Auf der Cybersicherheits-Website ThirdCertainty.com macht Byron Acohido einige sehr wichtige Punkte über die Verwendung von Verschlüsselung durch Hacker, um Erkennungswerkzeuge zu umgehen, und die Notwendigkeit, diese Angriffe zu erkennen. Dies ist eine Diskussion, die in der Zentrale von Vectra geführt wird. Verschlüsselter Datenverkehr ist ein leichtes Versteck für Angreifer und für Unternehmen schwer zu bewältigen.
Der Versuch, diesen Datenverkehr zu überwachen, indem man ihn zunächst entschlüsselt, eine Deep-Packet-Inspection durchführt und dann wieder mit Leitungsgeschwindigkeit verschlüsselt, ist jedoch problematisch, selbst mit einer speziellen SSL-Entschlüsselung, insbesondere auf lange Sicht. Hier spielen mehrere Faktoren eine Rolle.
Mit dem weltweit wachsenden Wunsch nach Privatsphäre wird immer mehr Datenverkehr standardmäßig verschlüsselt. Sie wird zu einem Standard für cloud Anwendungen. Dem Sandvine Internet Phenomena Report zufolge hat sich die Verschlüsselung in Nordamerika im letzten Jahr verdoppelt.
Das ist eigentlich eine gute Nachricht, vor allem für den Datenschutz der Verbraucher. Die Unternehmen haben eine Strategie, alles zu verschlüsseln. Bei dieser Verschlüsselung bedeuten jedoch die Versuche, eine SSL-Entschlüsselung durchzuführen, dass große Mengen verschlüsselter Daten zu verarbeiten sind.
Verschlüsselung untergräbt die Verkehrskontrolle
Die Zunahme des verschlüsselten Datenverkehrs in Unternehmensnetzwerken wirkt sich stark auf Sicherheitstechnologien aus, die auf Deep Packet Inspection (DPI) beruhen und deren Effektivität mit zunehmender Verschlüsselung des Datenverkehrs stark abnimmt.
Noch schlimmer ist, dass herkömmliche Sicherheitsmaßnahmen für den Umgang mit verschlüsseltem Datenverkehr, wie z. B. Man-in-the-Middle-Entschlüsselung und -Prüfung, unmöglich werden, da wir eine Zunahme des Pinning von Zertifikaten und öffentlichen Schlüsseln beobachten.
Die Leistung von DLP-Lösungen (Data Leakage Prevention), die sich auf DPI stützen, könnte um bis zu 95 % sinken, während herkömmliche signaturbasierte IDS und IPS einen Funktionsverlust von bis zu 80 % erleiden. Dies bedeutet nicht, dass die Sicherheit der Grund für die Nichtverschlüsselung sein sollte, denn die Nichtverschlüsselung des Datenverkehrs hält die Angreifer nicht davon ab, es trotzdem zu tun.
Die Analyse des Angreiferverhaltens funktioniert bei verschlüsseltem Datenverkehr
Die Antwort liegt im Verhalten des Netzwerkverkehrs. Auch ohne einen Blick auf den Inhalt eines Pakets zu werfen, weist verschlüsselter Datenverkehr viele beobachtbare Merkmale und Muster auf, die das Verhalten von Angreifern offenbaren.
Die Beobachtung der charakteristischen Dauer, des Timings, der Häufigkeit und der Größe von Paketen gibt Aufschluss darüber, was Benutzer und Host-Geräte tun. Datenwissenschaftliche Modelle, die auf den Datenverkehr angewandt werden, enthüllen diese Verhaltensweisen der Angreifer. Sie zeigen, welche Seite die Kontrolle über ein Gespräch hat, und verraten unter anderem, ob es sich um einen Menschen oder einen Automaten handelt.
Die charakteristischen Muster des böswilligen Datenverkehrs decken Botnets, Trojaner für den Fernzugriff, Malware-Updates, internes Aufklärungsverhalten, den Diebstahl von Anmeldeinformationen, verdächtige Authentifizierungen und andere Aktionen auf, die Angreifer durchführen müssen, um ein Cyberverbrechen zu begehen. Vor allem aber identifizieren sie versteckte Tunnel im verschlüsselten Datenverkehr, die Angreifer nutzen, um Daten auszuspionieren.
In Kombination mit Klartext-Headern ist die durchgehende Konzentration auf das Verhalten des gesamten Netzwerkverkehrs - und nicht nur auf zufällige Schnappschüsse und Stichproben - äußerst effektiv bei der Erkennung des Verhaltens von Cyber-Angreifern.