Startseite > Security > Verhaltensanalyse spürt Eindringlinge auf

Lightcyber mit selbstlernender Incident-Response-Lösung

Verhaltensanalyse spürt Eindringlinge auf

27. Mai 2016, 5:00 Uhr | LANline/Dr. Wilhelm Greiner

Der noch junge Anbieter Lightcyber liefert mit Magna eine Plattform für die Verhaltensanalyse von Netzwerk-Traffic, Applikationen, Anwendern und Endgeräten mit dem Ziel, einen laufenden Angriff möglichst schnell aufzuspüren (Behavioral Attack Detection). Lightcyber setzt bestehenden Wissenslücken eine selbstlernende Analyse auf der Basis von Netzwerk-Probes und ergänzender Untersuchungen entgegen. Diese Verifizierung einer Angriffshypothese, so der Anbieter, liefere dem Security-Team konkrete Warnungen statt zeitraubender Warnhinweisfluten (Alert Floods).

Im IT-Security-Markt verschiebt sich der Fokus zunehmend von der Prävention zur möglichst schnellen Erkennung und gezielten Reaktion auf eine Komprimittierung der Unternehmens-IT (Attack Detection, Incident Response). Denn herkömmliche Lösungen zur Absicherung des Netzwerks mögen zwar den Großteil der Angriffe stoppen, einen hartnäckigen Angreifer dauerhaft aufhalten können sie nicht, betont man (nicht nur) seitens Lightcyber. Herkömmliche Ansätze, darunter SIEM-Lösungen (Security-Information- and Event-Management), hätten sich zudem bei der Früherkennung von Angriffen als wenig geeignet erwiesen.

Eindringlinge bleiben deshalb oft monatelang unentdeckt, die durchschnittliche unerkannte Verweildauer (Dwell Time) eines Angreifers liegt laut Mandiants Threat Report 2014 bei stolzen 229 Tagen. Denn die Aktivitäten der Angreifer finden angesichts der verbreiteten Überfülle durch Security-Tools generierter False Positives und False Negatives lange „unter dem Radar“ der Security-Teams statt.

Dem marktüblichen Abgleich von Datenmustern mit vorgegebenen Schwellenwerten und bekannten Signaturen setzt Lightcyber seine Magna-Plattform entgegen: Diese kombiniert selbsttätiges Lernen (Machine Learning) mit einer automatisierten Untersuchung entdeckter Abweichungen.

In einer Lernphase erzeugt Magna laut Jason Matlof, EVP und Chief Marketing Officer von Lightcyber, zunächst eine Baseline des als normal angesehenen Verhaltens. Dazu nutzt die Lösung Appliances als Network Probes, die den Datenverkehr bis auf Anwendungsebene mittels DPI (Deep Packet Inspection) untersuchen; zugleich berücksichtige man aber mittels des Tools Pathfinder auch den Status der Endgeräte sowie Angaben zu Nutzern (auf Active-Directory-Basis) bei der Verhaltensanalyse.

Im Fall entdeckter Abweichungen von der Baseline erzeugt Magna laut Matlof noch keinen Alert, sondern übernimmt selbsttätig deren Untersuchung inklusive Abgleich der Auffälligkeit mit bekannten Angriffsmustern. Damit, so Matlof, reduziere Lightcyber das Alert-Aufkommen von den heute (laut Ponemon Institute) branchenüblichen 172 Alerts pro Tag und 1.000 Endgeräten auf eine Effizienzquote von 1,09 Alert pro Tag und 1.000 Endgeräten – und somit auf ein Maß, das für das Security-Team sinnvoll abzuarbeiten ist.

Ein Beispiel: Die Network Probe erkennt, dass von einem Client-PC in der Finanzabteilung ein Port-Scan eines Administratorenrechners ausgeht. Dies fällt der Lösung auf, da es für dieses Verhalten keine passende Baseline gibt. Magna gibt nun aber keinen Alert aus, sondern beginnt eine automatisierte Unersuchung der Lage: Die Software Pathfinder scannt den Client-Rechner auf den Prozess, der das verdächtige Verhalten initiiert hat, und stößt dabei auf eine Malware. Zugleich stellt sie fest, dass der Rechner mit einem unbekannten externen Web-Server kommuniziert.

Magna zieht nun laut Matlof aggregierte Threat-Intelligence-Feeds heran, die Lightcyber in seinem Cloud-basierten Expertensystem vorhält. Die externe Website erscheint hier orange markiert (also verdächtig, da erst wenige Wochen alt, wenngleich nicht auf einer Blacklist). Die Software könne dabei zugleich die Bewegung eines potenziellen Angreifers im Netz nachverfolgen. Aufgrund der Kombination dieser Indikatoren erstelle Magna nun einen aggregierten Alert, dass es sich offenbar um einen Angriff handelt, angereichert um die gesammelten Zusatzinformationen und ergänzt um Handlungsempfehlungen.

Aufgrund der Verhaltensanalyse des verdächtigen Verhaltens, die einem Alert vorangeht, erzielt Magna laut Lightcyber-Mann Matlof eine Genauigkeit von 62 Prozent schon bei nicht priorisierten Alerts. Stufe Magna ein Verhalten als „verdächtig“ ein, steige die Trefferquote auf 92 Prozent, beim Status „bestätigt“ gar auf 99 Prozent.

Dank dieser automatisierten Voruntersuchungen, so Matlof, erhalte der Security-Analyst priorisierte Warnungen, mit denen er tatsächlich etwas anfangen kann. Lightcyber veröffentliche die Zahlen seiner Effizienz- und Trefferquoten im Quartalsrhythmus, damit die Anwenderunternehmen sie als Referenzwert für die Werte anderer Anbieter heranziehen könnten, so Matlof.

Die Magna-Appliances speichern nicht den Netzwerkverkehr, sondern lediglich die Metadaten aus der Profilerstellung der Netzwerk- und Applikationsaktivität, dem Endgerätestatus und der Verwendung der User Credentials, betont Matlof. Damit könnten sie die Speicherung und Analyse autark vornehmen, die Anschaffung einer zusätzlichen Datenbank sei somit nicht nötig.

Lightcyber ist seit Kurzem auch in Europa tätig und hat mit Paul Couturier einen Vice President und General Manager für EMEA eingestellt. Auch unterhalte man nun ein Magna Cloud Expert System in einem europäischen Datacenter, damit die Anreicherung der Metadaten um Bedrohungsinformationen im EU-Rechtsraum stattfindet. Dadurch gehe man mit der EU-Datenschutzrichtlinie (Direktive 95/46/EG) konform.

Magna stellt den Sicherheitsstatus einer IT-Umgebung in einem Dashboard dar und bietet auch grafische Visualisierungen des Angreiferverhaltens. Zudem integriert sich laut Lightcyber in eine breite Palette vorhandener Security-Werkzeuge wie SIEM- oder auch E-Mail-Security-Lösungen. Eine Integration in Firewalls und NAC-Lösungen für automatische Reaktionen sei möglich, so Matlof, derzeit müssten Reaktionen aber manuell initiiert werden – was von den Kunden auch so gewünscht sei.

Das 2012 gegründete Unternehmen (der Firmename „Lightcyber“ ist ein Wortspiel mit „Lightsaber“, also „Lichtschwert“ – Star Wars lässt grüßen) vertreibt seine Lösung ausschließlich indirekt. Zu den Partnern hierzulande zählen Cirosec, Controlware, Infinigate und weitere. Lizenziert werden die Appliances pro Gerät und Zahl überwachter Knoten.

Weitere Informationen finden sich unter www.lightcyber.com.