VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Cyber Attack

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk besteht darin, dass sich ihr Verhalten an das normale Benutzerverhalten anpasst. Angreifer suchen als erstes nach den Netzwerk-Admin-Tools, da diese standardmäßig vertrauenswürdig sind.

Vectra, Experte für automatisierte Sicherheitsanalytik durch künstliche Intelligenz und maschinellem Lernen, beschreibt, wie der Missbrauch von Admin-Tools dennoch enttarnt werden kann.

Den Unterschied zwischen dem Verhalten des Angreifers und dem akzeptablen Benutzerverhalten ist anspruchsvoll. Dabei geht es darum, Nuancen zwischen den beiden Verhaltensmustern zu erkennen und in einem größeren Kontext zu betrachten, wie sich das Bedrohungsverhalten im Angriffszyklus entwickelt. Es ist noch schwieriger, angriffstypisches Verhalten zu erkennen, wenn die Angreifer Zugriff auf Sicherheitstools haben, die bereits im Netzwerk ausgeführt werden. Zum Beispiel ist ein Softwareverteilungstool wie Microsoft SCCM in einem Unternehmen völlig legitim. Aber es erzeugt ein Hintergrundrauschen, welches wie die Remote-Ausführung von Dateien aussieht, also genau das, was ein Angreifer tun würde.

Sicherheitstools müssen Filter erstellen, um dieses Rauschen zu entfernen. Es handelt sich jedoch wahrscheinlich um einen Angriff, wenn die Maschine Befehle ausführt, die nicht vertrauenswürdig sind. Den meisten Sicherheitstools fehlt dieses Angreiferverhalten, weil sie das zugehörige Rauschen bereits herausgefiltert haben. Angreifer wissen, wie diese Sicherheitstools funktionieren.

Mit Cognito bietet Vectra, führend in der automatisierten Erkennung bereits stattfindende Cyberangriffe mittels künstlicher Intelligenz (KI), eine KI-basierte Plattform für das Entdecken und Erkennen von Cyberbedrohungen. Wie solch eine Plattform vorgeht, erklärt das folgende Praxisbeispiel:

In der jüngsten Pen-Test-Übung bei einem Fertigungsunternehmen erwarb das rote Team heimlich Zugang zu einem Nessus-Scanner, der normalerweise vom blauen Team verwendet wird, um nach exponierten Anlagen zu suchen. Das blaue Team hat dem Sicherheitsteam schon frühzeitig über den Nessus-Scanner unterrichtet, wie und von wem dieser benutzt wird. Das Sicherheitsteam wollte wissen, wann Scans auftreten, und wollte nicht, dass Nessus-Scans als Angriffe interpretiert werden, weil sie ein bestimmtes Verhalten darstellen. Das würde den Sicherheitsanalytikern mehr Arbeit bringen. Es ist die Aufgabe von Vectra Cognito, den Lärm herauszufiltern, damit sich Sicherheitsanalytiker eingehendere Untersuchungen von Vorfällen konzentrieren, Probleme beheben und lernen können, wie sich das Netzwerk anpassen lässt.

Als der Pen-Test weiterging, bemerkte die Sicherheitsplattform mehrere Erkundungen und seitliches Bewegungsverhalten, die vom Nessus-Scanner ausgingen. Dies trat in einer Sequenz auf, wie es vorher nicht zu sehen war, was den Schluss nahelegte, dass ein Unbefugter den Nessus-Scanner gekapert hatte. Das erste erkannte Verhalten des Angreifers waren klassische IP-Port-Sweeps und Port-Scans. Hinzu kam eine große Anzahl von internen Darknet-Scans gegen IP-Bereiche, die das Sicherheitsteam normalerweise nicht scannen würde.

Um Zeit zu sparen, wurden das Angriffsverhalten und die Kontextinformationen so korreliert, dass das blaue Team sehen konnte, dass das rote Team versucht hat, Hosts in Subnetzbereichen zu finden, die zuvor nicht im Netzwerk vorhanden waren.

Es folgte eine weitere Überwachung der Netzwerk-Scan-Aktivität. Obwohl das Verhalten bei der Erkennung verdächtig war, stufte die künstliche Intelligenz die Aktivitäten als einen mittleren Bedrohungsgrad ein, da später im Angriffszyklus keine damit verbundenen Verhaltensweisen darauf hindeuteten, dass ein Angreifer tiefer in das Netzwerk eingedrungen war.

Nach dem Scannen für einige Zeit, bemerkte die Plattform, dass das rote Team eine Reihe von Servern entdeckt hatte, die anfällige Datenbanken und eine Datenbank mit schwachen Admin-Passwörter ausführten. Damit war schnell klar, dass das rote Team in die laterale Bewegungsphase des Angriffszyklus überging, die eine SQL-Injektion, automatisierte Replikation und einen Brute-Force-Angriff gegen die Admin-Passwörter beinhaltete.

In Echtzeit korrelierte die künstliche Intelligenz alle diese Angreiferverhaltensmuster mit dem Host, der vom roten Team und den Servern im Rechenzentrum verwendet wurde, das sie kompromittiert hatten. Beim Betrachten der Angriffe durch den Angriffszyklus wies Vectra Cognito dem Vorgang einen kritischen Bedrohungswert und einen hohen Sicherheitslevel zu.

Die blauen Teamkollegen hatten schnell Maßnahmen ergriffen, um das rote Team zu isolieren und es zu stoppen, bevor es zu noch gefährlicheren Angriffsphasen wie der Datenexfiltration übergehen konnte. Genau dies gelang es mittels künstlicher Intelligenz zu verhindern.

www.vectra.ai
 

GRID LIST
Hacker im Visir

Drittanbieter-Software im Fokus von Hackern – was können MSP tun?

Der traditionelle Ansatz der IT lautet: Wenn dein Betriebssystem gepatcht ist, dann ist…
KI Security

Falsche Abwehrstrategie zwingt die IT-Sicherheitsbranche in Aufrüstspirale

Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als…
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security