Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Digitale GesichtKognitive Lösungen bieten ein großes Potenzial für die IT-Sicherheit von Unternehmen. Hans-Peter Fischer, Cyber Security-Experte bei KPMG, erklärt, wie mithilfe von KI-Anwendungen Anomalien schneller erkannt werden und Unternehmen dabei vorgehen sollten.

Eine der Erkenntnisse aus der Cyberattacke WannaCry – neben der noch überraschend großen Verbreitung von Windows XP – ist die Feststellung, dass Informationssicherheitsvorfälle im Allgemeinen weniger Schaden anrichten, wenn sie rechtzeitig erkannt werden – idealerweise noch bevor die Ausbreitung und der Fortschritt ein solches Ausmaß angenommen haben, dass ein Angriff für Außenstehende sichtbar wird.

Die große Frage ist: Wie lässt sich ein Angriff wie WannaCry im Ansatz erkennen und aufhalten?

Informationssicherheit muss den Normalzustand einer Organisation kennen

Wie hätte man früher erkennen können, dass etwas nicht stimmt? Betrachtet man das Problem abstrakt, stellt man fest, dass Informationssicherheit auch immer bedeutet, zwischen Erlaubtem und Unerlaubtem zu unterscheiden. Ähnlich wie ein Staat Gesetze definiert, muss ein Unternehmen vom Normalzustand abgeleitet Regeln entwickeln, welche Verletzungen der Informationssicherheit als solche definieren und erkennen. Es muss klare Regelungen treffen, wie bei Übertretung der Regeln zu verfahren ist, um den Schaden möglichst gering zu halten.

Während seit Anbeginn der Zivilisation Rechtswissenschaftler und Philosophen kontinuierlich der Frage nachgehen, was erlaubt sein sollte und wie man dies formuliert, stehen Unternehmen bei dieser Frage im Kontext der Informationssicherheit meist noch am Anfang und vor allem alleine dar.

Dies führt bei der Einführung und beim Betrieb eines klassischen Security Information & Event Management (SIEM) zu erheblichen Problemen. Die saubere Definition von SIEM Use Cases – also jener Kontrollmechanismen, welche das Security Operation Center (SOC) im Falle eines Verstoßes automatisiert alarmieren sollen – hängt stark von der Qualität der Dokumentation, der Kontextdatenquellen wie CMDBs und nicht zuletzt dem Know-how der Stakeholder ab.

Die Übersetzung der Geschäftsprozesse auf IT-Ebene herunter ist meist lückenhaft oder gar nicht vorhanden. Ebenso typisch ist eine starke Diskrepanz zwischen dem eigentlich gewollten Normalzustand (Policies, Richtlinien, Guidelines) und der real gelebten IT-Welt eines Unternehmens. Trends wie IoT, Bring your own device und Mobile Computing erhöhen die Ungewissheit.

Dies führt zu folgendem Phänomen: Der reale Normalzustand ist unbekannt und vor allem ist die Menge des Erlaubten kleiner als angenommen. Dies bedeutet dass die Menge des „Unerlaubten“ als viel zu groß im Security Monitoring Tool hinterlegt wurde. Verstärkt wird dieser Effekt durch die Gefahr der „False Negatives“: Das Regelwerk wird „von unten“, d.h. im Zweifel lieber zu engmaschig als zu durchlässig definiert.

In der Konsequenz führt diese Vorgehensweise bei vielen SIEM-Use Cases zu einer großen Menge an „False Positives“. Übersteigt diese Menge einen kritischen Wert, so werden diese Use Cases nicht selten sogar bewusst deaktiviert. Der Wert für die Informationssicherheit geht gegen Null – ein möglicher Angriffsvektor bleibt offen.

Data Analytics als Vorbild

Die Aufgabenstellung ist eigentlich nicht neu. Auf Profit-Center Seite, beispielsweise in der Fraud Detection, werden in der Organisation seit Jahrzehnten Data Analytics-Methoden eingesetzt, welche den Normalzustand durch kontinuierliches Sammeln und Auswerten von Daten beschreiben und abstrahieren („Machine Learning“). Somit können Anomalien datenbasiert statt szenariobasiert erkannt werden.

Entsprechende Module für SIEM-Lösungen wie zum Beispiel „User Behaviour Analytics“ für den Marktführer Splunk gibt es seit Jahren auf dem Markt. Trotzdem sind diese nicht weit verbreitet, es fehlt an Geld, Ressourcen und vielleicht wird sogar das erste SIEM Investment als minderwertig angesehen. Man ist gerade erst am Anfang des Reifeprozesses. Belastbare Analysen auf Security-Daten sind in weiter Ferne und das obwohl das Risiko das nächste Opfer zu sein spürbar zunimmt.

Paradoxerweise ist (zumindest teilweise) das notwendige Wissen und vor allem die Tools an anderen Stellen in der Organisation vorhanden. Hier ruhen gewaltige, ungehobene Synergien. Das Zusammenführen der Disziplinen – Informationssicherheit und Data Analytics – kann helfen, die Lücke, die auf Security Seite durch fehlende Budgets und die allgegenwärtige Ressourcenknappheit entstanden ist, zu schließen.

Der SOC-Analyst, der die mitunter gewaltige Anzahl an (falschen) Alerts bearbeitet und der SIEM-Ingenieur, der kontinuierlich das Regelwerk optimiert und erweitert, müssen ihre Aufgaben verstärkt als Problemstellung der Datenanalyse verstehen und entsprechend behandeln. Ein nicht zu vernachlässigender Nebeneffekt ist eine gestiegene Attraktivität der Aufgaben im SOC-Umfeld.

Die szenariobasierte Herangehensweise kann in der Security allerdings nie ganz außer Acht gelassen werden. Das Risiko die KI „falsch Anzulernen“ beispielsweise durch eine zu stark eingeschliffene, riskante Verhaltensweise wie das Ausführen von Routine Aufgaben mit kritischen Rechten oder im Worst-Case sogar durch eine bereits eingenistete APT, kann das Security Monitoring genauso aushebeln wie nicht modellierte Prozesse. Bis zur Utopie der vollkommen autargen Detektion ist es noch ein sehr langer Weg.

IBM-Watson hilft bereits: Am Ende der Kette

Spricht man von KI, so dauert es meist nicht lange bis „IBM Watson“ genannt wird. Die wohl bekannteste KI der Welt hat ihren Einzug in die Welt der IT-Security gefunden. Der IBM QRadar Advisor with Watson kann bereits detektierte Sicherheitsvorfälle als Cloud-Lösung kognitiv bewerten. Enorme Qualitäts- und Zeitgewinne in der Nachbearbeitung der Vorfälle sind die Folge. Watson sagt dem SOC-Analysten in Sekunden ob und welcher Hacking Kampagne die gefundene Malware zugeordnet werden kann und wie weiter vorzugehen ist. Im Falle der prominenten WannaCry kein großer Wert, bei kleineren Kampagnen kann dieser durchaus kritisch sein.

Wann IBM Watson an vorderster Front – in der Detektion – mithelfen wird, ist schwer abzusehen, dass er es eines Tages tun wird ist wahrscheinlich. Die Frage, ob und inwieweit der Superstar unter den Künstlichen Intelligenzen sein Potential in der heterogenen Welt des Security Monitorings ausspielen kann, ist spannend. Sich darauf zu verlassen auch.

Hans Peter Fischer

 

Autor: Hans-Peter Fischer ist Partner im Bereich Security Consulting der KPMG AG Wirtschaftsprüfungsgesellschaft
 

 
GRID LIST
Tb W190 H80 Crop Int 022fcb3300800252d034b5a8c131ecf2

Der Virenrückblick Dezember 2018

Im Dezember 2018 standen verschiedene PC-Schädlinge, die insbesondere für das…
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Smarte News aus der IT-Welt