Gérard Bauer

ist Vice President EMEA bei Vectra Networks.

CyberkriminalitätSicherheit

Maschinelles Lernen gegen Insider Threats

1 31 Keine Kommentare

Sicherheitsansätze, die am Perimeter ansetzen, sind zwar nach wie vor notwendig, aber reichen heute bei weitem nicht mehr aus. Gérard Bauer, Vice President EMEA bei Vectra Networks, erklärt welche Möglichkeiten Unternehmen haben, das Netzwerk gegen gerichtete Attacken abzusichern.

Über Datenintegrität und -diebstahl wird heute zwar vielerorts diskutiert. Dennoch nehmen viele deutsche Unternehmen die Bedrohungen, die von Hackern und Co. ausgehen, nicht ernst. Das hat beispielsweise die Studie “Datenklau 2015” von Ernst and Young herausgefunden. Viele Angriffe seien, so die Erhebung, lediglich durch ein internes Kontrollsystem aufgeflogen, bei Routineprüfungen oder zufällig. Neue IT-Security-Ansätze und Herangehensweisen sind daher notwendig, um dieser Bedrohung Herr zu werden. Leistungsstarke und mitdenkende Lösungen zur Echtzeit-Erkennung laufender Cyberangriffe können Abhilfe schaffen – bei Angriffen von außen und den oftmals noch schwerwiegenderen Attacken von innen, den sogenannten Insider Threats.

Mitdenkende Sicherheitsmodelle vereinen Schutz und Intelligenz

Datendiebstähle und Hackerangriffe eigener Mitarbeiter machen laut einer aktuellen Studie der Carnegie Mellon University 28 Prozent aller Cyber-Angriffe aus. 32 Prozent der betroffenen Firmen berichten zudem, dass der Schaden durch eigene Angestellte wesentlich größer war als der durch externe Attacken. Weltweit entsteht so ein wirtschaftlicher Schaden von geschätzt 2,9 Billionen US-Dollar – ganz zu schweigen vom Reputationsverlust. Insbesondere wenn es um Bedrohungen aus den eigenen Reihen geht, reicht es nicht länger aus, sich auf signaturbasierte und starre Sicherheitsmethoden zu verlassen. Sie opfern verlässliche Absicherung oftmals zugunsten der Schnelligkeit. Stattdessen gilt es, die Aufmerksamkeit auf neue und mitdenkende Sicherheitsmodelle zu lenken, die Intelligenz und umfassenden Schutz miteinander vereinen, um so Bedrohungen aufzudecken, die die größten Risiken darstellen.

Ein großes Problem: Auch wenn die Zahl der Angriffe stetig steigt: Nur ein Drittel der deutschen Unternehmen sieht ein eher hohes oder sehr hohes Risiko, Opfer eines Cyberangriffs zu werden. Dabei sind Unternehmen jeder Größe und Branche betroffen.

Rachegelüste oder Unwissenheit als Grundlage für  Datenmissbrauch

Ein Beispiel: Der IT-Administrator einer Bank hegt aufgrund einer Kündigung oder ausbleibenden Beförderung Groll gegen das Unternehmen. Von Rachegedanken getrieben, verschafft er sich Zugang zu Kreditkarten-Informationen, um diese auf dem Schwarzmarkt zu verkaufen. Mit viel Zeit und technischem Know-how erlangt er Zugangsberechtigungen und Passwörter seiner Kollegen der Finanzabteilung. Nun muss er die Daten leidglich auf sein Device importieren und damit unauffällig den Weg nach draußen einschlagen. Das nötige Wissen kann mittlerweile übrigens jeder Nutzer einfach erlernen. So gibt es komplette Videoanleitungen bei YouTube, die Schritt für Schritt bestimmte Angriffe erklären.

Aber es gibt auch Mitarbeiter, die unwissentlich zum Helfer von Datendieben werden, wenn sie sich beispielsweise via Laptop oder Smartphone mit Firmeninformationen in ein öffentliches Netzwerk einloggen und hier zur Zielscheibe für Hacker werden. Sie infizieren die Systeme mit Malware. Trägt der Mitarbeiter nun seinen verseuchten Rechner zurück ins Unternehmen, beginnt die Malware, eine Verbindung zu seinem C&C Server aufzubauen. Die Folge: Die Malware verbreitet sich innerhalb kürzester Zeit im kompletten Firmennetzwerk.

Echtzeit-Erkennung und intuitive Software-Plattformen gegen Insider Threats

Beispiele wie diese zeigen, dass sich alle perimeterbasierten Sicherheitssysteme einfach umgehen lassen. Anstatt sich auf die Analyse bereits vollzogener Angriffen und Systeme zu konzentrieren, die die Malware am Perimeter abfangen, ist es daher sinnvoller, den Fokus bewusst auf die Echtzeit-Erkennung gerade stattfindender Angriffe zu lenken. Denn wer im Datenwust versucht, die Kommunikation eines Schädlings und im zweiten Schritt den Schädling selbst ausfindig zu machen, sucht letztendlich nach der sprichwörtlichen Nadel im Heuhaufen. Vollständig automatisierte und intuitive Software-Plattformen unterstützen eine Echtzeit-Erkennung. Wir setzen daher bei unserer Lösung ganz bewusst auf Data Science, maschinelles Lernen und Verhaltensanalyse. Hierdurch lassen sich abweichendes Verhalten von Mitarbeitern im Firmennetzwerk erkennen, Gefahren priorisieren und direkte Einblicke in die Hackeraktivität gewinnen. Dies gelingt, indem der gesamte interne Netzwerktraffic über alle Betriebssysteme, Applications und Geräte hinweg kontinuierlich überwacht wird. Basierend auf diesem kontrollierten Traffic, lassen sich Anwendergruppen, Devices und hochwertige Datenassets konstruieren, die das tatsächliche Netzwerkverhalten des jeweiligen Unternehmens widerspiegeln. Ungewöhnliche Verbindungen, Datenaustausche und -wechsel werden sofort ersichtlich und zurückverfolgbar. Im Anschluss lassen sich Risiken identifizieren und priorisieren sowie Verhaltensanomalien mit bestimmten geschäftsrelevanten Daten des Unternehmens in Verbindung bringen. Durch die Visualisierung der Communities im Zusammenhang mit zentralen Assets können IT-ler Hosts schnell und einfach identifizieren, die nicht in diese Netzwerkverbände gehören. Zudem wissen IT-Experten  umgehend, wo und vor allem wie sie ihre Ressourcen einsetzen müssen, um einen größeren Schaden abzuwenden.

Damit nicht genug: Im Falle gezielter und opportunistischer Attacken können maschinelle Echtzeit-Methoden Befehle und Kontrollen, aber auch Botnetz-Monetisierung, Aufklärung, laterale Bewegungen, Datenakquise sowie das Herausschleusen von Informationen automatisch erkennen. Alle Phasen der Attacke lassen sich somit sofort identifizieren und aufdecken, was ein sofortiges Eingreifen ermöglicht.

Unregelmäßigkeiten automatisch erkennen

Neben dem 24/7-Monitoring des Netzwerkverkehrs scannt eine derartige Software zudem jegliche Geräte, Kontenzugriffe und Aktivitäten der verschiedenen Nutzergruppen, die im Firmennetzwerk aktiv sind. Zurück zum Beispiel des Mitarbeiters, der Kreditkarteninformationen auf dem Schwarzmarkt verkaufen möchte: Sobald dieser auf Nutzerkonten und Daten der Finanzabteilung zugreift, erkennt das System diese Unregelmäßigkeit und gibt den Security-Verantwortlichen umgehend einen direkten Hinweis. Unternehmen können Hacker zwar nicht an der Weiterentwicklung immer ausgefeilterer Angriffsmethoden hindern, aber sie können ihnen durch den Einsatz intelligenter Sicherheitssoftware den Weg zu sensiblen Daten erschweren und Unternehmen dadurch effizienter vor größerem Schaden schützen.