Teil 1: Die Datensammler Künstliche Intelligenz macht Netzwerksicherheit handhabbar

Von Paul Smit

Anbieter zum Thema

Jedes Unternehmen hat ein Normalmodell eines typischen Datenverkehrs, in dem sich Zugriffe in und aus der Cloud, der Datenaustausch mit anderen Standorten oder der interne lokale Datenverkehr abbilden. Cyberangriffe sorgen von Beginn an für kleinste Abweichungen von diesem Normal. Eine Künstliche Intelligenz (KI) erkennt bereits geringe Anomalien im Datenverkehr über die Perimetergrenzen hinweg und innerhalb eines Systems. Dabei schärft sie permanent ihr Auge durch Machine Learning (ML).

Teil 1 des Artikels legt dar, wie KI und ML eine Baseline des normalen externen und internen Netzverkehrs definiert und zeigt anhand der Log4j-Schwachstelle, wie sich Angriffe in den Netzwerkaktivitäten verraten. Teil 2 zeigt typische Symptome eines anomalen und damit wahrscheinlich bösartigen Netzverkehrs.
Teil 1 des Artikels legt dar, wie KI und ML eine Baseline des normalen externen und internen Netzverkehrs definiert und zeigt anhand der Log4j-Schwachstelle, wie sich Angriffe in den Netzwerkaktivitäten verraten. Teil 2 zeigt typische Symptome eines anomalen und damit wahrscheinlich bösartigen Netzverkehrs.
(Bild: sdecoret - stock.adobe.com )

Die Strukturen des Unternehmens, die geographischen Standorte seiner Mitarbeiter, die Applikationen und Daten, welche angesteuert, sowie die Prozesse, welche ausgeführt werden, spannen ein Wegenetz und Verhaltensprofil des internen und externen Datenverkehrs. Dieses Muster lässt sich allein anhand von Metadaten beobachten und stellt dann den vorläufigen Sollzustand der legitimen Netzkommunikation dar.

Bildergalerie

Ständiger Soll-/Ist-Abgleich des Netzverkehrs

Neue Prozesse, Mitarbeiter, Filialen und Geräte verändern diesen Sollzustand aber ständig. Nicht jeder Datenverkehr, der ungewöhnlich oder neu ist, ist aber ein Angriff: Eine Anfrage eines Mitarbeiters im Homeoffice über seinen Router und damit über eine externe IP ist mittlerweile unter Umständen ein ganz normaler Vorgang. Das diese Aktivitäten legitim sind, muss die Künstliche Intelligenz lernen. Dafür benötigt sie menschliche Hilfe von Sicherheitsanalysten.

Sobald Hacker in die angegriffene IT-Infrastruktur eindringen, hinterlassen sie neue Spuren in diesem Netz. Denn wer im System unerlaubt agieren, Schadcode implementieren und Daten exfiltrieren will, muss Datenorte, Applikationen und Systeme ansprechen sowie Befehle und Informationen zwischen IP-Adressen übermitteln. Jede neue Gefahr erzeugt Anomalien im Netzverkehr – sozusagen einen Fingerabdruck des Angriffs. Nur eine auf Machine-Learning (ML)-Methoden und Künstlicher Intelligenz (KI) beruhende Network Detection and Response erkennt in hinreichender Schnelligkeit auch solche Angriffe. Sie zeigt dann an, wie der neue Istzustand des internen und externen Netzverkehrs vom Normalmodell abweicht.

Auch die steigende Aktivität von Hackern nach Publikation einer neuen Schwachstelle wie etwa Log4j liefert hier neue Beispiele. Die Aktivitäten der Hacker, die diese Java-Sicherheitslücke ausnutzen, generieren neuen Datenverkehr und damit Material, um verschleierte Angriffe besser zu erkennen, tatsächliche Angriffe zu melden sowie Fehlalarme zu vermeiden. So wird eine Network Detection and Response auch für kleine und mittlere Unternehmen zu einer praktikablen Cyberabwehr.

Exakte Modelle mit hoher Auflösung

Viele Angriffe sind aber unscheinbar, denn die entstehende Datenmenge einer Malwareinstallation (etwa durch die Kommunikation zwischen einem angegriffenen Webserver und einem Command-and-Control-Server) ist nicht unbedingt groß. Zudem starten die Hacker nicht zwangsläufig sofort eine Aktion. Um eine Schwachstelle später auszunutzen, verschaffen sie sich zunächst nur den Zugang und suchen nach Informationen. Bei einer anspruchsvollen Ransomware kann es Monate vom Schaffen der Hintertür bis zur eigentlichen Attacke dauern. In anderen Fällen kann die Verschlüsselung sogleich starten. Daher ist es wichtig, auch Indizien so schnell wie möglich zu erkennen. Eine granulare Analyse des veränderten Netzverkehrs und ein Erkennen von kleinsten Differenzen zum Normalbetrieb fungiert daher als Frühwarnsystem oder dient im Nachhinein zur forensischen Analyse, wenn ein Sicherheitsexperte den gespiegelten Netzverkehr in einer Timeline zurückverfolgt.

Die Netzwerkempiriker

Das notwendige Material, Anomalien im Netzwerkdatenverkehr zu erkennen, zu überwachen und zu analysieren, liefern die im Netz verteilten Sensoren. Sie überwachen den Nord/Süd-Verkehr, der von außen in die IT-Infrastruktur eines Unternehmens eintritt oder sie verlässt, und den gesamten internen Ost/West-Verkehr, der sich seitlich durch das Netzwerk bewegt. Darüber hinaus zeichnen die Sensoren automatisch den Verkehr aller Assets mit Anschluss an das Netzwerk auf – also auch etwa IoT-Hardware oder OT-Geräte. Der Mehrwert einer umfassenden Analyse des Netzverkehrs liegt darin, ein Bild der Aktivitäten von Systemen zu erhalten, die nicht zentral und direkt verwaltet werden oder auf die kein Agent installiert ist beziehungsweise nicht installiert werden kann.

Die detaillierte Analyse des Datenverkehrs leistet Network Detection and Response (NDR). Um Angriffe tatsächlich abzuwehren, agiert sie dann gemeinsam mit anderen Sicherheitstechnologien wie XDR, EDR, Firewall oder Antivirus.

Ziel ist es, durch ML permanent das Auge der KI zu schulen, damit sie auch neue verdächtige Muster im externen und internen Datenverkehr erkennt und harmlosen oder eventuell vorgesehenen außergewöhnlichen Datenfluss nicht unterbindet.

Die Analyse von Angriffen in der Bilderstrecke liefert ein Beispiel, welche neuen Muster entstehen, wenn Anwender Log4j ausnutzen – Aktivitäten, die eine KI als anormal interpretieren würde.

Bildergalerie

Über den Autor: Paul Smit ist Director Professional Services bei ForeNova.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48389880)