VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Digitale GesichtKognitive Lösungen bieten ein großes Potenzial für die IT-Sicherheit von Unternehmen. Hans-Peter Fischer, Cyber Security-Experte bei KPMG, erklärt, wie mithilfe von KI-Anwendungen Anomalien schneller erkannt werden und Unternehmen dabei vorgehen sollten.

Eine der Erkenntnisse aus der Cyberattacke WannaCry – neben der noch überraschend großen Verbreitung von Windows XP – ist die Feststellung, dass Informationssicherheitsvorfälle im Allgemeinen weniger Schaden anrichten, wenn sie rechtzeitig erkannt werden – idealerweise noch bevor die Ausbreitung und der Fortschritt ein solches Ausmaß angenommen haben, dass ein Angriff für Außenstehende sichtbar wird.

Die große Frage ist: Wie lässt sich ein Angriff wie WannaCry im Ansatz erkennen und aufhalten?

Informationssicherheit muss den Normalzustand einer Organisation kennen

Wie hätte man früher erkennen können, dass etwas nicht stimmt? Betrachtet man das Problem abstrakt, stellt man fest, dass Informationssicherheit auch immer bedeutet, zwischen Erlaubtem und Unerlaubtem zu unterscheiden. Ähnlich wie ein Staat Gesetze definiert, muss ein Unternehmen vom Normalzustand abgeleitet Regeln entwickeln, welche Verletzungen der Informationssicherheit als solche definieren und erkennen. Es muss klare Regelungen treffen, wie bei Übertretung der Regeln zu verfahren ist, um den Schaden möglichst gering zu halten.

Während seit Anbeginn der Zivilisation Rechtswissenschaftler und Philosophen kontinuierlich der Frage nachgehen, was erlaubt sein sollte und wie man dies formuliert, stehen Unternehmen bei dieser Frage im Kontext der Informationssicherheit meist noch am Anfang und vor allem alleine dar.

Dies führt bei der Einführung und beim Betrieb eines klassischen Security Information & Event Management (SIEM) zu erheblichen Problemen. Die saubere Definition von SIEM Use Cases – also jener Kontrollmechanismen, welche das Security Operation Center (SOC) im Falle eines Verstoßes automatisiert alarmieren sollen – hängt stark von der Qualität der Dokumentation, der Kontextdatenquellen wie CMDBs und nicht zuletzt dem Know-how der Stakeholder ab.

Die Übersetzung der Geschäftsprozesse auf IT-Ebene herunter ist meist lückenhaft oder gar nicht vorhanden. Ebenso typisch ist eine starke Diskrepanz zwischen dem eigentlich gewollten Normalzustand (Policies, Richtlinien, Guidelines) und der real gelebten IT-Welt eines Unternehmens. Trends wie IoT, Bring your own device und Mobile Computing erhöhen die Ungewissheit.

Dies führt zu folgendem Phänomen: Der reale Normalzustand ist unbekannt und vor allem ist die Menge des Erlaubten kleiner als angenommen. Dies bedeutet dass die Menge des „Unerlaubten“ als viel zu groß im Security Monitoring Tool hinterlegt wurde. Verstärkt wird dieser Effekt durch die Gefahr der „False Negatives“: Das Regelwerk wird „von unten“, d.h. im Zweifel lieber zu engmaschig als zu durchlässig definiert.

In der Konsequenz führt diese Vorgehensweise bei vielen SIEM-Use Cases zu einer großen Menge an „False Positives“. Übersteigt diese Menge einen kritischen Wert, so werden diese Use Cases nicht selten sogar bewusst deaktiviert. Der Wert für die Informationssicherheit geht gegen Null – ein möglicher Angriffsvektor bleibt offen.

Data Analytics als Vorbild

Die Aufgabenstellung ist eigentlich nicht neu. Auf Profit-Center Seite, beispielsweise in der Fraud Detection, werden in der Organisation seit Jahrzehnten Data Analytics-Methoden eingesetzt, welche den Normalzustand durch kontinuierliches Sammeln und Auswerten von Daten beschreiben und abstrahieren („Machine Learning“). Somit können Anomalien datenbasiert statt szenariobasiert erkannt werden.

Entsprechende Module für SIEM-Lösungen wie zum Beispiel „User Behaviour Analytics“ für den Marktführer Splunk gibt es seit Jahren auf dem Markt. Trotzdem sind diese nicht weit verbreitet, es fehlt an Geld, Ressourcen und vielleicht wird sogar das erste SIEM Investment als minderwertig angesehen. Man ist gerade erst am Anfang des Reifeprozesses. Belastbare Analysen auf Security-Daten sind in weiter Ferne und das obwohl das Risiko das nächste Opfer zu sein spürbar zunimmt.

Paradoxerweise ist (zumindest teilweise) das notwendige Wissen und vor allem die Tools an anderen Stellen in der Organisation vorhanden. Hier ruhen gewaltige, ungehobene Synergien. Das Zusammenführen der Disziplinen – Informationssicherheit und Data Analytics – kann helfen, die Lücke, die auf Security Seite durch fehlende Budgets und die allgegenwärtige Ressourcenknappheit entstanden ist, zu schließen.

Der SOC-Analyst, der die mitunter gewaltige Anzahl an (falschen) Alerts bearbeitet und der SIEM-Ingenieur, der kontinuierlich das Regelwerk optimiert und erweitert, müssen ihre Aufgaben verstärkt als Problemstellung der Datenanalyse verstehen und entsprechend behandeln. Ein nicht zu vernachlässigender Nebeneffekt ist eine gestiegene Attraktivität der Aufgaben im SOC-Umfeld.

Die szenariobasierte Herangehensweise kann in der Security allerdings nie ganz außer Acht gelassen werden. Das Risiko die KI „falsch Anzulernen“ beispielsweise durch eine zu stark eingeschliffene, riskante Verhaltensweise wie das Ausführen von Routine Aufgaben mit kritischen Rechten oder im Worst-Case sogar durch eine bereits eingenistete APT, kann das Security Monitoring genauso aushebeln wie nicht modellierte Prozesse. Bis zur Utopie der vollkommen autargen Detektion ist es noch ein sehr langer Weg.

IBM-Watson hilft bereits: Am Ende der Kette

Spricht man von KI, so dauert es meist nicht lange bis „IBM Watson“ genannt wird. Die wohl bekannteste KI der Welt hat ihren Einzug in die Welt der IT-Security gefunden. Der IBM QRadar Advisor with Watson kann bereits detektierte Sicherheitsvorfälle als Cloud-Lösung kognitiv bewerten. Enorme Qualitäts- und Zeitgewinne in der Nachbearbeitung der Vorfälle sind die Folge. Watson sagt dem SOC-Analysten in Sekunden ob und welcher Hacking Kampagne die gefundene Malware zugeordnet werden kann und wie weiter vorzugehen ist. Im Falle der prominenten WannaCry kein großer Wert, bei kleineren Kampagnen kann dieser durchaus kritisch sein.

Wann IBM Watson an vorderster Front – in der Detektion – mithelfen wird, ist schwer abzusehen, dass er es eines Tages tun wird ist wahrscheinlich. Die Frage, ob und inwieweit der Superstar unter den Künstlichen Intelligenzen sein Potential in der heterogenen Welt des Security Monitorings ausspielen kann, ist spannend. Sich darauf zu verlassen auch.

Hans Peter Fischer

 

Autor: Hans-Peter Fischer ist Partner im Bereich Security Consulting der KPMG AG Wirtschaftsprüfungsgesellschaft
 

 
GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt