1 Okt 2020
Ein Frühwarnsystem für Cyber-Förster (Adaptive Kontrolle von Anomalien)
Wenn Sie normalerweise in einem Büro arbeiten, ist es höchstwahrscheinlich immer noch ziemlich leer oder völlig leer, wie unseres. In unserem Hauptgeschäftssitz sind die einzigen Leute, die Sie gelegentlich sehen werden, die Sicherheitskräfte, und das einzige Geräusch, das Sie hören werden, ist das Summen der Kühlsysteme unserer Server, die mit voller Geschwindigkeit arbeiten, da alle Mitarbeiter von zu Hause aus angeschlossen sind.
Denn unsere Technologien, Experten und Produkte sind rund um die Uhr im Einsatz, um die Cyberwelt zu schützen, da die Cyberbösewichte nie schlafen. Deshalb haben wir in unserer Sammlung von Cyber-Schutzinstrumenten ein Frühwarnsystem. Aber ich werde später darauf zurückkommen…
Die Rolle eines IT-Sicherheitsexperten ähnelt in gewisser Weise der eines Försters. Er muss Wilderer (Malware) fangen und die Bedrohungen für den Wald und dessen Bewohner neutralisieren. Doch wie macht der Förster das? Man muss ja erst die Wilderer aufspüren. Natürlich kann man warten, bis ein Gewehr ein Schuss abfeuert und auf den Knall reagieren, doch in den meisten Fällen ist man dann schon zu spät und räumt nur noch den Tatort auf.
Man könnte völlig paranoid werden und Sensoren und Videokameras im ganzen Wald platzieren, doch ist das wirklich sinnvoll? Man würde nämlich auf jedes Rauschen und Rasseln reagieren (und höchstwahrscheinlich verrückt werden). Wenn man jedoch erkennt, dass Wilderer gelernt haben, sich so gut zu verstecken, dass sie quasi keine Spuren hinterlassen, wird klar, dass der wichtigste Aspekt der Sicherheit die Fähigkeit ist, verdächtige Ereignisse von normalen, harmlosen Ereignissen zu unterscheiden.
Immer mehr Cyber-Wilderer tarnen sich nämlich mit Hilfe von völlig legitimen Werkzeugen und Operationen.
Einige Beispiele wären das Öffnen von Microsoft Office-Dokumenten, das Gewähren von Fernzugriff für einen Systemadministrator, das Starten eines Skripts in PowerShell oder das Aktivieren eines Datenverschlüsselungsmechanismus. Dann gibt es die neue Welle so genannter Fileless-Malware, die gar keine Spuren auf einer Festplatte hinterlässt und damit Wirksamkeit traditioneller Schutzstrategien ernsthaft einschränkt.
Beispiele: (i) die Platinum-APT-Gruppe verwendete Fileless-Angriffe, um in Computer diplomatischer Organisationen einzudringen; und (ii) Bürodokumente mit bösartiger Nutzlast wurden bei den Operationen der DarkUniverse APT für Infektionen durch Phishing verwendet; und es gibt noch viele weitere. So verwendet der Fileless-Ransomware-Verschlüsseler „Mailto“ (alias Netwalker) ein PowerShell-Skript, um bösartige Codes direkt in den Speicher vertrauenswürdiger Systemprozesse zu laden.
Wenn jedoch der herkömmliche Schutz nicht ausreicht, kann man versuchen, den Benutzern eine Vielzahl von Operationen zu verbieten und strenge Richtlinien für den Zugang und die Nutzung der Software einzuführen. Doch ist es wahrscheinlich, dass sowohl Benutzer als auch Bösewichte Wege finden werden, diese Verbote zu umgehen (wie es bei der Alkoholprohibition der Fall war).
Viel besser wäre es, eine Lösung zu finden, die Anomalien in Standardprozessen erkennen kann und den Systemadministrator informiert. Entscheidend ist aber, dass eine solche Lösung lernen kann, den Grad der „Verdächtigheit“ von Prozessen in ihrer ganzen Vielfalt automatisch genau zu bestimmen, um den Systemadministrator nicht mit ständigen Fehlermeldungen zu quälen!
Wahrscheinlich wissen Sie bereits, worauf ich hinausgehen möchte: Wir haben eine solche Lösung: die Adaptive Kontrolle von Anomalien, ein Dienst, der auf drei Hauptkomponenten aufbaut – Regeln, Statistiken und Ausnahmen.
Die Regeln beziehen sich auf die wichtigsten Office-Anwendungen, Windows Management Instrumentation, Standard-Skripte und andere Komponenten, zusammen mit einer Liste von „anomalen“ Aktivitäten. Diese Regeln sind ein Teil der Lösung und erfordern keine Aktion seitens des Admins.
Nach der Aktivierung untersucht das System etwa zwei Wochen lang die Prozesse, die üblicherweise in einer Organisation oder einem Unternehmen ablaufen, stellt Abweichungen von den Standardregeln fest (z.B. Gleans-Statistiken) und erstellt eine „personalisierte“ Liste von Ausnahmen. Diese Lernzeit kann z.B. dadurch ergänzt werden, dass der Systemadministrator eigene Ausnahmen für einen bestimmten Prozess erstellt oder eine unvorhergesehene Anomalie findet. Und der Lernprozess kann sogar in Abteilungen aufgeteilt werden, so dass z.B. Finanzleute keine Java-Skripte starten können, während F&E-Leute keinen Zugang zu Finanzinstrumenten erhalten.
Das System kennzeichnet alle Abweichungen von der Liste der Ausnahmen und gibt sowohl den jeweiligen verdächtigen Prozess als auch das Gerät an, auf dem er gestartet wurde. Beispielsweise ist der Start der Windows-Eingabeaufforderung oder einer HTML-Applikation durch ein PowerShell-Skript von einer Office-Anwendung oder einer virtuellen Maschine aus technisch durchaus möglich, aber es handelt sich dabei kaum um einen zulässigen und sicheren Vorgang. Oder wenn eine Datei mit einem typischen Namen für eine Systemdatei in einem Ordner gespeichert wird, der kein Systemordner ist – das sind Warnsignale für System.
Zusätzlich kann der Systemadministrator einen Prozess blockieren oder zulassen, wobei der Benutzer darüber informiert wird. Außerdem kann auf Anfrage die Beobachtungszeit für bestimmte Regeln bzw. Anwendungen verlängert werden, um genauer zu untersuchen, wie sie in Zukunft angewendet werden.
„Warum ist also überhaupt ein Endpunktschutz nötig, wenn das Frühwarnsystem so gut funktioniert?“, fragt der skeptisch gestimmte Förster-Systemadministrator. Nun, weil die adaptive Anomaliekontrolle eben nur als ein Frühwarnsystem betrachtet werden sollte, das lediglich anzeigt, wo verdächtige Aktivitäten stattfinden. Die eigentliche Bekämpfung der Bedrohung ist die Aufgabe anderer wichtiger Schutzkomponenten, wie EDR-Lösungen.
Und das ist die grundlegende Einführung in die Adaptive Anomaliekontrolle, Leute!
PS: Und ich habe den Förster-Vergleich nicht zufällig benutzt, denn ich denke gerade an Wälder (und wilde Landschaften). Ich muss nämlich mit dem Packen für meine Sommerexpedition durch die wilden Gebiete des Altai beginnen. Individueller Schutz und Frühwarnsysteme sind genau das, was ich brauche!…