Vergrößerung der Angriffsfläche bringt IT-Sicherheitsteams ans Limit – Unterstützung durch maschinelles Lernen kann helfen die Lücken zu schließen
ID: 1999964
Was bedeutet dies für die Praxis? Wenn ein Eindringen von Angreifern nicht zu 100% verhindert werden kann, worin bestehen dann die Möglichkeiten zur Vermeidung schwerwiegender Angriffe?
Andreas Riepen, Head Zentral- und Osteuropa bei Vectra AI, erläutert:
„Es ist eine Binsenweisheit, dass die größte Quelle von Sicherheitsproblemen und Kosten, auf zwei Beinen herumläuft. In den meisten Fällen erfolgreicher Cyber-Attacken in jüngster Zeit wurden die meisten Probleme von den Mitarbeitern verursacht. In Anbetracht dieser Tatsachen umfasst die Aufgabe der Cyber Security ein gewisses Maß an Prävention, aber auch ein erhebliches Maß an Ermittlungen und Abhilfe.
Der größte Durchbruch in der Cyber Security in den letzten Jahren bestand in dem Einsatz von Machine Learning (ML), um herauszubekommen, wann ein Angriff erfolgreich war. Es ist kein einfacher Prozess, aber die Methoden der meisten Angreifer basieren auf denselben Drehbüchern oder offensichtlichen Variationen davon.
Ist es nicht so, dass Netzwerkverkehr, der von Malware ausgeht, einen Alarm auslöst, sobald er erkannt wird? Nicht unbedingt, und zwar aus mehreren Gründen. Das Verfahren zur Ermittlung des normalen Verhaltens kann höchst problematisch sein. Angreifer wissen, wie sie die Erkennung von Anomalien umgehen können. Sie maskieren ihre Aktivitäten so, dass sie den Anschein erwecken, sie seien ein Teil der normalen Prozesse. Ein Beispiel dazu: Die Befehle von Command und Control sehen oft so aus, als ob es sich um einfache Signale handelt – im Netzwerk sieht man diese periodischen Spitzen des Datenverkehrs. Und das ist der erste Schritt. Aber der erste Schritt umfasst auch jede mobile Anwendung, die es jemals gegeben hat, denn Push-Benachrichtigungen sehen genauso aus.
Der Ansatz von Vectra umgeht das Problem des überwachten oder unüberwachten maschinellen Lernens, indem er sich zunächst mit dem spezifischen Sicherheitsproblem befasst, das gelöst werden muss. Wenn man also versucht, ein Sicherheitsproblem zu lösen, muss man verstehen, welches Problem man zuerst lösen will. Und der Ansatz, den wir verfolgen, besteht darin, dass wir mit unseren Sicherheitsforschern beginnen, das Problem zu identifizieren. Es könnte zum Beispiel so etwas sein wie: Ich möchte die Befehls- und Kontrollmechanismen des Angreifers im HTTPS-Webverkehr finden. Wir arbeiten dann mit einem Datenwissenschaftler zusammen, um die beste Methode zur Lösung dieses Problems zu finden. Ist dies ein Klassifizierungsproblem? Oder ist es ein Anomalie-Problem?
Dieser Ansatz, bei dem implizit akzeptiert wird, dass jedes Netzwerk anders ist und andere Lösungen erfordert, lässt vermuten, dass die Plattform sehr umfangreich ist. Und welches mittlerweile massiv verteilte Netzwerk ist nicht dynamisch – man denke nur an Home Working, Multi Cloud, SaaS-Instanzen und so weiter?
Aber allerdings besteht der einzige Vorteil von Angreifern darin, dass sie unabhängig von der spezifischen Netzwerktopologie immer nach demselben Schema vorgehen. In der Tat gibt es für solche Missetäter keinen Unterschied zwischen einem internen LAN, einem lokalen Rechenzentrum und einer beliebigen Anzahl von entfernten Clouds – für sie ist es nur ein einziges Netzwerk. Die von ihnen gewünschten Ergebnisse sind die gleichen, und daher gibt es ein hohes Maß an Standardisierung in Bezug auf Infiltration, Befehlen von Selbstausbreitung und Ausdehnung, Command und Control, Abfangen von Anmeldeinformationen, Abziehen von Daten, Verschlüsselung und so weiter. Indem die Rezepte der Angreifer verarbeitet werden, sind die AI-Algorithmen von Vectra in der Lage, die identischen Muster der Angreifer zu erkennen und entsprechend zu reagieren.
Was sich geändert hat, ist die Angriffsfläche, auf der die Bad Guys operieren können – sie ist viel größer geworden, seit Remote Working, eine stärkere Nutzung von Cloud-Diensten, eine breitere Anzahl von Diensten, die für die Erledigung der täglichen Arbeit erforderlich sind, sowie andere Faktoren wie die zunehmende Präsenz von IIoT (Industrial Internet of Things) und IoT (Internet of Things), die in TCP/IP-Netzwerken eine Rolle spielen.
Unabhängig davon, woher der Angriff kommt und über welchen Mechanismus sich die Angreifer Zugang verschaffen, gibt es natürlich einige Hinweise auf die Präsenz von kriminellen Akteuren. Die Beziehung zwischen dem Angreifer und dem Endpunkt, der sich im Inneren des IT-Systems befindet, sieht immer anders aus als die Beziehung zwischen einem Endbenutzer und einem Server am anderen Ende. Bei Befehlen wie Command und Control ist es genau umgekehrt: Der Angreifer beginnt und der Client innerhalb des Netzwerks antwortet.
Außerdem hilft zum Beispiel die Kenntnis des Frameworks von MITRE ATT&CK bei der Identifizierung von bösartigem Verhalten: Hersteller A wird sagen, dass es sich um Trojaner XYZ handelt, Hersteller B wird sagen, dass es sich um Botnet 123 handelt, Hersteller C wird sagen ... und so weiter. Aber das MITRE-Framework verschafft uns einen Überblick.
Die Tools mögen intelligent sein, aber Unternehmen sollten daraus nicht ableiten, dass das Personal für Cyber Security nicht mehr qualifiziert sein muss. Jedes Tool für Cyber Security erfordert nach wie vor Fachwissen, um es richtig zu nutzen und menschliche Einsichten in die hochdynamischen Ergebnisse zu bringen. Das Vectra-Dashboard ist nicht dafür konzipiert, von Anfängern bedient zu werden. Es hilft vielmehr qualifiziertem Personal, seine Arbeit effizienter zu erledigen und im Falle einer unabwendbaren Sicherheitsverletzung sehr viel schneller zu reagieren.
Ein weiterer Vorteil ist die Tatsache, dass die Benutzer nicht unbedingt über mehr als zehn Jahre Erfahrung verfügen müssen, um die Plattform zu nutzen. Die Plattform geht so vor, dass sie die besonders kritischen Vorgänge im Netzwerk aufspürt und den Nutzern dabei hilft, Prioritäten zu setzen, was für das Unternehmen die größte Bedrohung darstellt.
Die vor zehn Jahren gesammelten Erfahrungen sind nach wie vor relevant, aber die Natur von Netzwerken hat sich sehr stark verändert und wird sich auch in Zukunft weiterentwickeln. Ich denke, dass sich die Definition des Begriffs Netzwerk ändern muss. Die meisten Leute betrachten das Netzwerk als ein Rechenzentrum, aber es ist viel mehr als das. Ich glaube, dass die Bereitstellung eines wirklich klaren Netzsignals von entscheidender Bedeutung ist. Wir müssen sicherstellen, dass wir auch die Cloud-Technologien im Auge behalten. Ob es sich um Infrastructure as a Service, Platform as a Service, Software as a Service oder um ein Rechenzentrum handelt – wir müssen die gesamte Angriffsfläche sichtbar machen, um Angreifer verfolgen zu können, wenn sie von einem zum anderen Element wechseln."
# # # ENDE # # #
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Vectra ist führend bei der Erkennung von Cyber-Bedrohungen und angepassten Reaktionen für hybride und Multi-Cloud-Unternehmen. Die Vectra-Plattform benutzt AI zur schnellen Ermittlung von Bedrohungen in der Public Cloud, bei Identitäts- und SaaS-Anwendungen sowie in Rechenzentren. Nur Vectra optimiert die AI, um die Methoden der Angreifer – die Tactics, Techniques and Procedures (TTPs), die allen Angriffen zugrunde liegen – zu erkennen, anstatt einfach nur zu warnen. Das daraus resultierende realitätsnahe Bedrohungssignal und der klare Kontext ermöglichen es Teams für Cyber Security, schneller auf Bedrohungen zu reagieren und laufende Angriffe zu stoppen. Unternehmen auf der ganzen Welt verlassen sich auf Vectra, wenn es darum geht, gefährlichen Cyber-Bedrohungen zu widerstehen und zu verhindern, dass Ransomware, Behinderungen der Lieferkette, Übernahmen von Identitäten und andere Cyber-Attacken ihre Geschäfte beeinträchtigen.
tech2com UG
Philipp Haberland
Am Burgholz 18
D-73098 Rechberghausen
Festnetz: 07162/601400-1
Mobil: 0163/2722363
Mail: p.haberland(at)tech2com.de
Datum: 11.08.2022 - 10:19 Uhr
Sprache: Deutsch
News-ID 1999964
Anzahl Zeichen: 7363
Kontakt-Informationen:
Ansprechpartner: Philipp Haberland
Kategorie:
Sicherheit
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 11.08.2022
Diese Pressemitteilung wurde bisher 277 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Vergrößerung der Angriffsfläche bringt IT-Sicherheitsteams ans Limit – Unterstützung durch maschinelles Lernen kann helfen die Lücken zu schließen"
steht unter der journalistisch-redaktionellen Verantwortung von
Sparta PR (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
München/Zürich, den 20. Juli 2023 - Vectra AI, der Pionier im Bereich der KI-gesteuerten Cyber-Bedrohungserkennung und -Reaktion für hybride und Multi-Cloud-Unternehmen, veröffentlicht die Ergebnisse des “2023 State of Threat Detection Research Report”, der Einblicke in die "Spirale des
Die 3 Cs der Blindheit der Cybersicherheit – Vectra AI erläutert Coverage, Clarity und Control ...
München/Wien/Zürich, den 08.06.2023 – Das Zentrum von Security-Prozessen ist blind. In einem technologischen Sammelsurium aus nicht überprüften Remote-Geräten, Netzwerken von Drittanbietern und anonymen Clouds tappen die SOC-Analysten (Security Operations Center) der Region im Dunkeln. Doch a
Vectra AI stellt CDR for AWS vor – Mehr Sicherheit durch AI-gesteuerten Konten-Lockdown ...
München, den 31.Mai 2023 – Die Zahl der Cyberangriffe, die Cloud-Systeme ausnutzen, hat sich im Jahr 2022 fast verdoppelt, wie ein bei Axios zitierter Bericht zeigt. Amazon Web Services (AWS) ist einer der führenden Cloud-Anbieter der Welt und damit auch eines der Top-Ziele für Angriffe. Jedes
Weitere Mitteilungen von Sparta PR
Vectra AI stärkt erneut Führungsteam mit neuer strategischer Beraterin Myrna Soto ...
München, den 10. August 2022 – Vectra AI, ein führender Anbieter von KI-gestützter Bedrohungserkennung und -abwehr für die Hybrid- und Multi-Cloud, hat heute bekannt gegeben, dass Myrna Soto dem Unternehmen beigetreten ist. Soto wird als wichtige Beraterin für das Führungsteam und den Vorst
Vectra gibt zwei neue Ernennungen zur Stärkung des EMEA-Führungsteams bekannt – Christian Borst wird CTO EMEA, Teppo Halonen wird VP EMEA ...
München, den 8. August 2022 – Vectra AI, ein führender Anbieter von KI-gestützter Bedrohungserkennung und -abwehr für Hybrid- und Multi-Cloud-Unternehmen, hat heute zwei neue Ernennungen für sein EMEA-Führungsteam bekannt gegeben. Teppo Halonen ist zum Vice President EMEA und Christian
Alarmmeldungen sortieren war gestern – Vectra erläutert Konzept von AI-Triage ...
München, den 08.08.2022 – Wenn man Security-Analysten bittet, die größten Probleme in ihrer Rolle zu beschreiben, werden alle die Herausforderung nennen, mit der so genannten Alarmmüdigkeit umzugehen. Vectra AI hat beobachtet, dass sich die Herausforderungen in diesem Bereich auf drei Schmerzp
Die großen Unbekannten für SOC-Teams – Vectra erläutert das Risiko des Unbekannten ...
München, den 02.08.2022 – Um für eine bestmögliche Cybersicherheit zu sorgen, müssen die Zuständigen in Unternehmen viele verschiedene Aufgaben meistern. Eine zentrale Herausforderung ist dabei nach Erfahrung von Vectra AI die Beseitigung der „Unbekannten“. Konkret geht es Vectra AI u
