Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Cyber Attack

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk besteht darin, dass sich ihr Verhalten an das normale Benutzerverhalten anpasst. Angreifer suchen als erstes nach den Netzwerk-Admin-Tools, da diese standardmäßig vertrauenswürdig sind.

Vectra, Experte für automatisierte Sicherheitsanalytik durch künstliche Intelligenz und maschinellem Lernen, beschreibt, wie der Missbrauch von Admin-Tools dennoch enttarnt werden kann.

Den Unterschied zwischen dem Verhalten des Angreifers und dem akzeptablen Benutzerverhalten ist anspruchsvoll. Dabei geht es darum, Nuancen zwischen den beiden Verhaltensmustern zu erkennen und in einem größeren Kontext zu betrachten, wie sich das Bedrohungsverhalten im Angriffszyklus entwickelt. Es ist noch schwieriger, angriffstypisches Verhalten zu erkennen, wenn die Angreifer Zugriff auf Sicherheitstools haben, die bereits im Netzwerk ausgeführt werden. Zum Beispiel ist ein Softwareverteilungstool wie Microsoft SCCM in einem Unternehmen völlig legitim. Aber es erzeugt ein Hintergrundrauschen, welches wie die Remote-Ausführung von Dateien aussieht, also genau das, was ein Angreifer tun würde.

Sicherheitstools müssen Filter erstellen, um dieses Rauschen zu entfernen. Es handelt sich jedoch wahrscheinlich um einen Angriff, wenn die Maschine Befehle ausführt, die nicht vertrauenswürdig sind. Den meisten Sicherheitstools fehlt dieses Angreiferverhalten, weil sie das zugehörige Rauschen bereits herausgefiltert haben. Angreifer wissen, wie diese Sicherheitstools funktionieren.

Mit Cognito bietet Vectra, führend in der automatisierten Erkennung bereits stattfindende Cyberangriffe mittels künstlicher Intelligenz (KI), eine KI-basierte Plattform für das Entdecken und Erkennen von Cyberbedrohungen. Wie solch eine Plattform vorgeht, erklärt das folgende Praxisbeispiel:

In der jüngsten Pen-Test-Übung bei einem Fertigungsunternehmen erwarb das rote Team heimlich Zugang zu einem Nessus-Scanner, der normalerweise vom blauen Team verwendet wird, um nach exponierten Anlagen zu suchen. Das blaue Team hat dem Sicherheitsteam schon frühzeitig über den Nessus-Scanner unterrichtet, wie und von wem dieser benutzt wird. Das Sicherheitsteam wollte wissen, wann Scans auftreten, und wollte nicht, dass Nessus-Scans als Angriffe interpretiert werden, weil sie ein bestimmtes Verhalten darstellen. Das würde den Sicherheitsanalytikern mehr Arbeit bringen. Es ist die Aufgabe von Vectra Cognito, den Lärm herauszufiltern, damit sich Sicherheitsanalytiker eingehendere Untersuchungen von Vorfällen konzentrieren, Probleme beheben und lernen können, wie sich das Netzwerk anpassen lässt.

Als der Pen-Test weiterging, bemerkte die Sicherheitsplattform mehrere Erkundungen und seitliches Bewegungsverhalten, die vom Nessus-Scanner ausgingen. Dies trat in einer Sequenz auf, wie es vorher nicht zu sehen war, was den Schluss nahelegte, dass ein Unbefugter den Nessus-Scanner gekapert hatte. Das erste erkannte Verhalten des Angreifers waren klassische IP-Port-Sweeps und Port-Scans. Hinzu kam eine große Anzahl von internen Darknet-Scans gegen IP-Bereiche, die das Sicherheitsteam normalerweise nicht scannen würde.

Um Zeit zu sparen, wurden das Angriffsverhalten und die Kontextinformationen so korreliert, dass das blaue Team sehen konnte, dass das rote Team versucht hat, Hosts in Subnetzbereichen zu finden, die zuvor nicht im Netzwerk vorhanden waren.

Es folgte eine weitere Überwachung der Netzwerk-Scan-Aktivität. Obwohl das Verhalten bei der Erkennung verdächtig war, stufte die künstliche Intelligenz die Aktivitäten als einen mittleren Bedrohungsgrad ein, da später im Angriffszyklus keine damit verbundenen Verhaltensweisen darauf hindeuteten, dass ein Angreifer tiefer in das Netzwerk eingedrungen war.

Nach dem Scannen für einige Zeit, bemerkte die Plattform, dass das rote Team eine Reihe von Servern entdeckt hatte, die anfällige Datenbanken und eine Datenbank mit schwachen Admin-Passwörter ausführten. Damit war schnell klar, dass das rote Team in die laterale Bewegungsphase des Angriffszyklus überging, die eine SQL-Injektion, automatisierte Replikation und einen Brute-Force-Angriff gegen die Admin-Passwörter beinhaltete.

In Echtzeit korrelierte die künstliche Intelligenz alle diese Angreiferverhaltensmuster mit dem Host, der vom roten Team und den Servern im Rechenzentrum verwendet wurde, das sie kompromittiert hatten. Beim Betrachten der Angriffe durch den Angriffszyklus wies Vectra Cognito dem Vorgang einen kritischen Bedrohungswert und einen hohen Sicherheitslevel zu.

Die blauen Teamkollegen hatten schnell Maßnahmen ergriffen, um das rote Team zu isolieren und es zu stoppen, bevor es zu noch gefährlicheren Angriffsphasen wie der Datenexfiltration übergehen konnte. Genau dies gelang es mittels künstlicher Intelligenz zu verhindern.

www.vectra.ai
 

GRID LIST
Whatsapp Hacker

Woran uns der Whatsapp-Hack erinnert

Nur selten bekommt der gemeine Nutzer oder die Öffentlichkeit mit, wenn ein raffinierter…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

Phishing-Attacken bei WordPress & eBay

Derzeit finden wieder besonders perfide Phishing-Attacken statt – im Visier von…
WannaCry

Aktuelle Sicherheitslücke bei Microsoft - Ein WannaCry Deja-vu?

Die Sicherheitslücke, die Microsoft am Dienstag bekannt gegeben hat, ist groß.…
Apple-Geräte

Apple-Geräte erlauben Datenklau und stürzen ab

Ein internationales Forscherteam unter Beteiligung der TU Darmstadt hat Sicherheits- und…
Hacker

Plead Malware attackiert Asus Cloud-Speicherdienst

ESET-Forscher haben eine neue Form des Schadprogramms Plead entdeckt. Dieser manipuliert…
Meltdown

YAM: Neue Meltdown-artige Schwachstelle

Meltdown und Spectre machten im Januar 2018 Schlagzeilen: Sicherheitslücken in…