Im ersten Blog dieser Reihe haben wir einige der KI/ML-Schlagworte entschlüsselt und erklärt, warum Vectra den Begriff "KI" mit Stolz für seine Arbeit verwendet. Jetzt werden wir uns die Methoden zur Anwendung von KI bei der Erkennung und Abwehr von Bedrohungen genauer ansehen. Insbesondere werden wir den sicherheitsorientierten Ansatz, bei dem Vectra Pionierarbeit geleistet hat, dem mathematikbasierten Ansatz anderer Anbieter gegenüberstellen. Eine ausführliche Erläuterung, wie Vectra Datenwissenschaft und KI einsetzt, um Angreifer zu erkennen und zu stoppen, finden Sie im Whitepaper The AI Behind Vectra AI.
Sicherheitsorientierte vs. mathematikorientierte Erkennung
Für die Anwendung von KI/ML auf die Erkennung von Bedrohungen gibt es zwei Hauptansätze: sicherheitsorientierte und mathematische Ansätze.
Mathematisch orientierter Ansatz erkennt grundlegende Anomalien
Der mathematisch orientierte Ansatz beginnt damit, dass Datenwissenschaftler grundlegende Statistiken und Neuigkeiten über die Umgebung erstellen. Wie häufig oder selten ist ein Ziel, eine Domäne oder eine IP? Wie hoch ist die typische Anzahl der SMB-Verbindungen pro Stunde für diese IP? Hat sich dieses Konto schon einmal von dieser IP aus angemeldet? Sicherheitsforscher verwenden diese Statistiken dann, um Hunderte von Regeln - eigentlich Signaturen - zu erstellen, die eine grundlegende Anomaliekomponente haben.
Das Herzstück eines Command-and-Control (C2)-Tunnelmodells sucht zum Beispiel nach mehreren Verbindungen in einem bestimmten Zeitraum zu einem Ziel, das sowohl neu für dieses Netz als auch selten ist (nicht viele Systeme kommunizieren mit ihm). Es wird wahrscheinlich Dutzende dieser Modelle geben, die die Verbindungsraten, die Seltenheit und die Neuheit variieren und versuchen, ein Gleichgewicht zwischen Abdeckung und Rauschen herzustellen.
Auf den ersten Blick klingt dies nach einem vernünftigen Ansatz. Sicher, das Ergebnis ist ein Flickenteppich aus einer Menge enger Modelle, die das Team verstehen, pflegen und abstimmen muss. Und es kann von einem Angreifer überwunden werden, der das Ziel kontaktiert und dann ein paar Tage wartet, aber wie oft wird das passieren? Außerdem kann es durch gängige Techniken wie Domain Fronting umgangen werden, das die Erkennung durch Umgehung der Seltenheitsanforderung umgeht. Diese Einschränkungen sind beunruhigend, aber vielleicht können wir uns immer noch davon überzeugen, dass dies ein akzeptabler Kompromiss ist.
Das eigentliche Problem ist jedoch, dass diese Modelle trotz der vielen Einschränkungen sehr verrauscht bleiben. Es müssen weitere Filter hinzugefügt werden. Filter sind gleich blinde Flecken. Echte Modelle von bekannten Anbietern in diesem Bereich filtern alle Ziele heraus, die sich in gemeinsamen Clouds befinden UND alle Quellen, die mobil/Tablet, Infrastruktur (Router, Firewalls usw.) und IoT wie IP-Telefone sind. Diese massiven blinden Flecken müssen hinzugefügt werden, nur um das Rauschen so weit zu reduzieren, dass das System praktikabel ist.
Wir halten das nicht für gut genug.
Sicherheitsorientierter Ansatz findet Methoden der Angreifer
Der sicherheitsorientierte Ansatz stellt die Dinge auf den Kopf. Er beginnt nicht mit Statistiken, sondern mit dem Verständnis des Problems, das es zu lösen gilt. Das bedeutet, dass Sicherheitsforscher die wichtigsten Angriffsmethoden definieren, die wir erkennen können müssen - in Anlehnung an Frameworks wie MITRE ATT&CK und D3FEND. Dabei ist es wichtig zu beachten, dass wir uns NICHT auf spezifische Tools oder Exploits konzentrieren, sondern auf die zugrundeliegenden Methoden, die im Spiel sind. Methoden ändern sich im Laufe der Zeit nur sehr langsam, was sie zu stabilen Ankern für die Erkennung macht.
Sobald die Angriffsmethode klar definiert ist, arbeiten Sicherheitsforschung und Data Science eng zusammen, um ein genaues Erkennungsmodell zu erstellen: Auswertung der Daten, Auswahl des richtigen ML-Ansatzes für die Daten und das Problem, Erstellung, Test und kontinuierliche Verfeinerung, um die Genauigkeit zu gewährleisten.
Bei der sicherheitsorientierten Methode wird das C2-Tunnelproblem mit einem rekurrenten neuronalen Netz (LSTM) gelöst, das mit Zehntausenden von Beispielen von Tunnelverkehr von vielen verschiedenen Tools, die viele verschiedene Dinge tun, zusammen mit einem großen Korpus von Nicht-Tunnelverkehr trainiert wird. Das neuronale LSTM-Netz lernt tatsächlich (das ist Deep Learning), was ein Tunnel in jedem Netz und mit jedem Tool ist. Es funktioniert sogar bei verschlüsseltem Verkehr und hat keine blinden Flecken, die auf dem Ziel oder dem Typ des Quellsystems basieren.
Die Verwendung einer auf Sicherheit ausgerichteten Methodik gibt dem Data-Science-Team die Möglichkeit, die großen Geschütze aufzufahren - spezielle Ansätze für spezielle Probleme. Zum Beispiel die Verwendung eines rekurrenten neuronalen Netzes für die Tunnelerkennung. Der mathematisch geprägte Ansatz hingegen zwingt die Datenwissenschaftler zum kleinsten gemeinsamen Nenner, indem einfache, allgemeine statistische Anomalien verwendet werden, die die Sicherheitsseite in eine Reihe verschiedener Modelle einfügen kann, ohne ein tiefes Verständnis für deren Funktionsweise zu haben.
Ein sicherheitsorientiertes Modell erfordert mehr bereichsübergreifendes Fachwissen, spezielle Daten, mehr Zeit und eine Plattform, die flexibel genug ist, um diese Art von Modell schnell umzusetzen. Deshalb schrecken viele Anbieter davor zurück, obwohl es bessere Sicherheitsergebnisse liefert.
Warum es wichtig ist
Die Nützlichkeit der Bedrohungserkennung hängt von der Geschwindigkeit ab. Das bedeutet nicht nur, dass das System nahezu in Echtzeit arbeiten muss (auch wenn dies wichtig ist), sondern auch, dass das System nützliche Dinge erkennen muss, ohne den Bediener mit Rauschen zu überhäufen.
Im Kern bietet der sicherheitsorientierte Ansatz eine bessere Abdeckung für das, was wichtig ist (weniger blinde Flecken!), und erzeugt gleichzeitig viel weniger Warnmeldungen, die von den Teams gesichtet werden müssen - laut einem Kunden, der vor kurzem von einem bekannten mathematisch orientierten Anbieter zu Vectra wechselte, eine Reduzierung um 85 %.
In unserem nächsten Blog befassen wir uns mit dem Unterschied in der Abdeckung zwischen sicherheits- und mathematikgesteuerten Lösungen für das wichtigste Sicherheitsproblem unserer Zeit - ransomware (oder genauer gesagt: ransomOps).
Erfahren Sie mehr über den sicherheitsbasierten Ansatz von Vectra und wie er sich im Vergleich zu unseren Mitbewerbern darstellt.
Und lesen Sie unbedingt das kostenlose Whitepaper Die KI hinter Vectra AI, um zu erfahren, wie Datenwissenschaft und KI Verteidigern einen Vorteil gegenüber Cyberangreifern verschaffen können.