VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

KI - Cyber Security

Vectra, Anbieter von IT-Sicherheitslösungen auf Basis künstlicher Intelligenz, beurteilt die gegenwärtig als „Allheilmittel“ gegen Cyberattacken proklamierte Fokussierung auf Anomalie-Erkennung.

Das Unternehmen hält diesen Trend für hochgradig irreführend. Nach Meinung von Vectra liegt das zentrale Problem darin, dass Abnormitäten-Erkennung zu stark verallgemeinert: Jedes normale Verhalten gilt als gut, jedes unnormale als schlecht – Abstufungen und Kontext bleiben dabei unbeachtet. Wo pure Anomalie-Erkennung zum Zuge kommt, verschwimmen die Grenzen zwischen Anwenderverhalten und Angreiferverhalten, obwohl sich beide fundamental unterscheiden. Dies kann unerwünschte Folgen haben.

Gérard Bauer, VP EMEA bei Vectra, gibt zu bedenken: „Menschen tun doch alles Notwenige, um ihre Jobs erledigen zu können – und so lesen sie E-Mails auch dann, wenn sie im Ausland Urlaub machen, und sie loggen sich durchaus einmal morgens um drei Uhr ein und laden Dateien herunter, weil sie mit Ideen für ein neues Projekt aufgewacht sind. Solche gut gemeinten Aktivitäten können dann verdächtig erscheinen. Gleichzeitig gilt, dass ausgefuchste Cyber-Kriminelle besonders gut darin sind, akzeptierte Praktiken nachzuahmen und ihre Aktivitäten unter ganz normale Vorgänge zu mischen. Die Konsequenz: Anbieter von Anomalie-Erkennungslösungen picken mit größerer Wahrscheinlichkeit gute Mitarbeiter heraus, die bei ihrer Arbeit lediglich etwas unkonventionell vorgehen, als dass sie tatsächlich einen Angreifer identifizieren und bloßstellen.“

Zum besseren Verständnis liefert Vectra den folgenden Vergleich: Man kann Abnormitäten-Erkennung mit der Polizeipraxis anlassloser, blinder Durchsuchungen vergleichen. 2015 beispielsweise fand man in New York bei 99,5 Prozent aller entsprechenden Zugriffe auf verdächtig erscheinende Personen keinerlei Schusswaffen. Zehntausende von Durchsuchungen und nur eine Handvoll Waffen. Anders ausgedrückt: Um die geringe Zielsicherheit wahlloser Durchsuchungen wettzumachen, muss man hohen Personalaufwand und Ineffizienz akzeptieren. Stellt man aber diesem Vorgehen einmal Durchsuchungen gegenüber, bei denen ein Terahertz-Detektor (T-Ray) eingesetzt wird, der unaufdringlich und schnell ein Wärmebild einer Person liefert, dann ändert sich das Bild. Trägt jemand eine verborgene Waffe, hebt sich deren kaltes Abbild als Umriss vor dem warmen menschlichen Körper ab. Um die Analogie zu Ende zu führen: Der Erkennung von abnormalem Verhalten fußt auf dem Cybersecurity-Äquivalent des „Racial Profilings“, also jener Praxis, Menschen allein aufgrund äußerer Merkmale als verdächtig einzuschätzen – weil die Technik einfach auf alles reagiert, was grundsätzlich „anders“ ist.

„Der „T-Ray“-Methode aus dem Beispiel entspricht im Umfeld von Cybersicherheit die Nutzung künstlicher Intelligenz. Ich empfehle diese dazu einzusetzen, um zwischen den allzu allgemein gefassten und allzu leicht irreführenden „unnormalen Verhaltensweisen“ und den hervorstechenden, sehr spezifischen Identifikationsmerkmalen echten Angreiferverhaltens zu unterscheiden“, erklärt Gérard Bauer.

Die Hersteller Lösungen, die rein auf die Erkennung von Anomalien setzen, verlangen von Cybersecurity-Analysten, jedes einzelne verdächtige Event im Detail zu untersuchen, ob nun wirklich etwas dahintersteckt oder nicht – getreu der These: „Wo Rauch ist, ist auch Feuer“. Bei anomalem Verhalten hat man es aber mit Unmengen von Rauch zu tun, ohne dass es irgendwo brennt, während die Security-Analysten jedem noch so kleinen Rauchfähnchen hinterherjagen müssen, bei der Verfolgung falscher Fährten Zeit und Geld verbrennen und zugleich blind bleiben für die echten Bedrohungen.

Wer hat dafür Zeit und Geld? Und, was noch wichtiger ist, wer setzt schon gern sein intellektuelles Eigentum und den Ruf seines Unternehmens für einen Security-Ansatz aufs Spiel, der derartige Mängel hat?

Ein weitere Phänomen, das dieses „zu grobe“ Vorgehen fragwürdig macht, sind Insider-Attacken. Die Anzeichen für Bedrohungen von innen können ebenfalls in die Irre führen. „Es hat einige spektakuläre Hacks gegeben, bei denen anomales Verhalten eine Rolle spielte, wie etwa die Weitergabe klassifizierter Informationen durch Edward Snowden“, so Gérard Bauer. „Die eindeutige Überzahl der Angriffe von innen war aber deshalb erfolgreich, weil es gelang, das Vorgehen unter normalen Aktivitäten zu verbergen. Die Attacken wurden erst lange Zeit nach den umfangreichen Schäden entdeckt, die sie verursacht hatten.“

Beim Scheinkonten-Skandal bei Wells Fargo in den USA sah es so aus, als würden die Angestellten ganz einfach ihren Job machen – nur eben ein wenig „zu gut“, wie sich später herausstellte. Sie kannten und nutzten die Standard-Prozesse, und sie setzten ihre Anmeldedaten ordnungsgemäß ein. Sie überschritten weder ihre Zugangs- noch ihre Zugriffsberechtigungen.

„Ausgefeilte Cyberattacken zeigen meist das gleiche Verhalten. Sie mischen sich unters normale Geschehen – und wenn das Security-Team nicht gezielt nach Zeichen für Angriffsverhalten sucht statt nur auf bloße Abnormitäten zu achten, hat es keine wirkliche Chance, diesen Attacken Paroli zu bieten“, fasst Gérard Bauer abschließend zusammen. “Das ist die hässliche Wahrheit über den mäßigen Wert simpler Anomalie-Erkennung.“ 

www.vectranetworks.com
 

GRID LIST
Tb W190 H80 Crop Int D2e97c879f93358a07f6423857d2138e

Backup und Datensicherheit wachsen zusammen

Backup ist nicht mehr nur Datensicherung und Wiederherstellung. Alleine die Kriterien an…
Marina Kidron

Damit aus Double Kill kein Overkill wird - Schutz vor neuer Angriffsmethode

Bei der kürzlich aufgedeckten Double-Kill-Schwachstelle wurde eine einzigartige…
Phishing

So machen KMU das Einfallstor Phishing dicht

Cyber-Kriminelle haben es immer häufiger auf das exklusive Know-how deutscher…
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security