2018 platzierte Gartner Cognito, Vectras Lösung für netzwerkgestützte Bedrohungserkennung, als einziges „visionäres“ Produkt im Magic Quadrant zu Intrusion Detection and Prevention (IDS/IPS). Der so ausgezeichnete Anbieter war erfreut, beeilte sich aber festzustellen, dass er IDS/IPS doch eigentlich überholen und ersetzen wolle. Im Detail offenbart das kleine Begriffsscharmützel der beiden Kontrahenten, wie sehr der „Eindringlingsalarm“ ins Zentrum moderner IT-Sicherheit rückt.

Wer es liebt, auch bei Fachtexten genau auf sprachliche Details zu achten und gegebenenfalls zwischen den Zeilen nach Informationen und Meinungsäußerungen zu suchen, kann an Gartners Magic Quadrant zu IDS/IPS für 2018 und an Vectras darauf reagierendem Whitepaper „How Cognito Detect replaces IDS and enables organizations to detect intrusions again“ [1] seine helle Freude haben. Die beiden Texte erzählen viel darüber, wie es um zwei Basisansätze der IT-Sicherheit bestellt ist: um den Gebrauch von IDS/IPS (Intrusion Detection/Prevention Systemen) einerseits und den Einsatz von SOC-Werkzeugen (Security Operations Center) andererseits.

Der Kasus liegt nun ungefähr ein Jahr zurück. Die Gartner-Analysten hatten im Januar 2018 Vectra Networks’ Lösung Cognito Detect, die mittels künstlicher Intelligenz (KI) das Netzwerkverhalten analysiert und so Angriffserkennung betreibt, als einsamen „Visionär“ in ihrem IDS/IPS-Quadranten untergebracht. Sie bescheinigten dem Anbieter damit, exzellent zukunftsorientiert aufgestellt zu sein, schrieben ihm aber zugleich eine nicht gerade hohe Vermarktungskraft zu.

Interessant daran ist zunächst, dass Vectra selbst kaum einmal explizit als IDS/IPS-Anbieter auftritt, sondern laut eigener Website als „leader in AI-driven threat detection and response“ bezeichnet werden will, also als „führender Anbieter einer KI-gestützten Lösung für die Erkennung und Abwehr von Bedrohungen“. Branchenkennern dürfte damit sofort nachvollziehbar sein, warum hier aus Sicht des Herstellers möglicherweise ein Einordnungsproblem vorliegt. Für Menschen ohne intime IT-Security-Erfahrung, die aber der englischen Sprache mächtig sind und ein gewisses technisches IT-Grundverständnis aufweisen, sieht dies wahrscheinlich anders aus: „intrusion detection and prevention“ heißt schließlich nichts anderes als „Eindringlingsalarm und -abwehr“. Warum sollte unter „threat detection and response“ nicht dasselbe Konzept eines Angriffserkennungssystems zu verstehen sein, vor allem wenn man aktuelle Berichte der jüngeren Vergangenheit über gezielte Hacker-Angriffe und deren Abwehr als Quelle heranzieht? Security-Größen wie Bruce Schneier und Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) weisen nicht umsonst immer wieder darauf hin, dass sich die Organisationen von der Vorstellung verabschieden sollten, jeden Angriff im Vorfeld blockieren zu können. Unternehmen müssten über die Erkennung und Eingrenzung gelingender Angriffe nachdenken, heißt es. Da wirkt der Versuch, IDS/IPS von Threat Detection and Re-sponse abzugrenzen, tatsächlich kurios.

Dass die Unterscheidung dennoch stattfindet, liegt in der IT-Historie begründet. IDS-Produkte sind schon sehr lange auf dem Markt. Traditionell gibt es sie als Host-based IDS (HIDS) und Network-based IDS (NIDS). HIDS-Produkte sind auf Geräten (Computern) im Netzwerk installiert und werten Log-Dateien, Anzeichen für Konfigurationsänderungen und andere Systeminformationen aus, um möglichen Angriffen auf die Spur zu kommen. Ein NIDS dagegen analysiert möglichst viele Datenpakete im Netzwerk und sucht in den Payloads und Metadaten nach Anzeichen verdächtiger Vorhaben. Beide Systeme können entweder nach von außen eingespielten Angriffsmustern fahnden oder nach Anomalien gegenüber einem zuvor ermittelten „Normalbetrieb“ des überwachten Hosts oder Netzwerks. Moderne IDS-Produkte arbeiten häufig nach beiden Prinzipien, aber bisher mit vergleichsweise geringer Tiefe analytischer Intelligenz – erst in jüngster Zeit findet man maschinelles Lernen und Threat Intelligence als Ergänzungen.

Im Namen des Vectra-Produkts „Cognito“ steckt demgegenüber nicht umsonst das lateinische Wort für ein „aktives Erkennen“ oder „Untersuchen“: „cognoscere“. Das System verwendet von vornherein eine ganze Reihe hoch entwickelter Strategien künstlicher Intelligenz, um auch solches Angriffsvorgehen zu erkennen, das anderswo bereits untersuchten und als Muster bereitgestellten Attacken lediglich ähnelt und nicht genau entspricht. Cognito richtet den Fokus dabei auf jene Schritte, die ein Angreifer nicht vermeiden kann, um ein bestimmtes Ziel wie etwa den Diebstahl wichtiger Daten aus einem zentralen Repository zu erreichen. Dazu sucht das System anhand der Pakete nach verräterischen Abläufen von Geschehnissen, ohne den Inhalt der Pakete untersuchen zu müssen.

Vor diesem Hintergrund ist es nun formal durchaus korrekt, das System als ein besonders weit entwickeltes NIDS zu verstehen, das frühere Versuche mit einfacher Heuristik für die Angriffserkennung schlicht um mehrere Grade übertrifft. Bei der Optimierung ihres Ansatzes sind die Vectra-Entwickler allerdings einen anderen Schritt gegangen als die klassische IDS/IPS-Konkurrenz. Denn selbige hat lange primär versucht, von der Erkennung direkt zur möglichst umfassenden und schnellen Blockade von Angriffen überzugehen, ohne ihren Produkten über heuristische Fähigkeiten und einfache Anomalie-Erkennung hinaus mehr Flexibilität und Erkennungsintelligenz mit auf den Weg zu geben.

Prävention versus Gegenwehr

Vectras genanntes Whitepaper arbeitet ganz gut heraus, dass hinter „IPS“ somit eine bestimmte Geisteshaltung steckt: „Richtige“ Security ist die, die Angreifer jeglicher Art aus den Netzen heraushält, also „präventive“ Sicherheit. Das aus dem IDS hervorgegangene IPS sollte neben Firewall und Virenscanner eine weitere Instanz der „Mauer“ zwischen LAN und Internet darstellen, um Manipulationen an Hosts zu verhindern und „Angreiferpakete“ im Netz einfach ins Nirvana zu schicken (zu verwerfen oder „droppen“).

Jene heute längst vertraute Instanz namens „SOC“, in der IT-Security-Analysten hinter dem Perimeter permanent aktiv nach laufenden Angriffen fahnden und gegen die Kriminellen flexibel und kreativ vorgehen, mochte man sich zur Blütezeit der IPS-Entwicklung gar nicht vorstellen – „so weit darf es doch gar nicht kommen, das würde doch ein Versagen der Security bedeuten.“

IT-Security-Anbieter – im Bild LogRhythms UEBA-Dashboard – nutzen zunehmend KI, um die teils hochkomplexen Angriffe aufzudecken. Bild: LogRhythm

Die Vectra-Autoren merken ganz richtig an, dass das ursprüngliche IDS aus der Zeit vor dem Internet stammt, in der es Online-Angriffe „von außen“ praktisch noch nicht gab, sodass ein IDS ausschließlich auf Versuche interner Nutzer schaute, bestimmte Ressourcen unerlaubt zu nutzen oder zu manipulieren. Mit dem Fall des Perimeters kamen dann die externen Hacks und damit eine Flut von IDS-Meldungen, die die Security-Teams überforderte. Diesen Zustand wollte man mit automatisierter Gegenwehr (IPS) wieder unter Kontrolle bringen.

Auch beim Übergang von IDS zu IPS ging es also wie heute darum, Security-Fachpersonal zu entlasten. Die Ebene, auf der dies geschieht, ist aber eine andere – und dies führt mitten ins Gartner-Vectra-Thema und macht es zu mehr als einem reinen Terminologieproblem. Cognito ist wie viele andere mit KI versehene Produkte in einer Zeit entstanden, in der die Sicherheitsverantwortlichen der Unternehmen darauf vertrauen dürfen, dass klassische Security-Lösungen inklusive IDS/IPS das Grundrauschen wenig elaborierter Attacken gut von den Anwendernetzen fernhalten; zugleich aber müssen sie mit ausgefuchsten, mit hohem Aufwand betriebenen Angriffen rechnen und umgehen, die die traditionellen Perimeterschranken überwinden. Deshalb richtet man überall SOCs ein, und auch hier muss man den stark geforderten und am Markt raren Security-Analysten Hilfsmittel zur Seite stellen, die sie bei der höchst anspruchsvollen Suche nach Aktionen der Kriminellen zu unterstützen.

Die Werkzeuge der Wahl dazu sind erstens SIEM-Systeme (Security-Information- and Event-Management), die Security-Informationen aus verschiedenen Quellen korrelieren, und zweitens eben hoch entwickelte Produkte zur Analyse des Netzwerksgeschehens anhand der Paketdaten, darunter Cognito. Ein Blick auf Vectras Marketing und Website verdeutlicht schnell, dass der Hersteller lieber in der beschriebenen höheren und moderneren Liga spielen will als in der klassischen In­trusion Detection, und dass er sich als Alternative oder Ergänzung zu SIEM-Systemen versteht. Kurz: Man will als zentrales Werkzeug ins SOC. Vectra beharrt dabei sogar darauf, dass sein Produkt mit seinem KI-unterfütterten Blick aufs Netzgeschehen einen direkteren Zugang zu möglicherweise gefährlichem Verhalten habe als typische SIEM-Systeme mit ihrer Auswertung von Logs, die „aus zweiter Hand“ – nämlich von anderen Sensoren – stammen. Diese Position ist zwar durchaus diskussionswürdig, zeigt aber plakativ, dass Vectra Cognito eben nicht nur als Zulieferer zu übergeordneten Angriffserkennungssystemen verstanden wissen will.

Beim genauen Blick in den Text des Gartner-Quadranten fällt auf, dass auch die Analysten vielleicht bereits Schwierigkeiten damit hatten, eine KI-gestützte Lösung zur Bedrohungsanalyse zu den klassischeren IDS/IPS-Produkten in Beziehung zu setzen. Dort heißt es übersetzt: „Vectra ist ein besonders gutes Beispiel dafür, wie sich fortgeschrittene Analyseansätze für das Einsatzgebiet eines netzwerkgestützten IDS verwenden lassen.“ Also ist Cognito kein klassisches IDS, sondern etwas, das dessen Aufgaben übernehmen kann. Es wird in die IDS/IPS-Rubrik eingeordnet, weil es das Gartner-Kriterum erfüllt, mit IDS/IPS-Lösungen zu konkurrieren.

Weiter liest man dann, dass es bei Cognito um die Auseinandersetzung mit Angriffen geht, die den klassischen Perimeter überwinden konnten – und dass Vectra damit zentralen Problemen der Security-Operations-Teams begegnet. Außerdem sagt Gartner selbst, dass bis Ende 2020 um die 60 Prozent der produktiven IDS- und IPS-Lösungen um Analytikansätze wie maschinelles Lernen und um Verhaltensanalyse-Methoden ergänzt sein werden – dass sie sich also bei der Erkennungslogik in eine Richtung bewegen, die Vectra von Anfang an eingeschlagen hat.

Es könnte also alles gut sein: Der Kandidat liegt voll im richtigen Trend. Dem ist aber nicht so, weil Gartner dem neuen IDS-Typ, den die Analysten da ausgemacht haben, zugleich ein derzeit nur geringes Maß an Umsetzungs- oder Einsatzfähigkeit attestiert. Dies wiederum liegt daran, dass das Analystenteam den alten IDS/IPS-Maßstab anlegt, nach dem eine gute IDS/IPS-Lösung immer auch unmittelbare Präventionsfunktion haben müsse.

Die falsche Messlatte

Genau da aber liegt der Hase im Pfeffer. Korrelierende SIEM-Systeme wie etwa IBMs QRadar, LogRhythm und Tibco Log­Logic oder eben KI-gestützte NBA-Produkte (Network-based Analysis) wie Cognito operieren auf einer anderen Ebene. Hier ist eine einfache automatisierte Gegenwehr durch Maßnahmen wie das Verwerfen von Paketen kein zentrales Qualitätskriterium mehr. Gegen die hoch entwickelten Angriffsstrategien, auf die diese Werkzeugklasse mit ihren Erkennungsmechanismen zielt, hilft nur eine Gegenwehr aus dem SOC, die ebenso intelligent und maßgeschneidert vorgeht wie Kriminelle, die eine ganz bestimmte Organisation aufs Korn nehmen.

Automatisieren lässt sich hier zum Beispiel der steuernde Zugriff auf Endpoint-Security-Lösungen oder vielleicht der auf Tools zum Abschotten von Servern. Doch im Normalfall dürften die erwähnten SIEM- und Bedrohungserkennungs-Produkte zur Unterstützung der konkreten Arbeit der SOC-Teams eher komplexe Incident-Management-Prozesse anstoßen und ausgewiesene Spezialisten alarmieren, um Eindringlinge des hier beobachteten Niveaus wieder in ihre Schranken zu weisen.

Hinzu kommt, dass es bei komplexen Cloud-Szenarien und noch stärker bei Netzen mit integrierten industriellen Produktionssteuerungen fast immer nötig ist, vor einer Abwehrhandlung auch deren mögliche Nebenwirkungen zu analysieren: Den Steuerrechner eines Hochofens einfach herunterzufahren oder von einer laufenden Kommunikation abzuschneiden, weil es Anzeichen für einen unerlaubten Zugriff gibt, kann gefährlicher sein als ein kurzes Abwarten oder das telefonisch erwirkte Umschalten auf manuelle Kontrolle vor Ort.

Gartner beschreibt den „erkennungszentrierten Ansatz“ und die Tatsache, dass sich Cognito für die automatisierte Abwehr von Angriffen auf Konnektoren zu anderen Produkten verlassen müsse, explizit als derzeitigen Nachteil der Lösung. Dies jedoch ist eigentlich kein Fehler, sondern stellt die praktische Konsequenz eines Architekturansatzes dar, der für diese Klasse von SOC-Werkzeugen typisch und für deren Einsatzgebiet optimiert ist.

Es bleibt die Frage, ob es gut ist, ein Werkzeug wie Cognito mit IDS/IPS-Produkten zu vergleichen. Aber wo sonst lässt sich solch ein System überhaupt platzieren? Als Tool für das Aufdecken von Bedrohungen hat es SIEM-ähnliche Erkennungsfähigkeiten, ist aber kein SIEM. Es ist übrigens auch nicht, wie es ein flüchtiger Blick auf den Titel des Vectra-Whitepapers nahelegen könnte, überall ein vollständiger Ersatz fürs klassische IDS/IPS. Denn dieses macht bei der Abwehr des erwähnten Angriffsgrundrauschens einen guten Job als Vorfilter und dient SIEM-unterfütterten SOCs als wertvolle Sensorquelle.

„SOC-Tools“ wäre vielleicht der Oberbegriff der Wahl. Auf diesem Sektor allerdings sind Leistungsvergleiche mit einfachen Kriterienkatalogen schwierig. Denn man kann wie erwähnt mit völlig unterschiedlichen Ansätzen wie etwa SIEM oder netzwerkgestützter Verhaltensanalyse operieren oder Lösungen unterschiedlicher Art passend fürs individuelle Netz kombinieren. Terminologisch helfen könnte es auf jeden Fall, endlich tatsächlich zu akzeptieren, dass moderne Informationssicherheit mit zwei Verteidigungslinien operieren muss: Prävention für den schädlichen Alltagskram (unter anderem mit IDS/IPS) und interne Bedrohungsabwehr für Angriffe der intelligenteren Art. Im zuletzt genannten Bereich ist es dabei vielleicht ganz gut, dass die Anbieter unterschiedliche Wege gehen. Diese Vielfalt macht es nämlich nicht nur den Analysten schwer, sondern auch den Angreifern, die für jedes Modell andere Angriffsstrategien entwickeln müssen.

Bettina Weßelmann ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele ist freier Autor sowie GDD-geprüfter Datenschutzbeauftragter und arbeitet als Senior Security Consultant.