:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Teil 1: Die Datensammler Künstliche Intelligenz macht Netzwerksicherheit handhabbar
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Jedes Unternehmen hat ein Normalmodell eines typischen Datenverkehrs, in dem sich Zugriffe in und aus der Cloud, der Datenaustausch mit anderen Standorten oder der interne lokale Datenverkehr abbilden. Cyberangriffe sorgen von Beginn an für kleinste Abweichungen von diesem Normal. Eine Künstliche Intelligenz (KI) erkennt bereits geringe Anomalien im Datenverkehr über die Perimetergrenzen hinweg und innerhalb eines Systems. Dabei schärft sie permanent ihr Auge durch Machine Learning (ML).
Die Strukturen des Unternehmens, die geographischen Standorte seiner Mitarbeiter, die Applikationen und Daten, welche angesteuert, sowie die Prozesse, welche ausgeführt werden, spannen ein Wegenetz und Verhaltensprofil des internen und externen Datenverkehrs. Dieses Muster lässt sich allein anhand von Metadaten beobachten und stellt dann den vorläufigen Sollzustand der legitimen Netzkommunikation dar.
:quality(80)/p7i.vogel.de/wcms/c5/97/c5975ddac9603456fe8ce5972eae6aa7/0104986845.jpeg "Die Grundlagen eines Log4j-Angriffs: Auch das Ausnutzen der Log4j-Lücke hinterlässt Spuren im Datenverkehr. Ein Angreifer missbraucht das normale Vorgehen der Log4j-Protokollierungsbibliothek, Anfragen auf ein System zu protokollieren, für seinen Zweck, um ausführbaren bösartigen Code zunächst in den Webserver zu implementieren. Bei jeder Anfrage von einem Windows-System auf einen Webserver liest die Log4j-Funktion auf dem angefragten Webserver eine Variable, kann sie auflösen und den so gewonnen Wert als Objekt im Speicher der Login-Protokolldatei einfügen. Angreifer können in dem dazugehörigen String anstelle des Nutzernamens einen eigenen Java Naming and Directory Interface (JNDI) Lookup in die Log-Datei einfügen, wobei sie auf einen Server unter ihrer Kontrolle zugreift. Der Angreifer leitet dafür die Antwort des angefragten Systems auf seinen bösartigen Command-and-Control-Server um und schickt im Gegenzug als Auflösen der Variable einen ausführbaren Payload – einen Code und damit Malware – auf das angefragte System. Die Kommunikation zwischen anfragendem System, angefragtem Webserver und bösartigem C&C-Server ist für eine NDR-Analyse sichtbar.")
:quality(80)/p7i.vogel.de/wcms/fc/22/fc2210d0130ffebb0e70fe809740f90f/0104986846.jpeg "Szenario 1: Installation ausführbaren Codes. Log4j kontaktiert in diesem Beispiel unwissentlich einen bösartigen LDAP-Server und fragt ein Objekt an. In der Folge generiert sie ein Objekt im Speicher. Die Initialisierungsmethode dieser Klasse (constructor) wird ausgeführt und lädt unbekannten Code von einer unbekannten Quelle auf das Zielsystem.")
:quality(80)/p7i.vogel.de/wcms/4f/70/4f70c5842cb8dca806d3725b7144fcee/0104986848.jpeg "Szenario 2: Einbinden des Opfersystems in ein Botnet. Die Bitdefender Labs beobachteten im Dezember 2021 den hier skizzierten Angriff. Dabei wurden die Opfersysteme Teil des Muhstik-Botnetzes. Kryptominer wurden heruntergeladen, um die Ressourcen der Opfersysteme zu nutzen. Erste Angreifer implementierten auch Attacken einer neuen Ransomware-Familie.")
:quality(80)/p7i.vogel.de/wcms/18/6d/186d694436e979adc8a7f1e239118407/0104986847.jpeg "Fiktives Szenario: Über ein Windowssystem startet die Anfrage auf einen Ubuntu-Webserver des Opfers. Dessen LDAP-Anfrage landet auf dem Kali-Linux- also dem C&C-Server und sendet ein Exploit an den Opferserver.")
Ständiger Soll-/Ist-Abgleich des Netzverkehrs
Neue Prozesse, Mitarbeiter, Filialen und Geräte verändern diesen Sollzustand aber ständig. Nicht jeder Datenverkehr, der ungewöhnlich oder neu ist, ist aber ein Angriff: Eine Anfrage eines Mitarbeiters im Homeoffice über seinen Router und damit über eine externe IP ist mittlerweile unter Umständen ein ganz normaler Vorgang. Das diese Aktivitäten legitim sind, muss die Künstliche Intelligenz lernen. Dafür benötigt sie menschliche Hilfe von Sicherheitsanalysten.
Sobald Hacker in die angegriffene IT-Infrastruktur eindringen, hinterlassen sie neue Spuren in diesem Netz. Denn wer im System unerlaubt agieren, Schadcode implementieren und Daten exfiltrieren will, muss Datenorte, Applikationen und Systeme ansprechen sowie Befehle und Informationen zwischen IP-Adressen übermitteln. Jede neue Gefahr erzeugt Anomalien im Netzverkehr – sozusagen einen Fingerabdruck des Angriffs. Nur eine auf Machine-Learning (ML)-Methoden und Künstlicher Intelligenz (KI) beruhende Network Detection and Response erkennt in hinreichender Schnelligkeit auch solche Angriffe. Sie zeigt dann an, wie der neue Istzustand des internen und externen Netzverkehrs vom Normalmodell abweicht.
Auch die steigende Aktivität von Hackern nach Publikation einer neuen Schwachstelle wie etwa Log4j liefert hier neue Beispiele. Die Aktivitäten der Hacker, die diese Java-Sicherheitslücke ausnutzen, generieren neuen Datenverkehr und damit Material, um verschleierte Angriffe besser zu erkennen, tatsächliche Angriffe zu melden sowie Fehlalarme zu vermeiden. So wird eine Network Detection and Response auch für kleine und mittlere Unternehmen zu einer praktikablen Cyberabwehr.
Exakte Modelle mit hoher Auflösung
Viele Angriffe sind aber unscheinbar, denn die entstehende Datenmenge einer Malwareinstallation (etwa durch die Kommunikation zwischen einem angegriffenen Webserver und einem Command-and-Control-Server) ist nicht unbedingt groß. Zudem starten die Hacker nicht zwangsläufig sofort eine Aktion. Um eine Schwachstelle später auszunutzen, verschaffen sie sich zunächst nur den Zugang und suchen nach Informationen. Bei einer anspruchsvollen Ransomware kann es Monate vom Schaffen der Hintertür bis zur eigentlichen Attacke dauern. In anderen Fällen kann die Verschlüsselung sogleich starten. Daher ist es wichtig, auch Indizien so schnell wie möglich zu erkennen. Eine granulare Analyse des veränderten Netzverkehrs und ein Erkennen von kleinsten Differenzen zum Normalbetrieb fungiert daher als Frühwarnsystem oder dient im Nachhinein zur forensischen Analyse, wenn ein Sicherheitsexperte den gespiegelten Netzverkehr in einer Timeline zurückverfolgt.
Die Netzwerkempiriker
Das notwendige Material, Anomalien im Netzwerkdatenverkehr zu erkennen, zu überwachen und zu analysieren, liefern die im Netz verteilten Sensoren. Sie überwachen den Nord/Süd-Verkehr, der von außen in die IT-Infrastruktur eines Unternehmens eintritt oder sie verlässt, und den gesamten internen Ost/West-Verkehr, der sich seitlich durch das Netzwerk bewegt. Darüber hinaus zeichnen die Sensoren automatisch den Verkehr aller Assets mit Anschluss an das Netzwerk auf – also auch etwa IoT-Hardware oder OT-Geräte. Der Mehrwert einer umfassenden Analyse des Netzverkehrs liegt darin, ein Bild der Aktivitäten von Systemen zu erhalten, die nicht zentral und direkt verwaltet werden oder auf die kein Agent installiert ist beziehungsweise nicht installiert werden kann.
Die detaillierte Analyse des Datenverkehrs leistet Network Detection and Response (NDR). Um Angriffe tatsächlich abzuwehren, agiert sie dann gemeinsam mit anderen Sicherheitstechnologien wie XDR, EDR, Firewall oder Antivirus.
Ziel ist es, durch ML permanent das Auge der KI zu schulen, damit sie auch neue verdächtige Muster im externen und internen Datenverkehr erkennt und harmlosen oder eventuell vorgesehenen außergewöhnlichen Datenfluss nicht unterbindet.
Die Analyse von Angriffen in der Bilderstrecke liefert ein Beispiel, welche neuen Muster entstehen, wenn Anwender Log4j ausnutzen – Aktivitäten, die eine KI als anormal interpretieren würde.
Über den Autor: Paul Smit ist Director Professional Services bei ForeNova.
(ID:48389880)
:quality(80)/p7i.vogel.de/wcms/d8/43/d843cfc343e992e88c2cffecc484b2da/0113633843.jpeg "Ein Network Intrusion Detection System (NIDS) dient der Erkennung von Angriffen und Anomalien im Netzwerk. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/95/e6/95e698ca4671225b536056414e70b46b/0110088871.jpeg "Komplexe neue Angriffe rechtzeitig abzuwehren erfordert neue, weiter reichende Cyberabwehr-Konzepte, die über Backups und Endpunkt-Schutz hinaus gehen. (Bild: pinkeyes - stock.adobe.com)")