Anomalien erkennen

Cyber-Attacken abwehren mit Machine Learning

Zürich, Oktober 2023 - Cybersecurity-Systeme, die auf Machine Learning basieren, identifizieren Angriffe, indem sie Abweichungen von der Normalität erkennen. Laut den Schweizer Sicherheitsspezialisten von Exeon hätte so die Attacke durch die APT-Gruppe Storm-0558 verhindert werden können. 

Der Angriff der vermutlich chinesischen Hackergruppe Storm-0558 auf eine Vielzahl von Regierungsbehörden und andere Organisationen hätte nach Auffassung der Schweizer Sicherheitsspezialisten von Exeon verhindert werden können. Die Angreifer hatten einen Signierschlüssel von Microsoft gestohlen. Mit diesem konnten sie sich dann funktionierende Zugriffstoken für Outlook Web Access (OWA) und Outlook.com ausstellen und eMails und deren Anhänge hacken.
Ein Fehler bei der Plausibilitätsprüfung hat dazu geführt, dass eine digitale Signatur, die für Privatkundenkonten (MSA) gedacht war, nun zusätzlich auch im Azure Active Directory für Geschäftskunden als Identitätsnachweis funktioniert.

Machine Learning erkennt Anomalien im Datenverkehr

Viele Cyber Security-Systeme sind heute noch nicht in der Lage, solche Angriffe zu erkennen. Nur ML-basierte Systeme (Machine Learning) können über Anomalien im Datenverkehr Hinweise auf einen Angriff geben, so Exeon. Ein dynamisches, auf ML basierendes NDR-System (Network Detection and Response) kann Angriffe aufspüren, ohne bereits vorher gespeicherte, bekannte "Indicators of Compromise" zu haben.
Stattdessen sucht es nach verdächtigem Verhalten und erkennt es. Es liefert Daten von allen Switches und arbeitet völlig ohne Agenten, die in vielen Umgebungen, oft auch gar nicht installiert werden könnten. So können interne Reconnaissance, bei der sich der Angreifer zunächst umschaut, was er angreifen kann, oder laterale Bewegungen erkannt werden, wenn sich der Angreifer bereits im Netzwerk befindet. Ein weiteres Beispiel ist die Erkennung eines bösartigen Command-and-Control-Kanals in den Proxy-Log-Daten.

Höhere Genauigkeit bei der Erkennung von Bedrohungen

"Eine Kombination von NDR und Endpoint Detection and Response (EDR) schafft eine leistungsstarke Verteidigungsstrategie für Cybersicherheit und kann das Machine Learning nutzen", so Klaus Nemelka, Product Marketing Manager bei Exeon.
"Während sich NDR auf die Überwachung und Analyse des Netzwerkverkehrs konzentriert, um verdächtige Aktivitäten, insbesondere Lateral Movements und Datenexfiltration, zu erkennen, schaut das EDR auf die Endpunkte, etwa Workstations oder Server. Dabei tragen besonders die Algorithmen des maschinellen Lernens in den NDR-Systemen dazu bei, die Genauigkeit der Bedrohungserkennung zu verbessern und Fehlalarme zu reduzieren."

Abwehr in einem frühen Stadium

Zwar kann laut Exeon schon eine weitgehende Automatisierung dabei helfen, schnell auf erkannte Bedrohungen zu reagieren und die Verweildauer von Angreifern zu minimieren, doch Machine Learning-Modelle lassen sich zudem kontinuierlich auf die Erkennung neuer Bedrohungen und Angriffstechniken trainieren, um die Erkennung deutlich zu beschleunigen und Angriffe bereits in einem frühen Stadium abzuwehren. Eine gemeinsame Nutzung von Daten durch NDR und EDR wird dabei die Daten des jeweils anderen bereichern und einen umfassenderen Einblick in potenzielle Bedrohungen ermöglichen.