11.11.2016 Prävention reicht nicht aus

Verhaltensbasierte Netzwerkangriffe entdecken

Von: David Thompson

Präventive Sicherheitsvorkehrungen können Netzwerkangriffe nicht hundertprozentig abhalten. Penetrationtester behaupten sogar, binnen zwei Tagen erfolgreich ­eindringen zu können. Prävention ist zwar weiterhin notwendig, doch auf Dauer wird dies nicht ausreichen, um einen Angreifer zu stoppen.

Sicherheitsschloss

Aktuell basiert die Erkennung von aktiven Netzwerkangreifern auf der Untersuchung von Spuren wie etwa Hashes, URLs und Software-Verhalten.

Motivierte Angreifer finden ihren Weg ins Netzwerk. Der Trick besteht darin, einen aktiven Angreifer dann so früh zu finden, dass man seine Diebstähle oder andere Schäden rechtzeitig vereiteln oder minimieren kann. Die bisherigen Sicherheitstools und -verfahren sind wenig geeignet, um solche in einem Netzwerk zu entdecken. Die durchschnittliche Verweilzeit eines Angreifers – fünf Monate – und die lange Liste spektakulärer Sicherheitspannen machen dies mehr als deutlich.

Aktuell basiert die Erkennung von aktiven Netzwerkangreifern auf der Untersuchung von Spuren – vordefinierte Signaturen, Hashes, Software-Verhalten, URLs und andere Anzeichen. Angreifer müssen anhand ihrer operativen Aktivitäten erkannt werden. Sie sind reale Widersacher, die Schritt für Schritt einen Feldzug durchführen, um an die wertvollen Assets in einem Netzwerk zu kommen. Möglicherweise setzen sie bei ihrer Arbeit Malware ein, aber nicht unbedingt. Einerseits gibt es andere Wege oder die Schädlinge werden schlichtweg nicht erkannt, obwohl tatsächlich ein aktiver Angriff im Gang ist.

Wer tut was und bei wem?


Wenn ein Angreifer in ein Netz eingedrungen ist – mit großer Wahrscheinlichkeit über einen kompromittierten Client oder ein kompromittiertes Benutzerkonto –, dann befindet er sich erst einmal in einer Umgebung, die ihm nicht vertraut ist. Folglich muss er nun vorrangig zwei Dinge tun: Er muss zunächst das Netzwerk erforschen und kennenlernen (Abtasten), um Assets und die Zugangswege zu ihnen zu finden. Im zweiten Schritt wird er mittels „lateraler“ Bewegungen seinen Kontrollbereich ausweiten und sich Zugriff auf wertvolle Daten sichern. Diese „Ost-West“-Bewegungen im Netz erfolgen zumeist komplett im Verborgenen. Sicherheitssysteme, die auf Basis des „Known Bad“-Modells nach Spuren suchen, werden diese Aktivitäten nicht sehen.

Auch Systeme zur Erkennung von Endgeräten sind nur sehr begrenzt in der Lage, Angriffsaktivitäten zu entdecken, die sich in Ost-West-Richtung vollziehen. Solche Operationen sind naturgemäß Netzwerkaktivitäten. Gewiss werden sie von einem Nutzer initiiert, doch sie lassen sich am besten zunächst auf der Netzwerkebene beobachten und können dann mit einem bestimmten Benutzerprozess assoziiert werden.

Die Netzwerkerkennung muss sich mit sämtlichen Aktivitäten im Netz beschäftigen und darf sich nicht nur auf Informationen zum Routing von Paketen beschränken. Alles dreht sich hier um die Frage: „Wer tut was und bei wem?“ Gängige Mittel der Erkundung sind etwa Portscans, Suche nach Dateifreigaben im Netzwerk oder die Suche nach den verschiedenen Diensten, die auf anderen Rechnern ausgeführt werden. Diese Aktivitäten lassen sich am besten als Vorgänge im Netzwerk sehen. Dann ist jedoch ein weiterer Schritt erforderlich, um eine normale Netzwerkaktivität von einer zu unterscheiden, die sowohl ungewöhnlich als auch bösartig ist.

Trennung zwischen normabweichenden und bösartigen Vorgängen hört sich gut an, lässt sich aber mit klassischen Sicherheitslösungen nicht realisieren. Die heutigen Sicherheitssysteme melden jeden noch so kleinen Hinweis und produzieren eine Unmenge an Alarme. Die Mitarbeiter in IT-Abteilungen kämpfen häufig mit einer überwältigen Anzahl von False Positives. Eine Umfrage des Ponemon Institutes ergab, dass ein Unternehmen im Durchschnitt 16.937 Alarme pro Woche erhält. Es ist unwahrscheinlich, dass ein Sicherheitsmitarbeiter echte Anzeichen für eine Angriffsaktivität finden kann.

Reduzierung der False Positives


Eine grundlegende Veränderung der Angriffserkennung lässt sich durch Live-Verhaltensanalysen erreichen. Mithilfe von Behavorial-Attack-Detection (BAD)-Systemen, wie sie Lightcyber bietet, können Verhaltensmuster, Datenströme und Informationen zu Endpunkten korreliert und analysiert werden. Dazu werden zunächst Basisprofile aller Nutzer sowie aller Geräte erstellt, die im Netzwerk eine IP-Adresse haben. Durch Machine Learning können über BAD anonyme Profile erstellt werden, kontinuierliches Monitoring der Netzwerke erkennt Anomalien.

Es ist wichtig, aus den Anomalien diejenigen Vorgänge herauszufiltern, die wirklich bösartig sind. Idealerweise ist das System in der Lage, noch einen Schritt weiterzugehen und zu erkennen, inwiefern verschiedene Ereignisse miteinander verbunden und Teilschritte eines tatsächlichen Angriffs sein könnten. Dank der Genauigkeit dieses Verfahrens muss ein System nur eine kleine Anzahl von Alarmen pro Tag erzeugen, die das Sicherheits- oder IT-Team leicht handhaben kann.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2016. Bestellen Sie ein kostenfreies Probe-Abo.

Die veränderte Gefahrenlandschaft setzt Unternehmen unter Druck und viele haben bereits mehrere Sicherheits-Tools im Einsatz. Doch immer neue Werkzeuge bedeuten auch mehr Alarme und größeren Aufwand in deren Bedienung. Mit BAD verbessern Organisationen die Effizienz ihrer IT-Sicherheit. Gleichzeitig erhöhen sie das Schutzniveau und können auch Angriffe mit unbekannter Malware entdecken.

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH