Dieser Blog wurde ursprünglich auf LinkedIn veröffentlicht.
In der Sicherheitsbranche wimmelt es von Anbietern, die Anomalieerkennung als Allheilmittel für Cyberangriffe anpreisen. Das ist eine grobe Irreführung.
Das Problem ist, dass die Erkennung von Anomalien zu sehr verallgemeinert: Alles normale Verhalten ist gut, alles anomale Verhalten ist schlecht - ohne Berücksichtigung von Abstufungen und Kontext. Bei der Anomalieerkennung ist die Unterscheidung zwischen Benutzerverhalten und Angreiferverhalten nebulös, obwohl sie sich grundlegend unterscheiden.
Bedenken Sie dies: Menschen tun alles, was nötig ist, um ihre Arbeit zu erledigen - sie lesen E-Mails, während sie im Ausland im Urlaub sind, loggen sich um 3 Uhr morgens ein, wenn sie inspiriert aufwachen, und laden neue Dateien für ein neues Projekt herunter. Manchmal kann dieses gut gemeinte Verhalten verdächtig erscheinen.
Gleichzeitig sind raffinierte Cyber-Angreifer geschickt darin, akzeptierte Praktiken zu imitieren und sich in normale Verhaltensweisen einzufügen. Folglich ist es wahrscheinlicher, dass Anbieter von Anomalieerkennungsdiensten gute Mitarbeiter, die ihre Arbeit auf etwas ungewohnte Weise erledigen, aufspüren, als dass sie einen Angreifer identifizieren und enttarnen.
Können Sie "falsch positiv" sagen?
Die Erkennung von Anomalien lässt sich mit der Praxis der Strafverfolgungsbehörden vergleichen, Personen anzuhalten und zu durchsuchen. Im Jahr 2015 wurde zum Beispiel bei 99,5 % der Kontrollen verdächtiger Personen in New York City keine Waffe gefunden. Zehntausende von Durchsuchungen und nur eine Handvoll Waffen.
Um eine Beobachtung zu paraphrasieren: Die Ungenauigkeit von "Stop-and-Fresh" wird dadurch wettgemacht, dass sie ressourcenintensiv und ineffizient ist. Im Gegensatz dazu wird bei einer Durchsuchung mit Röntgenstrahlen unauffällig und sofort ein Wärmebild einer Person aufgenommen. Wenn eine Waffe versteckt ist, zeigt T-ray eine kalte Waffenform im Gegensatz zum warmen Körper.
Um die Analogie zu vervollständigen: Die Anomalieerkennung ist das Äquivalent zur Erstellung von Rassenprofilen im Bereich der Cybersicherheit, wobei alles, was allgemein anders ist, gekennzeichnet wird.
VectraAuf der anderen Seite ist der T-Ray, der KI einsetzt, um allzu allgemeine und leicht irreführende anomale Verhaltensweisen von den hervorstechenden, sehr spezifischen Merkmalen des Angreiferverhaltens zu unterscheiden.
Anbieter von Anomalie-Erkennungslösungen verlangen von Cybersicherheitsanalysten, dass sie jedes verdächtige Ereignis, ob es nun echt ist oder nicht, genau unter die Lupe nehmen. Dieser Ansatz ist das Gegenteil von "wo Rauch ist, da ist auch Feuer". Wenn es um anomales Verhalten geht, gibt es viel Rauch, aber kein Feuer, und Sicherheitsanalysten müssen jeder Spur hinterherjagen, was Zeit und Geld verschlingt, um jeder falschen Spur nachzugehen, während sie für die echten Bedrohungen blind bleiben.
Wer hat die Zeit und das Geld für so etwas? Und, was noch wichtiger ist, wer will sein geistiges Eigentum und den Ruf seines Unternehmens für einen solch fehlerhaften Ansatz riskieren?
Der Insider-Job
Die Indikatoren für Insider-Bedrohungen können ebenso irreführend sein. Ja, es gab einige aufsehenerregende Hacks, die ein anormales Verhalten zeigten, wie z. B. das gemeldete Durchsickern von Geheiminformationen durch Edward Snowden. Aber die überwiegende Mehrheit der Insider-Angriffe war erfolgreich, weil sie sich in das normale Verhalten einfügten und erst entdeckt wurden, nachdem bereits großer Schaden entstanden war.
Im Skandal um betrügerische Konten bei Wells Fargo schienen die Mitarbeiter ihre Arbeit zu machen - und zwar ein bisschen zu gut, wie sich herausstellte. Sie kannten und nutzten die Standardverfahren. Sie nutzten ihre Berechtigungsnachweise in angemessener Weise. Sie haben ihre Zugriffsrechte und Befugnisse nicht überschritten.
Fortgeschrittene Cyberangriffe verhalten sich genauso. Sie mischen sich ein, und wenn sich das Sicherheitsteam nicht auf die Suche nach dem Verhalten der Angreifer und nicht nur auf allgemeine Anomalien konzentriert, hat es keine realistische Chance, diesen Angriffen zuvorzukommen.
Und das ist die "hässliche" Wahrheit über die Erkennung allgemeiner Anomalien.