Suche nach Bedrohungen braucht feines Raster

„Menschen erledigen alles Notwenige, um ihre Jobs erledigen zu können – und so lesen sie E-Mails auch dann, wenn sie im Ausland Urlaub machen, und sie loggen sich durchaus einmal morgens um drei Uhr ein und laden Dateien herunter, weil sie mit Ideen für ein neues Projekt aufgewacht sind“, gibt Gérard Bauer, VP EMEA bei Vectra, zu bedenken. Solche gut gemeinten Aktivitäten könnten dann verdächtig erscheinen. Gleichzeitig gilt, dass ausgefuchste Cyber-Kriminelle besonders gut darin sind, akzeptierte Praktiken nachzuahmen und ihre Aktivitäten unter ganz normale Vorgänge zu mischen. Die Konsequenz: Anbieter von Anomalie-Erkennungslösungen picken mit größerer Wahrscheinlichkeit gute Mitarbeiter heraus, die bei ihrer Arbeit lediglich etwas unkonventionell vorgehen, als dass sie tatsächlich einen Angreifer identifizieren und bloßstellen.“

Dagegen empfiehlt Bauer im Umfeld von Cyber-Sicherheit die Nutzung künstlicher Intelligenz: „Sie soll zum Einsatz kommen, um zwischen den allzu allgemein gefassten und allzu leicht irreführenden ‚unnormalen Verhaltensweisen‘ und den hervorstechenden, sehr spezifischen Identifikationsmerkmalen eines echten Angreiferverhaltens zu unterscheiden.“

Die Herstellerlösungen, die rein auf die Erkennung von Anomalien setzen, verlangen von Cybersecurity-Analysten, jedes einzelne verdächtige Event im Detail zu untersuchen, ob nun wirklich etwas dahintersteckt oder nicht – getreu der These: „Wo Rauch ist, ist auch Feuer“. Bei anomalem Verhalten hat man es aber mit Unmengen von Rauch zu tun, ohne dass es irgendwo brennt, während die Security-Analysten jedem noch so kleinen Rauchfähnchen hinterherjagen müssen, bei der Verfolgung falscher Fährten Zeit und Geld verbrennen und zugleich blind bleiben für die echten Bedrohungen.

Ein weitere Phänomen, das dieses „zu grobe“ Vorgehen fragwürdig macht, sind Insider-Attacken. Die Anzeichen für Bedrohungen von innen können ebenfalls in die Irre führen. „Es hat einige spektakuläre Hacks gegeben, bei denen anomales Verhalten eine Rolle spielte, wie etwa die Weitergabe klassifizierter Informationen durch Edward Snowden“, so Gérard Bauer. „Die eindeutige Überzahl der Angriffe von innen war aber deshalb erfolgreich, weil es gelang, das Vorgehen unter normalen Aktivitäten zu verbergen. Die Attacken wurden erst lange Zeit nach den umfangreichen Schäden entdeckt, die sie verursacht hatten.“

Beim Scheinkonten-Skandal bei Wells Fargo in den USA sah es so aus, als würden die Angestellten ganz einfach ihren Job machen – nur eben ein wenig „zu gut“, wie sich später herausstellte. Sie kannten und nutzten die Standard-Prozesse, und sie setzten ihre Anmeldedaten ordnungsgemäß ein. Sie überschritten weder ihre Zugangs- noch ihre Zugriffsberechtigungen.

„Ausgefeilte Cyber-Attacken zeigen meist das gleiche Verhalten. Sie mischen sich unters normale Geschehen – und wenn das Security-Team nicht gezielt nach Zeichen für Angriffsverhalten sucht statt nur auf bloße Abnormitäten zu achten, hat es keine wirkliche Chance, diesen Attacken Paroli zu bieten“, fasst Gérard Bauer abschließend zusammen. “Das ist die hässliche Wahrheit über den mäßigen Wert simpler Anomalie-Erkennung.“ (rhh)

Hier geht es zu Vectra