Sobald man Daten und Anwendungen in die Cloud verlagert, verändern sich die Sicherheitsrisiken. Kriminelle sind darauf aus, sich in Cloud-basierte Arbeitsprozesse einzunisten. Zum gängigen Maßnahmenpaket für die Cloud-Sicherheit zählen daher Nutzungsregeln auf Basis der Anwendungs- und Benutzeridentität. Letztere ist gefährdet durch Credential-Phishing- und Keylogger-Angriffe. Mit gestohlenen Zugangsdaten ist letztlich auch der Zugang zu den Public- und Private-Cloud-Ressourcen eines Unternehmens möglich.

Angreifer kompromittieren in der Regel zunächst einzelne Geräte und dehnen diese Angriffe dann netzwerkweit bis in Cloud aus. Wie bei einem Insider-Angriff können sie im regulären Netzwerkverkehr mitschwimmen und unauffällig auf Systeme, Anwendungen und Daten zugreifen. Sie agieren dabei auf eine Art und Weise, die normalem Benutzerverhalten sehr ähnelt, um die Erkennung zu erschweren. So bleiben sie lange unentdeckt. Einige solcher Angriffe konnten sogar Betriebssystem-Upgrades „überleben“.

Versierte Hacker können sich Zugang über die physischen Komponenten des Rechenzentrums verschaffen. Einen offenen Server-Port zu kapern ist der effektivste Weg, um eine Hintertür zu installieren. Das Problem: Potenziell verdächtige Aktivitäten auf den Geräten und Schnittstellen werden in der Regel nicht protokolliert. Mit herkömmlicher, auch modernerer präventiver Sicherheitstechnik ist es daher schwierig, Anomalien zu erkennen, die zum Beispiel durch die Nutzung von Backdoors in Netzwerkkomponenten auftreten.

Wenn sich die IT-Sicherheit nur auf den Netzwerkperimeter beschränkt, lassen sich vielleicht nur eine oder zwei Phasen eines Angriffs erkennen. Hierzu zählen in der Regel die Erstinfektion sowie die folgende Command-and-Control-Kommunikation, die der Infektion folgt. Angreifer betreiben großen Aufwand, um eine Erkennung genau an dieser Stelle zu umgehen. Ein Angriff umfasst jedoch viele weitere Schritte, die sich bereits innerhalb des Netzwerks abspielen. Überwacht man das Netzwerk von innen, bieten sich viel mehr Möglichkeiten, um einen aktiven Angriff aufzudecken.

Genau das ermöglichen Lösungen zur Bedrohungserkennung und zur Reaktion auf laufende Angriffe, die auf maschinellem Lernen (Machine Learning, ML) basieren und in Echtzeit operieren. Die neueste Generation von Echtzeit-Erkennungssystemen konzentriert sich ausschließlich auf die Identifizierung des Verhaltens eines möglichen Angreifers. Mit diesem Ansatz, der ohne Signaturen auskommt, lassen sich auch neue und bisher unbekannte Bedrohungen identifizieren.

Man unterscheidet zwischen beaufsichtigten und unbeaufsichtigten ML-Anwendungen. In der beaufsichtigten Variante können ML-Anwendungen auf Aktionen in früheren Daten zurückgreifen, um neue Entscheidungen zu treffen. Die Datenquelle muss hierzu strukturiert sein, wie etwa eine Excel-Tabelle. Unbeaufsichtigte ML-Anwendungen zeichnen sich dadurch aus, dass sie unstrukturierte Daten aus mehreren Datenquellen untersuchen können. Sie können die in unstrukturierten Daten gefundenen Interferenzen identifizieren und daraus selbstlernende Aktionen ableiten. Dabei lassen sich maschinelle Algorithmen anlernen, um Unbekanntes im Datenpool zu erkennen. Hierzu wird die unbeaufsichtigte ML-Anwendung mit Daten gefüttert und es wird festgelegt, was als normal gilt. Kommt es zu einem anomalen Ereignis, markiert die ML-Software dieses als Bedrohung. Die Ereignisse werden dann in einen Kontext gestellt und korreliert, um den Angriffsablauf erkennbar zu machen. Das System bewertet daraufhin und das Ereignis und priorisiert es entsprechend, damit Sicherheitsteams intervenieren können, bevor größerer Schaden entsteht.

Globales und lokales Lernen

Der Ansatz des automatisierten Bedrohungs-Managements kombiniert menschliche Expertise mit ML- und Data-Science-Techniken. Das zentrale Verfahren basiert auf einem kontinuierlichen Zyklus aus Bedrohungsanalyse und Lernvorgängen. Hierbei kommen Verfahren des sogenannten „globalen Lernens“ und „lokalen Lernens“ sowie eine integrierte Analyse zum Einsatz.

Globales Lernen dient der Identifikation der fundamentalen Eigenschaften, die gängige Bedrohungen gemeinsam haben. An Techniken kommen hierbei überwachtes maschinelles Lernen und Heuristik zum Einsatz. Eine der verbreitetsten Methoden überwachten maschinellen Lernens ist der „Random Forest“: Jeweils ein „Entscheidungsbaum“ dient dabei dazu, Daten anhand von spezifischen Eigenschaften zu klassifizieren oder in homogene Gruppen einzusortieren. Ein Random Forest stellt eine Sammlung oder eben einen „Wald“ vieler zufällig generierter Entscheidungsbäume dar. Statt sich auf einen Baum zu verlassen, werden Mittelwerte aus einer extrem hohen Zahl von Entscheidungsbäumen errechnet, um schließlich festzulegen, ob etwas als bös- oder gutartig zu klassifizieren ist.

Machine Learning soll helfen, in der Event-Flut Angriffe zu finden. Bild: Vectra Networks

Lokales Lernen dient der Identifikation dessen, was im lokalen Netzwerk normal und was anomal ist. An typischen Techniken kommen hier unüberwachtes maschinelles Lernen und Anomalieerkennung zum Einsatz. Wenn beispielsweise ein Netzwerk-Host verschiedene IP-Adressen zu kontaktieren versucht, die im lokalen Netz gar nicht genutzt werden, könnte dies ein Hinweis darauf sein, dass ein Angreifer sich im Netzwerk umsieht (Reconnaissance). Um solche Verhaltensweisen zu erkennen, bedarf es einer Art von Langzeitgedächtnis, das alle Parameter der lokalen Netzwerkumgebung kennt – inklusive der IP-Adressen, die im bisherigen Zeitverlauf bereits erfolgreich aufgerufen wurden.

Manche schädlichen Aktionen erstrecken sich über viele Verbindungen und Einzelschritte in einem Netzwerk hinweg. Ein einfacher Blick auf etablierte normale Verhaltensmuster hilft hier möglicherweise nicht weiter. Es gilt, den lokalen Kontext auch in zeitlicher Dimension zu verstehen, um beurteilen zu können, was „normal“ ist. Zur Ermittlung von Werten, die das Normalverhalten beschreiben, kommen Clustering-Techniken wie der K-Means-Algorithmus zum Einsatz.

Die integrierte Analyse schließlich setzt Ereignisse zueinander in Beziehung, um einen größeren Angriffszusammenhang sichtbar zu machen. Als typische Techniken finden hier Ereigniskorrelation und Host-Scoring Verwendung. Das automatisierte Bedrohungs-Management greift auch auf das Verfahren der Bayes’schen Netze zurück. Dessen Kernfunktion ist es, mittels Wahrscheinlichkeitsrechnung Abhängigkeiten zwischen Ereignissen oder Reihen von Ereignissen aufzuzeigen. Dies hilft, die Verbindungen zwischen mehreren Erkennungsresultaten zu verstehen und so einen gezielten Angriff zu identifizieren und zu priorisieren.

Mensch vorerst nicht ersetzbar

Unternehmen, die sich einen schnellen Erfolg durch ML-unterstützte IT-Sicherheitslösungen erhoffen, sollten jedoch eine wesentliche Komponente nicht außer Acht lassen: Beim Schutz vor Angriffen oder unberechtigtem Zugriff spielt nach wie vor der Mensch eine entscheidende Rolle. Zwar schreitet die Technologie rasch in Richtung künstliche Intelligenz (KI) voran, dennoch wird die IT-Sicherheit auch weiterhin nicht ohne einen Anteil menschlicher Intervention auskommen.

ML-basierte Systeme bewähren sich bei der sicherheitstechnischen Erfassung und Verarbeitung großer Datensätze, sind aber kein Allheilmittel. Bestimmte Aufgaben – zum Beispiel die Risikoanalyse oder die Formulierung von Regelsätzen – sind bei Fachleuten besser aufgehoben. Bei Unternehmen, die mit größeren Datensätzen hantieren, besteht die entscheidende Fähigkeit von ML darin, Angriffsmuster in großen Datenpools zu finden. Es übersteigt mittlerweile die Fähigkeit von Programmierern, den Code für solche Analysen manuell zu erstellen – und genau hier setzen ML-basierte Lösungen an. Sie erreichen zudem eine immer bessere Erkennungsquote.

Angesichts deutlich und schnell zunehmender Angriffe ist es nicht möglich, mit Bedrohungen auf manuelle Art und Weise Schritt zu halten. Künstliche Intelligenz, maschinelles Lernen und Automation können Menschen unterstützen, um die Bedrohungslage in den Griff zu bekommen. So lassen sich ungewöhnliche Situationen schnell identifizieren. Wie bei jeder neuen Technologie werden früher oder später auch die Angreifer auf diesen Zug aufspringen. Bei der Automation von Angriffen ist dies in eingeschränktem Maße bereits der Fall. In Sachen ML und KI haben die Sicherheitsexperten derzeit die Nase vorn, da zumindest gewöhnliche Cyberkriminelle nicht die Ressourcen haben, um diese Technologien nutzbar zu machen. Diesen Vorsprung gilt es aufrechtzuerhalten – und möglichst weiter auszubauen.

Gérard Bauer ist Vice President EMEA bei Vectra Networks, www.vectranetworks.com.