Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

Tatort

Gerade zum bevorstehenden Jahreswechsel schießen die Spekulationen über kommende Entwicklungen im Bereich IT-Sicherheit ins Kraut. Dabei werden sehr häufig Produktkategorien und Technologien mit häufig unklaren Definitionen verwendet und einander gegenübergestellt. Dies gilt beispielsweise auch für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz und den Einsatz von SIEM (Security Information and Event-Management).

Worin sich diese Konzepte unterscheiden, bringt Gérard Bauer, VP EMEA bei Vectra, so auf den Punkt: „Wo keine Leiche ist, gibt’s kein Verbrechen.“

Was überraschend klingt, erklärt der Experte von Vectra:

SIEMs sammeln Security-Event-Logs einer großen Anzahl unterschiedlicher Systeme ein – darunter PCs, Server, Authentifizierungssysteme, Firewalls und vieles mehr. Dazu kann auch eine Lösung für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz gehören. Event-Logs halten fest, was an einzelnen Systemen und in Netzwerken geschieht. Wenn IT-Teams die Events in den Log-Daten dann untersuchen, können sie Aktivitäten nachspüren, auf Events reagieren und ihre Systeme schützen.

Weil die Zahl der Event-Logs pro Tag in einem Unternehmen leicht in die Millionen geht, sollen SIEM-Systeme all diese Security-Alarme der Anwendungen und der Netzwerk-Hardware speichern und zugleich in Echtzeit analysieren.

Ein kluger Angreifer weiß allerdings, dass Event-Logs typischerweise eher Stapel für Stapel als in Echtzeit auf den Weg gebracht werden. Man will den Einfluss reduzieren, den ein steter Strom großer Log-Mengen von allen nur denkbaren Geräten auf die Netzwerkverfügbarkeit haben kann.

Diese Praxis verschafft dem Angreifer ein Zeitfenster und damit eine Chance. Er kann sich auf der Betriebssystem-Ebene Zugang verschaffen und diesen auf das zugrundeliegende Logging-System ausdehnen. Schafft er es, die Log-Informationen über seinen administrativen Zugriff zu löschen, bevor diese gesendet werden, gibt es keine „Leiche“ mehr – und damit kein Verbrechen.

Abgesehen davon: Wenn es dem Angreifer gelingt, seine Authentifizierung am Zielsystem durchzuführen, ohne dass dies als Netzwerk-Anomalie auffällt und ohne dass Malware ins Spiel kommt, generieren auch die Netzwerk-Monitoring-Systeme keinerlei Logs. Und wieder gilt: Keine Leiche – kein Verbrechen.

Aufschlussreich ist in diesem Zusammenhang auch der NIST-Guide für Computer Security Log Management: „Die Zahl, der Umfang und der Variantenreichtum von Computer-Security-Logs haben in erheblichem Maße zugenommen. Aus diesem Grund ist es notwendig geworden, Security Log Management zu betreiben […]. Ein grundlegendes Problem des Log-Managements, das in vielen Organisationen zutage tritt, liegt darin, den Einsatz einer begrenzten Zahl von Log-Management-Ressourcen auf den ununterbrochenen Zustrom von Log-Daten abzustimmen.“

Stellt sich IT-Teams nun die Frage, wie es sich mit den Logs von Lösungen für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz (KI) verhält.

„Ein Event-Log einer solchen Lösung ist nicht dasselbe wie ein Event-Log von einem beliebigen anderen System. Ein Event-Log der KI-Lösung stellt nämlich eine Art Ermittlungsbericht dar – über die Verfolgung einer Bedrohung, die Analyse, die Bewertung, die Korrelation mit anderen Ereignissen und die Risikoeinstufung eines Geräts, an dem sich die Verhaltensweisen eines Angreifers gezeigt haben“, erklärt Gérard Bauer.

Ein Event-Log von einer Firewall oder einem Intrusion-Detection-System beruht demgegenüber auf einem Event, das lediglich eine einzelne Auffälligkeit im Netz dokumentiert, das Vorkommnis aber nicht im Gesamtbild eines Angriffs zeigt. Um solch einem isolierten Event auf den Grund zu gehen, muss ein Security-Analyst im SIEM viele weitere Events sichten und jedes anhand seiner denkbaren Auswirkungen auf die Organisation bewerten. Darüber hinaus muss er zusammenhängende Events auf einzelne Hosts im Zentrum einer Attacke hin korrelieren und schließlich diejenigen Hosts mitsamt den zugehörigen Events priorisieren, die unverzügliche Aufmerksamkeit und Aktionen erfordern.

Die Liste der Aktivitäten, die sich hieraus ergibt, nimmt leicht viele Stunden der Arbeitszeit eines Analysten in Anspruch – wobei er riskiert, während seiner Analyse historischer Anhaltspunkte, die vielleicht nicht einmal korrekt sein mögen, in Echtzeit auftretende neue und wichtige Events zu verpassen.

Ein Event-Log einer KI-Lösung lässt sich als Cybersecurity-Dossier verstehen. Die Analyseplattform auf Basis künstlicher Intelligenz überwacht kontinuierlich den Netzwerk-Traffic und spürt Bedrohungen auf. Manuelle, arbeitsintensive Triage, das Scoring von Bedrohungen, die Korrelation auf einzelne Hosts hin und die Priorisierung der Bedrohungen und der betroffenen Hosts laufen automatisiert ab. Die Resultate all dieser Schritte werden als umfassend vervollständigtes Angriffs-Event-Log ans SIEM übergeben – mit präzisen Informationen darüber, worauf die Analysten ihre Bemühungen konzentrieren sollten.

Vom Diebstahl der Admin-Credentials durch den Angreifer mag es keine Log-Informationen geben, und vielleicht fehlt auch jeder Hinweis auf Malware oder auf eine Anomalie.

Eine KI-Lösung aber erkennt sowohl die Aktivitäten des Remote-Access-Trojaners (RAT), der für den Zugriff auf Ihr Gerät benutzt wurde, als auch den Missbrauch der Protokolle für Anmeldung und Administration. Selbst dann, wenn der Angreifer auf Admin-Credentials von einem anderen System zurückgreift, erfasst die künstliche Intelligenz hinter dem KI-Angriffsreport die Zusammenhänge, denn sie korreliert die Vorgehensweisen von Angreifern über unterschiedlichste Geräte hinweg.

Haben dann all die anderen Logs im SIEM überhaupt noch irgendeinen Nutzen?

„Normalerweise würden Security-Teams in jenem Datenmeer ertrinken, das sich aus diesen Logs speist, weil es ohne Kontextinformationen einfach unmöglich ist, die richtigen Fragen zu stellen“, erklärt Gérard Bauer. „Das „Security-Dossier“-Log einer KI-Lösung aber liefert einen akkuraten Startpunkt dafür, im SIEM und den übrigen dort gesammelten Informationen eine wirklich erfolgversprechende Untersuchung zu einer Bedrohung zu starten.“

www.vectranetworks.com
 

GRID LIST
Tb W190 H80 Crop Int 59c0f6503daa36156da927e434e5a40f

Die 3 gefährlichsten Angriffsvektoren

Dieses Jahr hat Verizon bereits zum elften Mal seinen Data Breach Investigations Report…
Emergency

Fünf Must-haves für ein effektives Krisenmanagement

Everbridge, Spezialist für Critical Event Management, erläutert, wie Unternehmen bei…
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Schwachstellenmanagement ohne Priorisierung ist ein Ding der Unmöglichkeit

Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer…
Tb W190 H80 Crop Int 28ce87d7cd96844fa4f1f9d045c20067

Network Box schützt „Kronjuwelen“

Die IT-Branche in Deutschland wächst. Mittlerweile arbeiten rund eine Million Menschen in…
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Smarte News aus der IT-Welt