Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Cyber Attack

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk besteht darin, dass sich ihr Verhalten an das normale Benutzerverhalten anpasst. Angreifer suchen als erstes nach den Netzwerk-Admin-Tools, da diese standardmäßig vertrauenswürdig sind.

Vectra, Experte für automatisierte Sicherheitsanalytik durch künstliche Intelligenz und maschinellem Lernen, beschreibt, wie der Missbrauch von Admin-Tools dennoch enttarnt werden kann.

Den Unterschied zwischen dem Verhalten des Angreifers und dem akzeptablen Benutzerverhalten ist anspruchsvoll. Dabei geht es darum, Nuancen zwischen den beiden Verhaltensmustern zu erkennen und in einem größeren Kontext zu betrachten, wie sich das Bedrohungsverhalten im Angriffszyklus entwickelt. Es ist noch schwieriger, angriffstypisches Verhalten zu erkennen, wenn die Angreifer Zugriff auf Sicherheitstools haben, die bereits im Netzwerk ausgeführt werden. Zum Beispiel ist ein Softwareverteilungstool wie Microsoft SCCM in einem Unternehmen völlig legitim. Aber es erzeugt ein Hintergrundrauschen, welches wie die Remote-Ausführung von Dateien aussieht, also genau das, was ein Angreifer tun würde.

Sicherheitstools müssen Filter erstellen, um dieses Rauschen zu entfernen. Es handelt sich jedoch wahrscheinlich um einen Angriff, wenn die Maschine Befehle ausführt, die nicht vertrauenswürdig sind. Den meisten Sicherheitstools fehlt dieses Angreiferverhalten, weil sie das zugehörige Rauschen bereits herausgefiltert haben. Angreifer wissen, wie diese Sicherheitstools funktionieren.

Mit Cognito bietet Vectra, führend in der automatisierten Erkennung bereits stattfindende Cyberangriffe mittels künstlicher Intelligenz (KI), eine KI-basierte Plattform für das Entdecken und Erkennen von Cyberbedrohungen. Wie solch eine Plattform vorgeht, erklärt das folgende Praxisbeispiel:

In der jüngsten Pen-Test-Übung bei einem Fertigungsunternehmen erwarb das rote Team heimlich Zugang zu einem Nessus-Scanner, der normalerweise vom blauen Team verwendet wird, um nach exponierten Anlagen zu suchen. Das blaue Team hat dem Sicherheitsteam schon frühzeitig über den Nessus-Scanner unterrichtet, wie und von wem dieser benutzt wird. Das Sicherheitsteam wollte wissen, wann Scans auftreten, und wollte nicht, dass Nessus-Scans als Angriffe interpretiert werden, weil sie ein bestimmtes Verhalten darstellen. Das würde den Sicherheitsanalytikern mehr Arbeit bringen. Es ist die Aufgabe von Vectra Cognito, den Lärm herauszufiltern, damit sich Sicherheitsanalytiker eingehendere Untersuchungen von Vorfällen konzentrieren, Probleme beheben und lernen können, wie sich das Netzwerk anpassen lässt.

Als der Pen-Test weiterging, bemerkte die Sicherheitsplattform mehrere Erkundungen und seitliches Bewegungsverhalten, die vom Nessus-Scanner ausgingen. Dies trat in einer Sequenz auf, wie es vorher nicht zu sehen war, was den Schluss nahelegte, dass ein Unbefugter den Nessus-Scanner gekapert hatte. Das erste erkannte Verhalten des Angreifers waren klassische IP-Port-Sweeps und Port-Scans. Hinzu kam eine große Anzahl von internen Darknet-Scans gegen IP-Bereiche, die das Sicherheitsteam normalerweise nicht scannen würde.

Um Zeit zu sparen, wurden das Angriffsverhalten und die Kontextinformationen so korreliert, dass das blaue Team sehen konnte, dass das rote Team versucht hat, Hosts in Subnetzbereichen zu finden, die zuvor nicht im Netzwerk vorhanden waren.

Es folgte eine weitere Überwachung der Netzwerk-Scan-Aktivität. Obwohl das Verhalten bei der Erkennung verdächtig war, stufte die künstliche Intelligenz die Aktivitäten als einen mittleren Bedrohungsgrad ein, da später im Angriffszyklus keine damit verbundenen Verhaltensweisen darauf hindeuteten, dass ein Angreifer tiefer in das Netzwerk eingedrungen war.

Nach dem Scannen für einige Zeit, bemerkte die Plattform, dass das rote Team eine Reihe von Servern entdeckt hatte, die anfällige Datenbanken und eine Datenbank mit schwachen Admin-Passwörter ausführten. Damit war schnell klar, dass das rote Team in die laterale Bewegungsphase des Angriffszyklus überging, die eine SQL-Injektion, automatisierte Replikation und einen Brute-Force-Angriff gegen die Admin-Passwörter beinhaltete.

In Echtzeit korrelierte die künstliche Intelligenz alle diese Angreiferverhaltensmuster mit dem Host, der vom roten Team und den Servern im Rechenzentrum verwendet wurde, das sie kompromittiert hatten. Beim Betrachten der Angriffe durch den Angriffszyklus wies Vectra Cognito dem Vorgang einen kritischen Bedrohungswert und einen hohen Sicherheitslevel zu.

Die blauen Teamkollegen hatten schnell Maßnahmen ergriffen, um das rote Team zu isolieren und es zu stoppen, bevor es zu noch gefährlicheren Angriffsphasen wie der Datenexfiltration übergehen konnte. Genau dies gelang es mittels künstlicher Intelligenz zu verhindern.

www.vectra.ai
 

GRID LIST
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Smarte News aus der IT-Welt