Dynamische und automatisierte Angriffsprävention : Granulare Risikoprofile pro User verkleinern die Angriffsfläche drastisch
Künstliche Intelligenz (KI) und Machine Learning sind mittlerweile ein essenzieller Bestandteil der Cybersicherheit. Allerdings nutzen auch Angreifer diese Techniken mit zunehmendem Erfolg und entwickeln neue Bedrohungen, die ungleich schwerer zu erkennen sind. Es gilt, sogenannte Fileless-Attacks – Angriffe ohne das Einschleusen von Malware, die auf Basis und durch Missbrauch von bereits vorhandenen Applikationen erfolgen – zuverlässig abzuwehren.
Advertorial
Mit herkömmlichen Methoden, also auf Basis einzelner User und deren Endpoints, ist dies nicht sinnvoll möglich. Hier kommt KI wieder ins Spiel: Durch die Analyse der Verwendung sogenannter „Living-off-the-Land“-Applikationen, also Binaries, Remote Management und anderer legitimer Tools auf Nutzerebene, können individuelle Risikoprofile erstellt werden – automatisiert und dynamisch. So wird es letztlich nahezu unmöglich, diesen gefährlichen, weil schwer erkennbaren Angriffsweg erfolgreich zu nutzen. Lösungen wie Bitdefenders GravityZone PHASR helfen so, die Angriffsfläche umfassend, dynamisch, auf Wunsch automatisiert sowie höchst effizient zu verringern und Angriffe präventiv zu verhindern, bevor Schaden entsteht.
Durch die wachsende Zahl an immer ausgefeilteren und hochfrequent eintreffenden Cyberangriffen, denen Unternehmen heutzutage zunehmend ausgesetzt sind, reichen selbst innovative Technologien nur bedingt aus, um Angriffe rechtzeitig zu erkennen bzw. abzuwehren. Nur eine gut aufeinander abgestimmte Kombination aus Prävention, Protektion und Detektion ist in der Lage, Unternehmensressourcen angemessen zu schützen und gleichzeitig Sicherheitsteams zu entlasten.
Die Schwächen traditioneller Verhaltensanalysen
Mit KI- und Machine-Learning-Technologien als Basis zur Anomalieerkennung, ist bereits ein entscheidender Schritt hin zur präventiven Abwehr von Angriffen gemacht. Die Schwächen der klassischen Verhaltensanalyse ermöglichen es Angreifern aber, sich zu tarnen. Zudem führen sie zu Fehlalarmen, Mehraufwand und Alarmmüdigkeit.
Herkömmliche Analyseverfahren vernachlässigen zudem den branchen-und unternehmensspezifischen Kontext des Nutzerverhaltens. So entstehen generische Modelle, die das echte, individuelle Arbeitsverhalten einzelner Nutzer nicht mit einbeziehen. Haben die Angreifer einmal erfolgreich eines dieser vereinfachten Verhaltensmuster aufgedeckt, das die Sicherheitssoftware als legitim wertet, können sie ihr Vorgehen anpassen. Darüber hinaus können sie diese Angriffsmethoden auf andere Unternehmen mit der entsprechenden Sicherheitssoftware übertragen.
Zudem erschwert es die hohe Varianz im legitimen Nutzerverhalten der klassischen Verhaltensanalyse, zulässiges Verhalten eindeutig zu erkennen und festzulegen.
Eine aktuelle und sehr erfolgreiche Bedrohung sind Angriffe auf Basis von sogenannten Living-off-the-Land-Applikationen. Hacker nutzen legitime Tools wie etwa PowerShell, Remote Management Tools, Cryptominer und andere, um durch Missbrauch dieser legitimen Applikationen und Services Angriffspfade zu entwickeln, ohne das Übertragen von Malware. Diese hoch evasiven Techniken sind besonders schwer zu erkennen, denn die Aktionen eines für einen Nutzeraccount zulässigen Tools gelten zunächst als legitim.
Aufgrund dieser Sicherheitsprobleme sind Maßnahmen nötig, die auf Basis einer präzisen, individuellen und kontextbezogenen Verhaltensanalyse von Nutzern und Nutzergruppen proaktiv die individuellen Angriffsflächen dynamisch und automatisiert reduzieren. Solche Tools minimieren das Risiko bereits vor dem Exploit und blocken ganze Angriffskategorien bereits, bevor eine Anomalie auftritt – und das, ohne dabei die individuellen Arbeitsabläufe der Mitarbeiter zu beinträchtigen. So reduziert sich auch die Anzahl der Fehlalarme deutlich. Ein fortschrittliches Risikomanagement typisiert Anomalien individuell und adaptiv. Es passt Regeln kontinuierlich und auf Wunsch automatisiert an die jeweiligen Nutzer und Nutzergruppen sowie deren aktuelle Risiken an.
Individuelle Verhaltensanalyse und das Clustern von Nutzergruppen
Eine individualisierte und kontextbezogene Verhaltensanalyse ist die Basis, um typisches und damit wohl legitimes Nutzerverhalten zuverlässig von atypischen, potenziell bösartigen Vorgängen zu unterscheiden. Mitarbeiter der HR-Abteilung verwenden beispielsweise kein PowerShell. Der Tech-Marketing-Evangelist verwendet PowerShell jedoch regelmäßig, da er im ständigen Kontakt mit den Entwicklern im Unternehmen steht.
Eine moderne Lösung zur Verhaltensanalyse, Richtliniendefinition und Gefahrenabwehr clustert HR-Verantwortliche in eine Nutzergruppe und blockiert PowerShell, was die Angriffsfläche für diese Mitarbeiter bereits erheblich reduziert. Der Tech-Marketing-Evangelist erhält jedoch das Recht für PowerShell. Da eine Lösung wie Gravity Zone PHASR sein Verhalten aber weiterhin individuell und granular analysiert, kann das IT-Sicherheitsteam jederzeit dynamisch Schutzmaßnahmen und Richtlinien anpassen.
Drei Nutzertypen lassen sich definieren:
- Task User: Mitarbeiter mit klar definierten Arbeitsabläufen nutzen spezielle Tools kaum oder nur eingeschränkt. Bei ihnen ist es wichtig, unnötige Privilegien zu entfernen und strenge Ausführungsregeln durchzusetzen.
- Knowledge-User: Hierzu gehören Experten, die zwar Verhaltensmustern folgen, aber Flexibilität benötigen. Beispiele hierfür sind etwa Analysten, Berater und Ingenieure.
- C-Level: Entscheider haben zwar umfassenden Zugriff auf IT-Assets, nutzen jedoch nur eine begrenzte Anzahl von Tools. Daher benötigen sie eine präzise Verhaltensvorgabe. Sicherheitsteams müssen darauf achten, dass deren privilegierte Aktionen kongruent mit dem erwarteten Verhalten sind.
Sind einzelne Nutzergruppen segmentiert, können Sicherheitsverantwortliche Verhaltensrichtlinien individuell anpassen. Erfolgt dies auf Wunsch automatisch, werden die in der Praxis oft anfallenden Reibungsverluste vermieden, die entstehen, wenn Verantwortliche Nutzertypen manuell definieren.
Fazit
Unter Berücksichtigung der vielen Faktoren, die letztlich entscheiden, ob eine IT-Security-Strategie ausreichend wirksam ist, gilt es, den Blick zu weiten und sich nicht zuerst und ausschließlich auf Technologie zu konzentrieren. Der operative Part in Verbindung mit den dafür erforderlichen menschlichen Ressourcen (People & Skills) spielt eine entscheidende Rolle.
Hier sind oft Fehleranfälligkeiten und konfigurationen die Folge, wenn Systeme nicht sinnvoll integriert oder zu aufwendig beziehungsweise komplex im Betrieb sind – oder aber es werden notwendige Maßnahmen erst gar nicht getroffen. Ebenso ist Alarmmüdigkeit die Folge, wenn die einzelnen Komponenten nicht aufeinander abgestimmt sind. Eine Technologie wie PHASR von Bitdefender ist in der Lage, diese losen Enden zu verknüpfen und zugleich herausragende operative Vorteile sowie granulare, automatisierte und dynamische Risikominimierung zu bewirk
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
