Anzeige
SECURITY13. August 2019

KI-gestütztes Data-Monitoring verbessert die Informations­sicherheit von UEBA & Co.

Terry Ray, Senior Vice President & Imperva FellowImperva

Laut einer Umfrage von Imperva unter IT-Experten auf der RSA-Konferenz erhalten 55 Prozent der Befragten täglich mindestens 10.000 IT-Sicherheitswarnungen, die geprüft werden müssen. Rund ein Viertel der Interviewten sehen sich sogar mit mehr als 1.000.000 Sicherheitswarnungen täglich konfrontiert. Eine Menge, die von Sicherheitsteams kaum zu bewältigen ist, so 96 Prozent der Umfrageteilnehmer. Die Folge: Stress und Frustration, weil Warnungen nicht mehr einzeln überprüft werden können. Gängige Tools wie Antimalware-Software und User and Entity Behavioral Analysis (UEBA) verbessern zwar die Sicherheit von IT-Systemen. Sie lösen jedoch nicht das Problem der großen Menge an Sicherheitswarnungen. 

von Terry Ray, Senior Vice President & Imperva Fellow

Grundlegende Tools wie Antimalware – so wichtig sie auch sind – eignen sich nicht zum ganzheitlichen Schutz einer IT-Umgebung.

Antimalware – unbekannte Verfahren fallen nicht auf

Antimalware funktioniert typischerweise automatisiert nach einem negativen Sicherheitsmodell. Das heißt, dass die Software kompromittierte Elemente identifiziert, indem sie das Verhalten mit dem bereits bekannter Angriffsverfahren abgleicht. Gleichzeitig interpretiert die Software alle unbekannten Verfahren als rechtmäßiges Verhalten und meldet sie somit nicht. Angesichts der sich ständig weiterentwickelnden Komplexität von Cyber-Angriffen sind negative Sicherheitsmodelle nicht besonders widerstandsfähig.

Um Cyber-Angriffe zu identifizieren, die über keinen Eintrag in der Antimalware-Software verfügen, muss die Software zunächst wissen und erkennen können, wie ein kompromittiertes System überhaupt aussieht. Das heißt, sie muss bemerken, dass etwas in das IT-System gelangt ist, das sich unnormal verhält. Ein verdächtiges Verhalten äußert sich beispielsweise darin, dass plötzlich eine große Menge gespeicherter Daten verschlüsselt wird. Die Frage aber ist, wer festlegt, was tatsächlich „normal“ ist?

UEBA als Indikator für den Normalzustand

Die UEBA unterstützt bei der Definition von “normalem” Verhalten und “abnormalen” Aktionen. Sie gilt als die beliebteste Vorgehensweise der letzten Jahre. UEBA vergleicht dabei das Anmeldeverhalten der Benutzer mit bisher verwendeten Verifizierungsprozessen.

Autor Terry Ray, Imperva
Terry Ray ist Senior Vice President von Imperva und einer der ersten Mitarbeiter des Cybersecurity-Spezialisten in den USA. Bereits als Chief Technical Officer, Chief Product Strategist und Vice President of Security Engineering bestimmte er die technologische Strategie des Unternehmens mit. Auch außerhalb der Imperva Community setzt er sich als Redner und Referent für Cyber-Sicherheit ein, u.a. bei RSA, Gartner, ISSA, OWASP, ISACA, IANS, CDM, NLIT und andere Organisationen weltweit. Er hat einen B.A. in Management Information Systems von der University of North Texas.
Ein Beispiel: Ein Mitarbeiter greift regelmäßig auf drei bestimmte Datenbanken über ein US-basiertes VPN aus zu. Bei der Eingabe des Passwortes vertippt er sich in der Regel nie. Plötzlich jedoch erfolgt ein Zugriff auf sechs Datenbanken aus einem in Deutschland ansässigen VPN. Er benötigt dabei drei Eingabeversuche. UEBA würde dieses Verhalten erkennen und zur weiteren Prüfung kennzeichnen.

Oftmals schließt sich hier eine Untersuchung durch eine menschliche Person an. Denn die Analyse-Tätigkeit von UEBA stoppt an diesem Punkt: UEBA-Lösungen erkennen zwar die drei fehlgeschlagenen Anmeldungen. Was allerdings bei der vierten gelungenen Anmeldung passiert, beobachtet das System nicht.

Doch gerade diese Anmeldung ist für die IT-Sicherheit ausschlaggebend. Die fehlgeschlagenen Versuche bei der Passworteingabe könnten schließlich auf einen Cyber-Angriff hindeuten, der beim vierten Versuch erfolgreich war.

UEBA ist nützlich, aber auch eine Halbmessung. Die Lösung ähnelt einer Banküberwachungskamera, die zwar aufzeichnet, jedoch nicht bewertet. Die UEBA kann keine Einschätzung zu Sicherheitswarnungen liefern und die Flut an Hinweisen nicht eindämmen, die in der IT-Abteilung eingehen.

Cybercrime: Daten erzählen die wahre Geschichte

Nach einem Einbruch in ein Haus, ins Auto und die Firmendatenbank lautet die erste Frage: “Wurde etwas gestohlen und wenn ja, was?“ Ein Einbruch kann jedoch nicht immer verhindert werden. Hier gilt es für IT-Verantwortliche, zumindest die wichtigsten Fragen zu beantworten, die bei jedem Untersuchungs- und Reaktionsprogramm auftreten:

1. Auf welche Daten wurde zugegriffen?
2. Wie wurde auf die Daten zugegriffen?
3. Wann wurde auf die Daten zugegriffen?
4. Was wurde mit den Daten gemacht?
5. Warum wurde auf die Daten zugegriffen?

Es ist notwendig, auch die Interaktion mit Daten zu beobachten. Ein Mitarbeiter wird durchschnittlich auf ein oder zwei Kundenkonten pro Stunde, nicht jedoch auf 100.000 Kundenkonten an einem Tag zugreifen. Das ist ein Anzeichen dafür, dass man es mit einem Bot, einem Skript oder einer einfachen Abfrage zu tun hat. Denn kompromittierte Systeme versuchen in der Regel, jede zugängliche Information des Benutzers so schnell wie möglich zu erfassen und anschließend hochzuladen.“

Subtile Kompromittierungen agieren stattdessen versteckt und versuchen, sich „normal“ zu verhalten. Mitarbeiter im Verkauf benötigen beispielsweise immer Zugriff auf Kundenkonten und können gelegentlich auf Daten der Marketingabteilung zugreifen. Ein Verkäufer wird hingegen mit hoher Wahrscheinlichkeit nie Zugriff auf HR-Daten brauchen. Greift ein Händler also auf eine Personalakte zu, kann es von Interesse sein, diese Aktion näher zu beobachten.

Es ist relativ einfach, zwischen normalem und abnormalem Verhalten in Datenbanken und Dateiservern zu unterscheiden. Voraussetzung ist, dass IT-Verantwortliche oder die Software die Zusammenhänge und Notwendigkeiten für einen Zugriff verstehen. Doch genau das ist der Knackpunkt: Unternehmen suchen aus unterschiedlichen Gründen in der Regel nicht nach Abweichungen.

KI: Vollständige Überwachung des Zugriffsverhaltens

Forschen IT-Verantwortliche nach Hinweisen, ertrinken sie in einer Flut von Sicherheitswarnungen. Moderne Hacker greifen schließlich immer öfter auf große Bot-Netze und fortschrittliche Toolkits zu. Zuweilen sind diese sogar mit KI ausgestattet, sodass sie selbst KI-gesteuerte Antimalware-Tools täuschen können. Viele Angriffe fliegen damit unter dem Radar, da sie das Verhalten in der realen Welt und in der realen Nutzung nachahmen. Schadsoftware liegt manchmal sogar monatelang in einem System verborgen. Allerdings ist es nicht effizient, jede einzelne Netzwerkaktion und Dateninteraktion zu protokollieren und zu analysieren. Dennoch müssen Unternehmen Datenzugriffe protokollieren und sammeln. Allerdings muss sie von der traditionellen Sammel- und Speichermentalität auf eine Sammel-, Analysier- und Speicher-Mentalität ausgeweitet werden.

Tools auf Basis von KI oder Machine Learning (ML), die den Datenzugriff analysieren, sind entscheidend für die moderne IT-Sicherheit.”

Sie grenzen die Sicherheitswarnungen auf ein Minimum ein und liefern detaillierte Protokolle zum Datenzugriff. Sie stellen ein effektives Sicherheitsmodell dar, um akzeptables und “normales” System- und Datenverhalten zu definieren und zu analysieren. Das macht es Angreifern viel schwerer, unentdeckt zu bleiben.

Datenorientierte KI und ML stellen die beste Chance dar, sich gegen neuartige Angriffe zu verteidigen. Die Kombination aus KI/ML-Datenüberwachungslösungen und Antimalware sowie traditionellem UEBA ermöglicht es Sicherheitsteams, KI- oder ML-basierte Tools immer feiner zu justieren, um Cyber-Angriffe immer effizienter zu erkennen. Alle diese Bestandteile ergänzen sich gegenseitig in der Aufklärung von Cyber-Attacken. Denn es gibt mehr Bedrohungen für Unternehmensdaten, als man glauben kann.Terry Ray, Imperva

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert