SIEM

Ohne Cyberleiche kein IT-Verbrechen

Gerade zum bevorstehenden Jahreswechsel schießen die Spekulationen über kommende Entwicklungen im Bereich IT-Sicherheit ins Kraut. Dabei werden sehr häufig Produktkategorien und Technologien mit häufig unklaren Definitionen verwendet und einander gegenübergestellt. Dies gilt beispielsweise auch für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz und den Einsatz von SIEM (Security Information and Event-Management).

Worin sich diese Konzepte unterscheiden, bringt Gérard Bauer, VP EMEA bei Vectra, so auf den Punkt: „Wo keine Leiche ist, gibt’s kein Verbrechen.“

Anzeige

Was überraschend klingt, erklärt der Experte von Vectra:

SIEMs sammeln Security-Event-Logs einer großen Anzahl unterschiedlicher Systeme ein – darunter PCs, Server, Authentifizierungssysteme, Firewalls und vieles mehr. Dazu kann auch eine Lösung für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz gehören. Event-Logs halten fest, was an einzelnen Systemen und in Netzwerken geschieht. Wenn IT-Teams die Events in den Log-Daten dann untersuchen, können sie Aktivitäten nachspüren, auf Events reagieren und ihre Systeme schützen.

Weil die Zahl der Event-Logs pro Tag in einem Unternehmen leicht in die Millionen geht, sollen SIEM-Systeme all diese Security-Alarme der Anwendungen und der Netzwerk-Hardware speichern und zugleich in Echtzeit analysieren.

Ein kluger Angreifer weiß allerdings, dass Event-Logs typischerweise eher Stapel für Stapel als in Echtzeit auf den Weg gebracht werden. Man will den Einfluss reduzieren, den ein steter Strom großer Log-Mengen von allen nur denkbaren Geräten auf die Netzwerkverfügbarkeit haben kann.

Diese Praxis verschafft dem Angreifer ein Zeitfenster und damit eine Chance. Er kann sich auf der Betriebssystem-Ebene Zugang verschaffen und diesen auf das zugrundeliegende Logging-System ausdehnen. Schafft er es, die Log-Informationen über seinen administrativen Zugriff zu löschen, bevor diese gesendet werden, gibt es keine „Leiche“ mehr – und damit kein Verbrechen.

Abgesehen davon: Wenn es dem Angreifer gelingt, seine Authentifizierung am Zielsystem durchzuführen, ohne dass dies als Netzwerk-Anomalie auffällt und ohne dass Malware ins Spiel kommt, generieren auch die Netzwerk-Monitoring-Systeme keinerlei Logs. Und wieder gilt: Keine Leiche – kein Verbrechen.

Aufschlussreich ist in diesem Zusammenhang auch der NIST-Guide für Computer Security Log Management: „Die Zahl, der Umfang und der Variantenreichtum von Computer-Security-Logs haben in erheblichem Maße zugenommen. Aus diesem Grund ist es notwendig geworden, Security Log Management zu betreiben […]. Ein grundlegendes Problem des Log-Managements, das in vielen Organisationen zutage tritt, liegt darin, den Einsatz einer begrenzten Zahl von Log-Management-Ressourcen auf den ununterbrochenen Zustrom von Log-Daten abzustimmen.“

Stellt sich IT-Teams nun die Frage, wie es sich mit den Logs von Lösungen für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz (KI) verhält.

„Ein Event-Log einer solchen Lösung ist nicht dasselbe wie ein Event-Log von einem beliebigen anderen System. Ein Event-Log der KI-Lösung stellt nämlich eine Art Ermittlungsbericht dar – über die Verfolgung einer Bedrohung, die Analyse, die Bewertung, die Korrelation mit anderen Ereignissen und die Risikoeinstufung eines Geräts, an dem sich die Verhaltensweisen eines Angreifers gezeigt haben“, erklärt Gérard Bauer.

Ein Event-Log von einer Firewall oder einem Intrusion-Detection-System beruht demgegenüber auf einem Event, das lediglich eine einzelne Auffälligkeit im Netz dokumentiert, das Vorkommnis aber nicht im Gesamtbild eines Angriffs zeigt. Um solch einem isolierten Event auf den Grund zu gehen, muss ein Security-Analyst im SIEM viele weitere Events sichten und jedes anhand seiner denkbaren Auswirkungen auf die Organisation bewerten. Darüber hinaus muss er zusammenhängende Events auf einzelne Hosts im Zentrum einer Attacke hin korrelieren und schließlich diejenigen Hosts mitsamt den zugehörigen Events priorisieren, die unverzügliche Aufmerksamkeit und Aktionen erfordern.

Die Liste der Aktivitäten, die sich hieraus ergibt, nimmt leicht viele Stunden der Arbeitszeit eines Analysten in Anspruch – wobei er riskiert, während seiner Analyse historischer Anhaltspunkte, die vielleicht nicht einmal korrekt sein mögen, in Echtzeit auftretende neue und wichtige Events zu verpassen.

Ein Event-Log einer KI-Lösung lässt sich als Cybersecurity-Dossier verstehen. Die Analyseplattform auf Basis künstlicher Intelligenz überwacht kontinuierlich den Netzwerk-Traffic und spürt Bedrohungen auf. Manuelle, arbeitsintensive Triage, das Scoring von Bedrohungen, die Korrelation auf einzelne Hosts hin und die Priorisierung der Bedrohungen und der betroffenen Hosts laufen automatisiert ab. Die Resultate all dieser Schritte werden als umfassend vervollständigtes Angriffs-Event-Log ans SIEM übergeben – mit präzisen Informationen darüber, worauf die Analysten ihre Bemühungen konzentrieren sollten.

Vom Diebstahl der Admin-Credentials durch den Angreifer mag es keine Log-Informationen geben, und vielleicht fehlt auch jeder Hinweis auf Malware oder auf eine Anomalie.

Eine KI-Lösung aber erkennt sowohl die Aktivitäten des Remote-Access-Trojaners (RAT), der für den Zugriff auf Ihr Gerät benutzt wurde, als auch den Missbrauch der Protokolle für Anmeldung und Administration. Selbst dann, wenn der Angreifer auf Admin-Credentials von einem anderen System zurückgreift, erfasst die künstliche Intelligenz hinter dem KI-Angriffsreport die Zusammenhänge, denn sie korreliert die Vorgehensweisen von Angreifern über unterschiedlichste Geräte hinweg.

Haben dann all die anderen Logs im SIEM überhaupt noch irgendeinen Nutzen?

„Normalerweise würden Security-Teams in jenem Datenmeer ertrinken, das sich aus diesen Logs speist, weil es ohne Kontextinformationen einfach unmöglich ist, die richtigen Fragen zu stellen“, erklärt Gérard Bauer. „Das „Security-Dossier“-Log einer KI-Lösung aber liefert einen akkuraten Startpunkt dafür, im SIEM und den übrigen dort gesammelten Informationen eine wirklich erfolgversprechende Untersuchung zu einer Bedrohung zu starten.“

www.vectranetworks.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.