Ein neues Modell zur Erkennung von Bedrohungen, das die Cybersecurity-Lücke schließt

Blind für die Cybersicherheitslücke

Innerhalb dieser Lücke haben Angreifer einen enormen Vorteil gegenüber herkömmlichen, auf Prävention basierenden Sicherheitsprodukten. Obwohl Präventionstools und -techniken heute weit verbreitet sind, werden sie von Cyberkriminellen routinemäßig durch komplexe und intelligent konstruierte Angriffsmethoden überlistet.

Cyber-Angriffe sind nicht mehr nur einfache "Smash-and-Grab"-Angriffe, die von vorprogrammierten malware gesteuert werden. Sie werden von hochqualifizierten, kreativen und intelligenten Menschen gesteuert. Durch ständige Koordinierung kann ein menschlicher Angreifer nach und nach mehr über das Zielnetz erfahren, sich an etwaige Verteidigungsmaßnahmen anpassen und den Angriff mit der Zeit vorantreiben.

Während die Angriffe einen Evolutionssprung in der Komplexität gemacht haben, ist dies bei der Sicherheitsabwehr nicht der Fall. Die Abwehrkräfte sind überfordert, wenn sie versuchen, Bedrohungen mit Hilfe von Signaturen bekannter Bedrohungen und malware zu finden, die einen schnellen Mustervergleich ermöglichen.

Da die Bedrohungen im Laufe der Zeit immer intelligenter und ausgefeilter wurden, ist die herkömmliche Sicherheit nach wie vor davon abhängig, dass auf der Grundlage unvollständiger Informationen vorschnelle Entscheidungen getroffen werden.

Herkömmliche Sicherheitsmaßnahmen sind nach wie vor davon abhängig, dass man auf der Grundlage unvollständiger Informationen vorschnelle Urteile fällt.

Dieses Ungleichgewicht verschafft Angreifern heute einen erheblichen Vorteil. Um mithalten zu können, brauchen Unternehmen einen intelligenteren Sicherheitsansatz - eine neue Art von Sicherheit, die lernen, sich weiterentwickeln und mitdenken kann.

In diesem Papier werden die Anforderungen an eine neue Methodik dargelegt, die Bedrohungen auf der Grundlage von Erkenntnissen aus der Vergangenheit und dem lokalen Kontext identifiziert und dann Ereignisse im Zeitverlauf miteinander verknüpft, um den Verlauf eines Angriffs aufzuzeigen.

Die Herausforderung der Unterschrift

Die Sicherheitsabwehr hat versucht, damit Schritt zu halten, indem sie immer mehr Signaturen verwendet und diese immer schneller bereitstellt. Signaturen sind das Fundament der traditionellen Sicherheitstechnologie und werden geschrieben, um Exploits, bösartige URLs und bekannte malware zu identifizieren.

Signaturen können bekannte Bedrohungen in großem Umfang schnell erkennen und blockieren. Ihre Schwäche ist jedoch, dass sie von Natur aus reduktiv sind - sie reduzieren eine bekannte Bedrohung auf ihren einfachsten Fingerabdruck, um innerhalb von Mikrosekunden eine einzige Ja- oder Nein-Antwort zu geben, damit der Datenverkehr der Anwendung nicht verlangsamt wird.

Diese reduzierte Konzentration auf sofortige und einfache Antworten hat Angreifern, die bereit sind, sich anzupassen, einen Vorteil verschafft. Signaturen funktionieren nur, indem sie einen Fingerabdruck einer bekannten Bedrohung erstellen, und die Angreifer haben gelernt, Signaturen zu umgehen, indem sie neue, unbekannte Bedrohungen einsetzen.

Der Verizon Data Breach Investigation Report 2015 veranschaulicht diesen Trend in aller Deutlichkeit und zeigt, dass 70-90 % der malware , die bei Datenschutzverletzungen verwendet wurden, nur für das infizierte Unternehmen bestimmt waren.

Das bedeutet, dass jedes Unternehmen einen eigenen Satz von Signaturen benötigt, um sich zu schützen - eine Anforderung, die sich nicht skalieren lässt. Wenn ein Angreifer jedoch eine unbekannte oder Zero-Day-Bedrohung einsetzt, kann es keine Signatur geben, die diese erkennt. Angreifern ist nicht entgangen, wie wichtig und einfach es ist, Signaturen zu umgehen.

Zwar sind die Angreifer in der Lage, den Signaturen einen Schritt voraus zu sein, doch erst die Hartnäckigkeit des laufenden Angriffs hat den Spieß wirklich umgedreht. Sobald die äußere Verteidigung eines Unternehmens kompromittiert ist, können sich die Angreifer in das Netzwerk einschleusen, es nach und nach ausspionieren und sich immer weiter ausbreiten, bis sie hochwertige Ressourcen finden, die sie stehlen oder zerstören können.

Dieser Prozess umfasst in der Regel mehrere kompromittierte Hosts, eine Vielzahl von Tools und malware sowie den Diebstahl und Missbrauch gültiger Benutzeranmeldedaten. Wichtig ist, dass die Bedrohung selbst fortbesteht, während die Angreifer ihre Operationen weiterentwickeln und sich im Laufe der Zeit anpassen.

Die Bedrohung selbst besteht fort, da die Angreifer ihre Operationen weiterentwickeln und sich mit der Zeit anpassen.

Die reduzierte Natur von Signaturen, die Bedrohungen auf atomarer Ebene identifizieren, ist besonders schlecht geeignet, um die komplexere Chemie zu erkennen, die um sie herum abläuft. Diese Informationslücke ist genau der Grund, warum ein neues Sicherheitsmodell für die Erkennung von Bedrohungen so wichtig ist.

Das neue Modell zur Erkennung von Bedrohungen

Das neueste, fortschrittlichste Modell zur Erkennung von Bedrohungen schließt nicht nur die Lücken der herkömmlichen Sicherheitstechnologien. Es macht den strategischen Vorteil zunichte, den Angreifer zu lange genossen haben.

Grobkörnige Erkennungen mit langer Haltbarkeitsdauer

Erkennungen, die herkömmliche Signaturen verwenden, werden obsolet, wenn Angreifer sich anpassen, indem sie in einen neuen Bereich wechseln oder ein paar Bits zu bekannten malware hinzufügen, so dass die Signaturen nicht mehr passen. Dies verschafft ihnen einen "First-Mover"-Vorteil, bei dem selbst die trivialsten Änderungen dazu führen, dass die Angreifer den Verteidigern mehrere Schritte voraus sind.

Eines der Hauptziele des neuen Modells zur Erkennung von Bedrohungen ist es, Erkennungen zu liefern, die über lange Zeiträume hinweg gültig sind. Dies erfordert eine Verlagerung von der Erstellung von Fingerabdrücken für jede einzelne Bedrohung hin zur Erkennung der grundlegenden Angriffsmerkmale, die alle Bedrohungen gemeinsam haben.

Bei Anwendung auf den Datenverkehr auf Paketebene werden Datenwissenschaft und maschinelles Lernen zu äußerst leistungsfähigen Werkzeugen, um die grundlegenden Merkmale zu ermitteln, die Bedrohungen von normalem Datenverkehr unterscheiden.

Konzentration auf die Handlungen und Verhaltensweisen der Angreifer

Herkömmliche Erkennungsmodelle versuchen, Schnipsel von Exploit-Code, eine bekannte Probe von malware oder eine bösartige Domäne zu finden. Dies führt zu der unlösbaren Aufgabe, ständig eine unendliche Anzahl bösartiger Vorkommnisse zu finden und mit Fingerabdrücken zu versehen. Die Aufgabe ist endlos, und die Angreifer sind immer einen Schritt voraus, indem sie einen neuen Exploit verwenden.

Um diesen Kreislauf zu durchbrechen, verlagert das neue Modell zur Erkennung von Bedrohungen den Schwerpunkt von dem Versuch, alle möglichen bösen Dinge zu benennen, auf die Identifizierung der eindeutigen Indikatoren für Angriffsverhalten und -aktionen.

Mit anderen Worten, das Ziel verlagert sich von der Identifizierung dessen, was ein Ding ist, zur Identifizierung dessen, was das Ding tut. Obwohl Angreifer ihre Bedrohungen verbergen können, indem sie geringfügige Änderungen an malware vornehmen oder eine neue Domain kaufen, sind die Aktionen und Ziele eines Angriffs immer die gleichen.

So muss beispielsweise praktisch jeder Angriff eine Form der verdeckten Kommunikation aufbauen, damit der Angreifer den Angriff koordinieren und steuern kann. Der Angriff muss sich auch intern ausbreiten, weitere interne Geräte und Anmeldeinformationen kompromittieren und schließlich Vermögenswerte zerstören oder aus dem Netzwerk exfiltrieren.

Praktisch jeder Angriff muss eine Form der verdeckten Kommunikation aufbauen, um den Angriff zu koordinieren und zu steuern.

Indem sie sich auf das Angriffsverhalten konzentrieren, können Verteidiger den asymmetrischen Cybersecurity-Krieg bekämpfen und gewinnen, indem sie die Mathematik der Sicherheit wieder zu ihren Gunsten verschieben. Anstatt Tausende von Signaturen zu verwenden, um jede Variante einer Bedrohung zu finden, können sie sich auf ein paar Dutzend Schlüsselverhaltensweisen konzentrieren, die Angreifer ausführen müssen, um erfolgreich zu sein.

Erkennen von Bedrohungen im Laufe der Zeit

Eines der erkennbarsten Merkmale moderner Netzwerkdatenverletzungen ist, dass sie sich mit der Zeit entwickeln. Dieser langsame Ansatz ist bei ausgeklügelten Angriffen zum Standard geworden, und das aus gutem Grund. Die traditionelle Sicherheit leidet unter einem Kurzzeitgedächtnis und einer Form von perfekter Amnesie nach einem Einbruch.

Die traditionelle Sicherheit leidet unter dem Kurzzeitgedächtnis und einer Form von perfekter Amnesie nach einem Einbruch.

Das neue Modell zur Erkennung von Bedrohungen erkennt Bedrohungen in Echtzeit und identifiziert die Anzeichen von Angriffen, die sich im Laufe der Zeit entwickeln. Das eine schließt das andere nicht aus. So können beispielsweise kleine zeitliche Anomalien und Kadenzen innerhalb einer Netzwerksitzung versteckte Tunnel und von Angreifern verwendete Fernzugriffstools aufdecken.

Umgekehrt kann es erforderlich sein, das normale Verhalten eines Benutzers über einen Zeitraum von Tagen, Wochen und Monaten zu erlernen, um zu erkennen, wann die Anmeldedaten eines Mitarbeiters kompromittiert wurden. Auch wenn die Zeitspanne sehr klein oder sehr lang sein kann, erfordern beide Fälle ein genaues Verständnis der Bedrohungen im Verhältnis zur Zeit.

Erkennen von Angriffen, nicht nur von Techniken

Um einen Mehrwert zu bieten, muss die Sicherheit echte Geschäftsrisiken für ein Unternehmen identifizieren und nicht nur eine Liste von Warnmeldungen liefern. Dies erfordert Sicherheitslösungen, die verstehen, wie einzelne Ereignisse miteinander verbunden sind und welche Auswirkungen diese Bedrohungen auf die Vermögenswerte eines Unternehmens haben.

Dazu ist eine Kombination aus Bedrohungskontext und organisatorischem Kontext erforderlich. Die Fähigkeit, die einzelnen Phasen eines Angriffs miteinander zu verknüpfen, ist genau das, was einen gezielten Angriff von der Flut an Standardbedrohungen unterscheidet, mit denen Netzwerke täglich überschwemmt werden.

Erkennen von Bedrohungen mit Data Science

Um diesen Anforderungen gerecht zu werden, können Techniken der Datenwissenschaft und des maschinellen Lernens direkt auf den Netzwerkverkehr angewendet werden. Das neueste Modell zur Erkennung von Bedrohungen nutzt beides, um proaktiv versteckte Angriffe innerhalb eines Netzwerks aufzudecken.

Warum sollte man Datenwissenschaft nutzen?

Datenwissenschaft und maschinelles Lernen sind in der Branche zu Schlagwörtern geworden, mit einer scheinbar endlosen Reihe von Behauptungen und Anwendungen. Es ist wichtig zu verstehen, dass es sich dabei lediglich um Werkzeuge handelt und nicht um ein Allheilmittel für jedes Sicherheitsproblem.

Um einen Marketing-Hype zu vermeiden, ist es wichtig, genau zu verstehen, was diese Ansätze bewirken, wie sie sich von anderen Ansätzen unterscheiden und welche Stärken und Schwächen sie mit sich bringen.

Die Datenwissenschaft stellt einen grundlegenden Wandel in der Sicherheit dar. Im Gegensatz zu einem signaturbasierten Ansatz, der eine 1:1-Zuordnung von Bedrohungen zu Gegenmaßnahmen liefert, nutzt die Datenwissenschaft das kollektive Lernen aller in der Vergangenheit beobachteten Bedrohungen, um proaktiv neue Bedrohungen zu identifizieren, die zuvor nicht erkannt wurden.

Stellen Sie sich vor, ein Schüler lernt in der Schule ein neues Fach. Die Antworten auf einen Test auswendig zu lernen, mag zu einer guten Note führen, aber dieser Ansatz verfehlt sein Ziel, wenn es darum geht, zu lernen, wie man ein Problem löst.

Langfristig ist es wichtig, das Was, Wann, Warum und Wie zu verstehen. Tatsächliches Wissen und Intelligenz sind weitaus vorteilhafter, wenn es darum geht, neue Probleme zu bewerten und zu lösen, auf die man bisher noch nicht gestoßen ist.

Dies ist ein äußerst wichtiger Unterschied bei der Verwendung von Datenwissenschaft zur Erkennung von Bedrohungen. Damit das traditionelle Modell funktioniert, müssen alle Antworten im Voraus bekannt sein. Die Domäne ACME.com zum Beispiel hat sich in der Vergangenheit schlecht verhalten, also ist sie schlecht.

Die Datenwissenschaft erwartet, dass ihr echte Fragen gestellt werden, und wendet kollektives Lernen an, um eine Unbekannte zu bewerten.

In einem anderen Szenario hat sich ACME123.com in der Vergangenheit nie schlecht verhalten, aber der Verkehr zu und von dieser Domäne zeigt vier verschiedene Verhaltensweisen, deren Kombination mit dem Verhalten von Command-and-Control-Angriffen übereinstimmt.

Anhand des kollektiven Wissens über Bedrohungen aus der realen Welt ist es möglich, die Domäne anhand ihres Verhaltens als bösartig zu identifizieren.

Die Bedeutung von direkten Daten aus erster Hand

Data-Science-Modelle sind natürlich von der Qualität der Daten abhängig, die sie analysieren, und dies gilt insbesondere für den Bereich der Cybersicherheit. Für Cybersicherheitslösungen ist es von entscheidender Bedeutung, heimliche Bedrohungen zu finden, die sich an den herkömmlichen Kontrollen vorbeischleichen, und für diese Aufgabe ist ein direkter, direkter Zugang zum gesamten Netzwerkverkehr erforderlich.

Die überwiegende Mehrheit der Ansätze, die Data Science zur Erkennung von Bedrohungen einsetzen, führen Data Mining anhand großer Datenbanken mit Ereignisprotokollen durch. Dieser Ansatz kann zwar Korrelationen zwischen Protokollen aufdecken, die zuvor übersehen wurden, hat jedoch einige beunruhigende Einschränkungen.

Protokolle sind eine sekundäre Datenquelle, die eine kurze Zusammenfassung eines Ereignisses enthält. Informationen, die nicht in einem Protokoll enthalten sind, gehen verloren und stehen für die Analyse nicht zur Verfügung. Außerdem sind Protokolle nur so gut wie das System, das sie erstellt. Wenn eine vorgeschaltete Firewall oder ein Sicherheitsgerät eine Bedrohung nicht erkennt, gibt es kein Protokoll, das analysiert werden kann.

Die Einschränkungen der Protokolldaten sind beunruhigend. Die Aufgabe einer Cybersicherheitslösung besteht darin, Bedrohungen zu erkennen, die sich den Standardverteidigungsschichten entziehen. Die erneute Analyse von Zusammenfassungen von Geräten, die bereits bei der Erkennung einer Bedrohung versagt haben, ist kaum logisch.

Die erneute Analyse von Protokollen von Geräten, die eine Bedrohung nicht erkannt haben, ist kaum logisch.

NetFlow und andere Flusszusammenfassungen leiden unter ähnlichen Einschränkungen. Flussdaten überwachen und verfolgen die Leistung in der Netzwerkleitung. Diese Zusammenfassungen beschränken sich auf die Verfolgung der Richtung und des Umfangs des Netzwerkverkehrs und bieten nicht den direkten Einblick aus erster Hand, der erforderlich ist, um eine versteckte, hochgradig ausweichende Bedrohung zu finden.

Datenwissenschaftliche Modelle sind viel leistungsfähiger, wenn sie auf Daten höherer Qualität angewendet werden. Anstatt einfach Daten aus fehlerhaften Quellen auszuwerten, wendet das neue Modell zur Erkennung von Bedrohungen Data Science und maschinelles Lernen auf den Netzwerkverkehr auf Paketebene an.

Dieser direkte, unmittelbare Zugang zum Datenverkehr stellt eine völlig neue Art der Bedrohungserkennung dar. Anstatt Ereignisse zu korrelieren oder einfache Baselines zu lernen, erstellt die fortschrittliche Bedrohungserkennung Echtzeitmodelle, die das Verhalten des bösartigen Datenverkehrs erkennen.

Cyberangriffe entwickeln sich ständig weiter. Da das neue Modell zur Erkennung von Bedrohungen jedoch den Datenverkehr aus erster Hand kennt, kann es sich stets anpassen, um neue Angriffstechniken und -strategien zu erkennen. Dies steht in krassem Gegensatz zu protokoll- und flussbasierten Systemen, die immer auf vorgelagerte Datenquellen angewiesen sind.

Die Rolle des maschinellen Lernens in der Datenwissenschaft

Die Popularität und das Interesse an Datenwissenschaft und maschinellem Lernen haben beide Begriffe zu glatten Schlagwörtern gemacht, so dass es schwierig ist, sie voneinander zu unterscheiden.

Die Datenwissenschaft befasst sich mit den vielen Möglichkeiten, wie Wissen aus Daten gewonnen werden kann. Die weitreichende Perspektive umfasst ein breites Spektrum an Disziplinen, darunter Mathematik, Statistik, maschinelles Lernen und eine Vielzahl von Analysemethoden, um nur einige zu nennen.

Es ist wichtig, darauf hinzuweisen, dass maschinelles Lernen ein Teilbereich der Datenwissenschaft ist. Das neue Modell zur Erkennung von Bedrohungen nutzt ebenfalls eine breite Palette von datenwissenschaftlichen Techniken, darunter überwachtes und nicht überwachtes maschinelles Lernen, mathematische heuristische Erkennungsmodelle, statistische Modellierung und Verhaltensanalyse.

Maschinelles Lernen ermöglicht es Software, iterativ aus Daten zu lernen und sich anzupassen, ohne explizit programmiert zu werden. Im Zusammenhang mit der Erkennung von Bedrohungen identifiziert und erlernt das maschinelle Lernen Verhaltensmuster, die einen Angriff erkennen lassen.

Im Zusammenhang mit der Erkennung von Bedrohungen identifiziert und erlernt das maschinelle Lernen Verhaltensmuster, die auf einen Angriff hindeuten.

Überwachtes und unüberwachtes maschinelles Lernen

Für die Erkennung von Bedrohungen sind zwei Arten von hochrangigen Datensätzen erforderlich. Der erste ist ein globaler Satz von Erfahrungen, der aufzeigt, wie sich Bedrohungen vom normalen oder gutartigen Verkehr unterscheiden. Der zweite ist ein lokaler Satz von Erfahrungen, der ungewöhnliche oder anomale Verhaltensweisen in einer bestimmten Umgebung aufzeigt.

Der erste Ansatz zeigt Verhaltensweisen auf, die immer schlecht sind, unabhängig davon, in welchem Netz sie auftreten, und der zweite Ansatz zeigt Bedrohungen auf der Grundlage des lokalen Kontexts auf. Beide sind für die Erkennung von Bedrohungen von entscheidender Bedeutung, und sie müssen zusammenarbeiten.

Das überwachte maschinelle Lernen befasst sich mit dem ersten Ansatz, indem bekannte malware, Bedrohungen und Angriffstechniken analysiert werden. Es wird von Sicherheitsforschern und Datenwissenschaftlern geleitet, die grundlegende Verhaltensweisen nach einem Angriff identifizieren, die für alle Varianten gleich sind. Diese Analyse fließt dann in Algorithmen ein, die zugrundeliegende bösartige Verhaltensweisen im Netzwerkverkehr erkennen.

Während globale Erkenntnisse äußerst nützlich sind, lassen sich einige Angriffe nur aufdecken, wenn man den lokalen Kontext des Zielnetzes versteht. Unüberwachtes maschinelles Lernen bezieht sich auf Modelle, die proaktiv erkennen, was für ein bestimmtes Netzwerk normal ist und wann das Verhalten von dieser Norm abweicht.

Beide Arten des maschinellen Lernens sind unerlässlich und arbeiten zusammen, um versteckte Bedrohungen zu erkennen. Ebenso unterstützen beide Arten Erkennungsalgorithmen, die auf Informationen basieren, die über längere Zeiträume hinweg beobachtet werden.

Das neue Modell zur Erkennung von Bedrohungen erkennt nicht mehr innerhalb weniger Millisekunden auf der Grundlage eines einzelnen Datenpakets oder Datenflusses, sondern lernt und identifiziert Angriffsmuster über Zeiträume von Sekunden bis Wochen.

Schlussfolgerung

Das neueste und fortschrittlichste Modell zur Erkennung von Bedrohungen kombiniert ein breites Spektrum an branchenführenden Erkenntnissen und Erkennungstechniken, um Bedrohungen aus allen Blickwinkeln in Echtzeit zu erkennen. Es stellt eine neue, effektivere und hochgradig kompetente Erkennungsmethode dar, die die Datenwissenschaft nutzt, um Bedrohungen zu erkennen, die von herkömmlichen Sicherheitsmodellen übersehen werden.

‍