Automatisierte Angriffserkennung

Das Netzwerk vor Cloud-Eindringlingen schützen

| Autor / Redakteur: Gérard Bauer / Peter Schmitz

Was für herkömmliche IT-Umgebungen gilt, gilt auch für die Cloud: Auch moderne präventive Sicherheitsmaßnahmen können einen erfolgreichen Cyberangriff nicht hundertprozentig verhindern.
Was für herkömmliche IT-Umgebungen gilt, gilt auch für die Cloud: Auch moderne präventive Sicherheitsmaßnahmen können einen erfolgreichen Cyberangriff nicht hundertprozentig verhindern. (Bild: Pixabay / CC0)

IT-Sicherheitsverantwortliche stehen zunehmend vor einer großen Herausforderung, wenn es darum geht, die IT-Infrastruktur zu schützen, obwohl deren Oberfläche durch Cloud-Migration immens vergrößert wird. Künstliche Intelligenz kann helfen in Echtzeit Eindringlinge zu erkennen, bevor diese im Nebel der Cloud Schäden anrichten.

Laut Microsoft Security Intelligence Report haben Cyberangriffe auf Cloudbasierte Benutzerkonten von Microsoft im Vergleich zum Vorjahr um 300 Prozent (Q1-2016 bis Q1-2017) zugenommen. Und die Anzahl der versuchten Kontoanmeldungen über schädliche IP-Adressen nahm im ersten Quartal 2017 um 44 Prozent gegenüber dem Vorjahr zu. Diese Zahlen waren kürzlich in einem Beitrag auf Security-insider.de zu lesen, darin äußerte sich auch Michael Kranawetter, National Security Officer bei Microsoft Deutschland: „Die Bedrohungslandschaft von Cyberattacken ist einem ständigen Wandel unterzogen. In dieser digitalen und damit stark vernetzten Welt kommt es darauf an, aktuelle Bedrohungslagen in Echtzeit zu erkennen und Schwachstellen oder Einfallstore schnell zu schließen.“

Die genannten Zahlen, die sich wandelnde Bedrohungslandschaft und die Cloud als erweiterte Angriffsfläche stellen in der Tat große Herausforderungen dar. Dies gilt für Unternehmen, die sich besser schützen müssen und für die Sicherheitsbranche, die Lösungen liefern muss. „Besser“ schützen bedeutet vor allem eine effektivere, aber auch effizientere Sicherheitsstrategie. Den immer zahlreicheren, zunehmend automatisierten Bedrohungen aus verschiedenen Angriffsvektoren und auf einer wachsenden Angriffsfläche mit hohem manuellen Aufwand nachzujagen, ist alles andere als effizient. In der digitalen und somit stark vernetzten Welt kommt es darauf an, aktuelle Bedrohungslagen in Echtzeit zu erkennen und Schwachstellen oder Einfallstore schnell zu schließen. Lösungen dafür gibt es bereits, sie basieren auf künstlicher Intelligenz (KI), maschinellem Lernen (ML) und Data Science. Diese Kombination hat sich in der Praxis als zuverlässig erwiesen, sie arbeitet gründlich und rund um die Uhr. Auf diese Weise entlastet sie Mitarbeiter in Unternehmen und schließt personelle Lücken in der Cybersicherheit, die durch den Fachkräftemangel derzeit herrschen. Für das Jahr 2020 wird ein Mangel an fast 400.000 Experten für Cybersicherheit in der EMEA-Region erwartet.

Fehlende Fortbildungen gefährden IT-Sicherheit

IT-Fachkräfte und Cyber-Security

Fehlende Fortbildungen gefährden IT-Sicherheit

11.10.17 - Eine von (ISC)² durchgeführte Studie zeigt, dass in Unternehmen oft die Mittel für Trainings der eigenen IT-Talente fehlen und zum kritischen Qualifikationsmangel in der Cybersicherheit beitragen. Obwohl laut den Ergebnissen in 63 Prozent der Unternehmen IT-Sicherheitskräfte fehlen, gibt fast die Hälfte der Befragten an, dass ihre Arbeitgeber nicht genug in relevante Schulungen investieren. lesen

Unterstützung durch eine KI-basierte Sicherheitsplattform ist dringend notwendig, gerade was Cloud Computing betrifft. Was für herkömmliche IT-Umgebungen gilt, setzt sich in der Cloud fort: Auch moderne präventive Sicherheitsmaßnahmen können einen erfolgreichen Cyberangriff nicht hundertprozentig verhindern. Reine Prävention reicht also nicht!

Der Weg von der Cloud ins eigene Firmennetzwerk ist kurz, und schnell brennt es lichterloh, wenn ein laufender Angriff nicht rasch erkannt und gestoppt wird. Die „Post-Intrusion“-Phase wird jedoch oft vernachlässigt. Wenn die bestehende Sicherheitslösung keine Bedrohung erkennt, heißt das nicht zwangsläufig, dass im Netzwerk nichts Irreguläres passiert. Tatsächlich können Angreifer recht lange unbemerkt bleiben und gänzlich ungestört im Verborgenen agieren. Die Verweilzeit von dem Zeitpunkt, an dem ein Angreifer in das Netzwerk eindringt, bis zu seiner Erkennung und zur Reaktion auf den Vorfall beträgt durchschnittlich 99 Tage. In der Regel bleibt also jede Menge Zeit, um zu spionieren, sich im Netzwerk zu bewegen, um Schaden anzurichten oder Daten zu stehlen. Da fast die Hälfte (47 Prozent) der Sicherheitsverletzungen nur dank externer Benachrichtigung gefunden werden*, stellt dieses interne Erkennungsdefizit ein erhebliches Risiko dar.

Werden Daten und Anwendungen in die Cloud verlagert, verändern sich die Bedrohungslage zusätzlich: Cyberkriminelle versuchen, sich in Cloudbasierte Arbeitsprozesse einzunisten. Nutzungsregeln auf Basis der Anwendungs- und Benutzeridentität sind daher grundlegende Maßnahme für Cloud-Sicherheit. Diese ist jedoch gefährdet durch Credential-Phishing- und Keylogger-Angriffe. Mit den gestohlenen oder ausspionierten Zugangsdaten ist letztlich auch der Zugang zu den öffentlichen oder privaten Cloud-Ressourcen, die ein Unternehmen nutzt, möglich. Die Angreifer nehmen meist einzelne Benutzer ins Visier oder kompromittieren einzelne Geräte, um sich bis in die Cloud vorzuarbeiten. Bei der „Nutzung“ der Netzwerkressourcen oder der Cloud sind die Aktivitäten dem normalen Benutzerverhalten sehr ähnlich, was die Erkennung erschwert.

Entscheidend ist daher die Erkennung typischer Angriffsverhaltensweisen zu einem möglichst frühen Zeitpunkt. Potenziell verdächtige Aktivitäten auf den Geräten und Schnittstellen werden in der Regel jedoch nicht protokolliert. Mit herkömmlichen Sicherheitstechnologien ist es daher schwierig, Anomalien zu erkennen, die etwa durch die Nutzung von Backdoors in Netzwerkkomponenten auftreten. Wenn sich die Cybersicherheit nur auf den Netzwerkperimeter beschränkt, lassen sich vielleicht nur eine oder zwei Phasen eines Angriffs erkennen. Hierzu zählen in der Regel die Erstinfektion sowie die folgende Command-and-Control-Kommunikation. Die Angreifer betreiben aber großen Aufwand, um eine Erkennung genau an dieser Stelle zu verhindern oder zu umgehen. Der Lebenszyklus eines Cyberangriffs umfasst jedoch viele weitere Schritte, die sich bereits innerhalb des Netzwerks abspielen. Nachdem die Angreifer ins Netzwerk eingedrungen sind, folgen Aufklärungsaktivitäten, seitliche Bewegung im Netzwerk, Privileg-Eskalation, Datenmanipulation und schließlich Datenexfiltration. In jeder Phase können einzelne Verhaltensweisen dedizierten beaufsichtigten und unbeaufsichtigten maschinellen Lernalgorithmen zugeordnet werden. Dadurch werden Ereignisse sichtbar, die kontextualisiert und korreliert werden, so dass ein breiterer Angriffsablauf erkennbar wird. Das Ereignis kann somit im Bedrohungsgrad eingestuft und entsprechend priorisiert werden. Geschieht dies in Echtzeit, lassen sich stattfindende Angriffe stoppen, da die Angreifer bei aktiven Bedrohungen nicht schnell genug reagieren können, um sich im Netzwerk zu „verstecken“.

Indem das Netzwerk also von innen überwacht wird, bieten sich viel mehr Möglichkeiten, um einen aktiven Angriff zu erkennen. Eine übermäßig defensiv, präventiv orientierte Sicherheitsstrategie hingegen ist ungeeignet für den Schutz einer Cloud-Umgebung, nachdem die Kompromittierung bereits erfolgt ist. Da es unmöglich ist, jeden Angriff zu verhindern, sind Unternehmen besser damit bedient, auf automatisierte Echtzeit-Erkennungsfunktionen zurückzugreifen, um bei bereits aktiven Bedrohungen einzuschreiten. Durch das schnelle Erkennen und Eingreifen ist es möglich, die weitere Ausbreitung des Angriffs zu begrenzen und Schaden zu reduzieren. Unternehmen müssen daher die Erkennung von bereits stattfindenden Angriffen automatisieren, mit schnellen und skalierbaren Methoden. Eine KI-basierte Plattform zur Bedrohungserkennung kann Daten zu Vorgängen im Netzwerk in großem Maßstab und mit hoher Geschwindigkeit verarbeiten. Sie ersetzt nicht menschliche Expertise, aber erweitert die Fähigkeiten der Fachkräfte erheblich, um böswillige Verhaltensweisen schnell ans Tageslicht zu bringen. Das Sicherheitsteam wird von zeitraubenden Aufgaben entlastet und kann sich darauf konzentrieren, bei dem am höchsten priorisierten Vorfällen gezielte Gegenmaßnahmen zu ergreifen.

Über den Autor: Gérard Bauer ist Vice President EMEA bei Vectra Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45056577 / Cloud und Virtualisierung)