Cisco hat vor kurzem in einer Pressemitteilung den Begriff "intent-based networking" (absichtsbasierte Vernetzung) eingeführt, der die Idee vorantreibt, dass Netzwerke intuitiver werden müssen. Ein Element dieser Intuition besteht darin, dass Netzwerke sicherer werden, ohne dass die Sicherheitsexperten vor Ort einen großen Aufwand betreiben müssen. Und ein wichtiger Teil dieser Strategie ist Cisco ETA:
" Encrypted Traffic Analytics von Cisco löst ein Problem der Netzwerksicherheit, das bisher als unlösbar galt", sagt David Goeckeler, Senior Vice President und General Manager of Networking and Security. "ETA nutzt die Cyber-Intelligenz Talos von Cisco, um bekannte Angriffssignaturen selbst im verschlüsselten Datenverkehr zu erkennen und so die Sicherheit zu gewährleisten und gleichzeitig die Privatsphäre zu schützen."
Ich bin immer fasziniert (und oft auch amüsiert) von der Behauptung, dass ein unlösbares Problem gelöst wurde. Gehen wir also der Frage nach, wie die Cisco ETA aufgebaut ist:
- Nehmen Sie viele Malware-Proben, die bereits in Malware-Familien eingeteilt sind und entsprechend gekennzeichnet sind.
- Führen Sie jedes Produkt 5 Minuten lang in einer Sandbox aus.
- Erfassen Sie den von den Proben ausgehenden Verkehr
- Isolierung der TLS-verschlüsselten Sitzungen aus dem Datenverkehr
- Informationen über diese Sitzungen aus ihren TLS-Handshakes extrahieren - es gibt ein Client Hello, das vom Client an den Server gesendet wird, und ein Server Hello (einschließlich eines Server-Zertifikats), mit dem der Server antwortet
- Extrahieren von Informationen über den Datenfluss (Größe der Pakete, Zeitverzögerungen zwischen den Paketen, in den Paketen enthaltene Bytes usw.) in der Sitzung
- Nehmen Sie die Merkmale aus (5) und (6) und verwenden Sie sie, um ein Modell zu trainieren, das diese Daten den Malware-Familien in (1) zuordnet.
Wir begrüßen die Schritte von Cisco, die Metadatenextraktion nativ in das Netzwerk zu integrieren, und begrüßen ihre Bemühungen, maschinelles Lernen zur Erkennung von Bedrohungen einzusetzen. Dies ist etwas, das wir seit Jahren in Kundennetzwerken einsetzen, und wir haben die Vorteile gesehen, die es bieten kann, wenn es richtig gemacht wird (und falsch - denn wir hatten sicherlich unsere Stolpersteine auf dem Weg). Vielleicht ist es nicht überraschend, dass die ersten Schritte von Cisco in diesem Bereich etwas enttäuschend sind, da es sich um ein schwieriges Thema handelt.
Es gibt zweifellos einige neuartige Ansätze bei der Auswahl von Merkmalen und maschinellen Lernverfahren, die in Cisco ETA eingesetzt werden. Aber die allgemeine Idee, Sitzungs-Metadaten zur Erstellung präziser Signaturen für Malware-Kommunikation zu verwenden, fühlt sich an wie eine Rückkehr zur Veröffentlichung des ersten signaturbasierten IDS, etwa 1995. Unter der Annahme, dass dies bei der aktuellen Malware-Generation erfolgreich ist, wird es nicht lange dauern, bis die Malware-Entwickler ihre verschlüsselte Kommunikation auf einfache Weise so verändern, dass diese Form der Erkennung umgangen werden kann. Die Änderungen, die die Angreifer vornehmen würden, sind ziemlich offensichtlich:
- Verwenden Sie Standardformen aktueller Kryptowährungen, auch wenn Sie den damit verbundenen Schutz nicht benötigen.
- Lassen Sie Ihr Zertifikat nicht offensichtlich schlecht aussehen (Tipp: Kopieren Sie ein Standardzertifikat von einer beliebten Website und verwenden Sie es als Vorlage für Ihr Zertifikat)
- Randomisierung des Datenverkehrs innerhalb Ihrer TLS-Verbindung, indem Sie in regelmäßigen Abständen zusätzlichen Datenverkehr einstreuen und den Zeitpunkt der Kommunikation sowie die Größe der Anfragen und Antworten variieren
Und dann beginnt das Katz-und-Maus-Spiel von neuem. Nur muss Cisco jetzt große Mengen von Proben sammeln, um ETA neu zu trainieren. Und dann können die Angreifer es schnell wieder knacken.
Anders als bei den meisten Anwendungen des maschinellen Lernens geht es bei der Cybersicherheit darum, sich mit einem intelligenten Gegner zu messen, der sich an die Fähigkeiten des Verteidigers anpassen wird. Aus diesem Grund konzentriert sich unsere Anwendung des maschinellen Lernens auf netzwerkextrahierte Metadaten auf die Suche nach dauerhaften Verhaltensmustern, deren Bekämpfung grundlegende Änderungen der Angreifermethoden erfordern würde.
Ein Beispiel dafür ist External Remote Access, ein Modell, das Vectra vor über zwei Jahren auf den Markt gebracht hat, um das grundlegende Muster zu erkennen, nach dem Menschen Systeme von außerhalb des Netzwerks kontrollieren. Es funktioniert unabhängig vom Tool des Angreifers und davon, ob der Datenverkehr verschlüsselt ist oder nicht. Als ShadowBrokers im vergangenen Jahr das nOpen RAT veröffentlichte, erkannte das Modell Vectra Versuche, es zu verwenden, ohne dass Änderungen erforderlich waren. Es hat sich gezeigt, dass die Erfindung völlig neuer Angriffsmethoden viel schwieriger ist als die Änderung oberflächlicher Kommunikationsmuster.
Die Einführung von ETA wird auch nicht einfach und billig sein. ETA erfordert entweder ein Upgrade auf neue Netzwerk-Switches oder den Einsatz von Strömungssensoren. Switches sind ein Hauptumsatzträger und Gewinnbringer für Cisco, so dass es nicht verwunderlich ist, dass neue Sicherheitsfunktionen an Switches gebunden sind. Upgrades brauchen Zeit und sind störend, und in diesem Fall wird all das Geld wahrscheinlich Sicherheitsfunktionen auf dem Niveau der 1990er Jahre liefern.
Wenn Sie eine Alternative suchen, die eine 29-fache Reduzierung des Arbeitsaufwands für Sicherheitsoperationen zu einem Bruchteil der Kosten eines Switch-Upgrades bietet, kontaktieren Sie uns für eine Demo.