Datenexfiltration und andere Kommunikationskanäle vor Netzwerksicherheitstools zu verbergen. Während viele Angreifer SSL/TLS selbst verwenden, erstellen die erfahrensten Akteure auch ihre eigenen Verschlüsselungssysteme. Benutzerdefinierte Verschlüsselung ist besonders schwierig zu erkennen, da das Protokoll möglicherweise nicht identifizierbar ist und jeden verfügbaren Port verwenden könnte.
Verborgene Tunnel erschweren die Erkennung bösartiger Aktivitäten
Im Vergleich zum Branchendurchschnitt gibt es bei den Finanzdienstleistungen insgesamt weniger Command-and-Control-Verhalten. Verdächtige HTTP-Command-and-Control-Kommunikation tritt bei Finanzdienstleistern ebenfalls seltener auf. Vectra Cognito erkannte jedoch deutlich mehr versteckte Tunnel pro 10.000 Geräte als in allen anderen Branchen zusammen.
Auf jeweils 10.000 Geräten in allen Branchen wurden 11 versteckte HTTPS-Tunnel erkannt. Bei den Finanzdienstleistern war diese Zahl mit 23 mehr als doppelt so hoch. Die Zahl der versteckten HTTP-Tunnel betrug 16 gegenüber 7 pro 10.000 Geräte im Branchenschnitt. Versteckte Tunnel sind schwer zu erkennen, da die Kommunikation über Verbindungen abläuft, die normale, allgemein zulässige Protokolle verwenden. Beispielsweise kann die Kommunikation als Text in HTTP-GET-Requests sowie in Header, Cookies und andere Felder eingebettet werden. Die Anfragen und Antworten sind innerhalb des erlaubten Protokolls unter den Nachrichten versteckt.

Vectra
In vielen Fällen können diese verborgenen Tunnel auch Anwendungen sein, die für legitime Zwecke verwendet werden, wie etwa Börsenticker-Feeds, interne Finanzmanagementdienste, Finanzanalyse-Tools von Drittanbietern und andere Cloud-basierte Finanzanwendungen. Diese legitimen Anwendungen verwenden ebenfalls versteckte Tunnel, um Sicherheitskontrollen zu umgehen, die sonst ihre Funktionsfähigkeit einschränken würden.
Effektivere Bedrohungsjagd mittels KI und Algorithmen
Finanzdienstleister weisen laut Analyse von Vectra bei versteckten Tunneln auffällig höhere Raten als im Branchendurchschnitt auf. Diese sind mit herkömmlichen Mitteln wie Signaturen, Reputationslisten, Sandboxing und Systemen zur Anomalie-Erkennung jedoch kaum zu identifizieren. Erschwerend hinzu kommt, dass „gutartige“ versteckte Tunnel den Datenverkehr von legitimen Anwendungen übertragen. Somit lässt sich der normale Datenverkehr nur schwer von der Kommunikation der Angreifer unterscheiden, die darunter verborgen ist.
Anspruchsvolle mathematische Algorithmen, wie sie Vectra nutzt, können versteckte Tunnel innerhalb von HTTP-, HTTPS- und DNS-Verkehr jedoch sichtbar machen. Obwohl der Netzwerkverkehr auf den ersten Blick normal zu sein scheint, gibt es Anomalien, wie etwa leichte Verzögerungen oder ungewöhnliche Muster in Anfragen und Antworten, die auf verdeckte Kommunikation hindeuten können. Diese subtilen Hinweise zu erfassen, richtig zu deuten und darauf zu reagieren, ist eine komplexe Aufgabe, die Unterstützung durch künstliche Intelligenz erfordert. Sicherheitsanalysten können auf diese Weise konkreten Hinweisen auf Anomalien nachgehen, statt in einer Flut von Informationen manuell nach der Stecknadel im Heuhaufen zu suchen.aj
Schreiben Sie einen Kommentar