Einsatz verhaltensbedingter KI in der IT-SicherheitAuf der Suche nach der Stecknadel im Heuhaufen
31. August 2020
Sicherheitsvorfälle, vor allem solche, die publik werden, sind ein gefundenes Fressen für das beliebte „Blame- and Shame-Game“ der Medien. Viel interessanter ist jedoch, wie es zu den erfolgreichen Angriffen gekommen ist, wer die Schuld trägt, wie man die Auswirkungen des Angriffs beheben kann. Das sind die Geschichten, die allzu oft nicht erzählt werden, weil es schwierig ist, sie aus der Flut an Daten herauszufiltern – Daten, die sowohl bösartige, als auch gewünschte Systemaktivitäten beinhaltet. Daten, die häufig einen spannenden digitalen Krimi erzählen.
Diese häufig komplizierten Handlungsstränge beginnen oft an den Endpunkten eines Unternehmens. Endpunkte sind Systeme, bei denen eine Datenkommunikation beginnt oder endet – angefangen vom Arbeitsplatzrechner, über Laptops, Server, virtuelle oder gar Cloud-Systeme. Vielleicht hat der Nutzer eben an einem solchen System einen USB-Stick angeschlossen, den er auf dem Parkplatz gefunden hat, um zu erfahren, was darauf gespeichert ist. Oder vielleicht hat ein Mitarbeiter einen bösartigen PDF-Anhang geöffnet, den er oder sie in einer E-Mail erhalten hat. Der Möglichkeiten und der Kreativität sind fast keine Grenzen gesetzt, um sich eines Endpunkts zu bemächtigen und dies als Einfallstor ins Unternehmensnetzwerk zu nutzen.
Laut einer Umfrage des SANS Institutes berichteten 42 Prozent der dort Befragten über mindestens einen Endpunkt, der zu Enthüllungen, Datenabfluss oder einer Geschäftsunterbrechung führte. Endpunkte sind jene Orte, an denen Netzwerk- und Prozessaktivitäten verfügbar sind, zusammenlaufen und mittels derer externe Geräte und Maschinen überwacht und gesteuert werden.
Sicher haben wir in den letzten Jahren viel mehr Einblick in Cyber-Angriffe erhalten als in den Jahren in denen man sich nur auf reine Schutzmechanismen (EPP, Endpoint Protection Platforms) verlassen hat. Diese traditionellen Lösungen haben sich im Wesentlichen auf Virensignaturen gestützt, waren aber völlig blind gegenüber speicherbasierter Malware, lateraler Bewegung, dateiloser-Malware oder Zero-Day-Angriffen.
Neuartige Ansätze sind gefragt
Etwas Neues musste her, um die gewünschte Sichtbarkeit zu erlangen. Die Einführung von EDR-Lösungen begann (Endpoint Detection & Response). Wobei die EDR-Systeme der ersten Generation mehr ein Zusatzprodukt waren, geschaffen aus der Notwendigkeit, zu sehen und zu verstehen. Man könnte diese erste Generation von EDR-Systemen auch passive EDRs nennen. Diese lieferten zwar Unmengen an Daten, aber keinen Kontext. Der jeweilige Analyst hatte die Teile des Puzzles, aber kein Gesamtbild, keine Story, um den Vorfall zeitnah bewerten und schließlich angemessene Reaktion ableiten zu können.
Ein solches passives Endpunkt-Monitoring könnte durchaus die Windows-Events der eingangs beschriebenen USB-Kompromittierung sichtbar machen. Das Einstecken des USB-Sticks führte beispielsweise zum Start von PowerShell, was wiederum zum Aufruf einer virtuellen Tastatur geführt hat. Wahrscheinlich hat der Angriff fortschrittliche Techniken wie das Löschen von Protokolldateien verwendet und hat hernach eine Hintertür installiert, um eine persistente Verbindung aufzubauen. Schließlich könnte man feststellen, dass der Angreifer daraufhin Anmeldedaten stahl und diese auch zur erfolgreichen Anmeldung verwendete. Dann könnte man nachvollziehen, dass der Angreifer an einem Punkt scheiterte, sich anzumelden, dass er dann seine Privilegien erweiterte, Protokolle löschte, dass er erfolgreich einen neuen lokalen Benutzer hinzufügte und diesen dann in eine Admin-Gruppe aufnahm.
Lediglich eine kleine Gruppe erfahrener, hochqualifizierter Sicherheitsanalytiker wird diesen Infektionsweg nachvollziehen und entsprechend schnell darauf reagieren können. Leider sind diese Spezialisten ausgesprochen rar. Es sind vor allen Dingen zu wenige, um auch nachts die Systeme manuell schützen zu können. Das bedeutet, wenn ein Angriff in den Mitternachtsstunden stattfindet, werden diese Angreifer viel mehr Zeit haben, bevor sie enttarnt werden.
Manuelle gegen mit KI automatisierte Vorfallanalyse
Eine automatisierte und zusammenhängende Darstellung aller Datenpunkte (Kontextualisierung) zu einer prägnanten Erzählung, zu einer einzigen Story, auf einem jeden Endpunkt selbst, zu jeder Zeit, ist der Schlüssel zu einer automatisierten Abwehr solcher Gefahren. Ein Beispiel für eine solche Technologie ist ActiveEDR, eine auf KI-basierende, automatisierte Analyse von System- und Prozessverhalten.
Ein Unternehmen kann damit rund um die Uhr, nachvollziehen was auf jedem Gerät passiert und dies automatisch in den dazugehörigen Kontext setzen. Damit schwindet der Bedarf sich auf schwer zu findende Analytiker-Fähigkeiten zu verlassen und die vorhandenen Sicherheitsverantwortlichen können mögliche Vorfälle direkt und nahtlos zurückzuverfolgen, um zu sehen, was hinter der möglicherweise verdächtigen Aktivität (Indicator for Compromise, IOC) steckt.
Bei EDR-Lösungen der alten Schule geht es hingegen mehr darum, nach einer isolierten Aktivität zu suchen und dann zu versuchen, sie mit einer anderen in Beziehung zu setzen, und dann wieder und wieder, in einem langwierigen, meist manuellen, nachträglichen Versuch, das Gesamtbild zu erstellen. Anders mit ActiveEDR: Alle Puzzleteile werden automatisch und in Echtzeit zusammengesetzt, bewertet, um eine prompte Reaktion auszulösen – unverzüglich, ohne menschliches zu tun.
Digitaler SOC-Analyst auf jedem Endpunkt
Hier übernimmt die Maschine die Arbeit und nicht der Analytiker. Der Analytiker liegt hier im übertragenen Sinne auf jedem System in digitaler Form vor – ein digitaler SOC-Analyst auf jedem Endpunkt. Jeder Prozess wird verfolgt, in den dazugehörigen Kontext gesetzt und bewertet. Verdächtige Handlungen werden in Echtzeit identifiziert und die erforderlichen Reaktionen automatisch eingeleitet. Sollte der Analytiker doch eingreifen wollen, so ermöglicht ActiveEDR eine einfache Suche nach möglichen Anzeichen von Bedrohungen, indem es die vollständige Story von einem einzigen IOC ausgehende vorhält und unmittelbar zur Verfügung stellt.
Im Gegensatz zu anderen EDR-Lösungen ist ActiveEDR nicht auf eine Cloud-Verbindung angewiesen, um zu erkennen oder eine Entscheidung zu treffen. All dies passiert auf dem jeweiligen Endpunkt selbst – on- wie offline. Der Agent zeichnet ständig alle Geschichten und Handlungsstränge auf. Wenn diese Geschichte droht bösartig zu werden, kann er nicht nur unerwünschte Dateien und Prozesse stoppen, sondern auch vom Netzwerk trennen – und sogar automatisch das System selektiv auf einen Zeitpunkt vor dem Angriff „zurückrollen“.
Cyber-Kriminelle haben zudem einen Weg gefunden, ihre frühere Abhängigkeit von Dateien zu überwinden. Stattdessen dringen sie ohne merkliche Fußabdrücke vor, indem sie im Speicher befindliche, dateilose Malware verwenden oder einfach schadhaftes Verhalten auslösten mittels an Bord befindlicher Tools und Anwendungen (Living of the Land). Da ActiveEDR jedoch sämtliche Prozesse verfolgt – unabhängig von was diese ausgelöst wurden -, kann es auch jene Angreifer aufspüren, die sich bereits auf dem System befinden und gerade damit beginnen ihre kriminelle Handlung auszuführen.
Automatische Erkennung von Attacken
Die verhaltensbedingte KI ist dafür geschaffen automatisch Angriffe zu erkennt und diese eigenständig zu vereitelt. Die Technologie ist in der Lage auf dem jeweiligen Gerät eine angemessene Entscheidung zu treffen – ohne darauf warten zu müssen, dass die Cloud oder gar ein Mensch ihr sagt was zu tun ist. Wenn ActiveEDR auf „Detect“ eingestellt ist, erhalten Sicherheitsverantwortliche kontextbezogene Warnungen. Doch sobald auf „Protect“ gewechselt, wird das mit einem Sprengsatz versehene Word-Dokument automatisch erkannt, blockiert und schnell gelöscht.
Die dazugehörige „Storyline“ wird zeigen, dass der Angriff nicht weit gekommen ist: Er wurde blockiert, bevor es ihm gelang, nach außen zu kommunizieren. Auch im Falle, dass Sicherheitsverantwortliche hernach entscheiden, dass etwas doch nicht blockiert werden sollte, können sie sehr einfach Ausnahmen definieren oder gar einen früheren Systemstand wieder annehmen. Und das Beste daran ist, dass ActiveEDR – im Gegensatz zu Menschen – keinen Schlaf braucht und 24/7 zur Verfügung steht. Das Resultat der automatisierten und digitalen Angriffsbekämpfung ist: kein Datenabfluss und keine damit verbundenen Schlagzeilen in den Medien.
Matthias Canisius ist Regional Director für die Regionen Central und Eastern Europe bei SentinelOne.
