Bedrohungsdaten korrelieren - wie APTs die Cybersicherheit veränderten
Im Januar 2010 platzte in die bis dahin vergleichsweise ruhige Welt der Computersicherheit ein Ereignis, das Sicherheit im Cyberzeitalter komplett verändern sollte: Google enthüllte, dass das Unternehmen 2009 das Opfer einer ausgefeilten Cyberattacke aus China war, die das Ziel hatte, sensible Informationen von den Google-Servern zu stehlen.
TweetSicherheitsexperten waren erstaunt - sowohl wegen des Eingeständnisses als auch wegen des Ereignisses selbst. Nachdem so die Mauer des Verschweigens gebrochen war, bekannten Dutzende weiterer US-Firmen, ebenfalls von diesen Angreifern attackiert worden zu sein. Cyberangriffe waren längst keine Seltenheit mehr, aber Operation Aurora stellte eine neue Größenordnung dar: Es war ein umfangreicher Angriff, der über mehrere Jahre und mit so hohem Erfolg ausgeführt worden war, dass die Experten geschockt waren. Schon bald prägten Sicherheitsfirmen eine neuen Begriff für derartige Angriffe: Advanced Persistent Threat, kurz APT (übersetzt „fortgeschrittene, anhaltende Bedrohung“).
Die für APTs genutzten Techniken gibt es schon seit Jahren, neu war, dass die Angreifer sie kombinierten. Die eingesetzten Techniken umfassten langfristige Aufklärungsmaßnahmen, die Schwachstellen aufdeckten, die Einrichtung von Software-Hintertüren, die Trojanern Remote-Zugang eröffneten (sogenannte RATs, Remote-Access Trojans), die Nutzung von Software-Sicherheitslücken, der Diebstahl von Nutzeranmeldedaten und -identitäten, die Nutzung von Rechteeskalation. Das wichtigste Element: Sobald ein Teil dieser Infrastruktur aufgedeckt wurde, passten die Angreifer sich an, nutzten andere Tools, schrieben die Malware um und schlugen beharrlich erneut zu - Sicherheitsfachleute sprechen daher von „persistence“ (übersetzt Beharrlichkeit, Hartnäckigkeit).
Die Beharrlichkeit war ein entscheidendes Element. Denn die Angreifer gingen nicht spekulativ und kurzfristig vor, sondern setzten auf eine langfristige Strategie im industriellen Maßstab. APT-Angreifer kommen immer wieder, bis sie die Schwachstelle ausgemacht haben, über die sie eindringen können.
Sich gegen diese Art von Bedrohung zu verteidigen ist keine leichte Aufgabe - die Sicherheitsindustrie antwortete auf die Bedrohungen mit verbesserter Bedrohungsanalyse, die auf ausgefeilte Korrelation setzt. Der Gedanke dahinter war und ist, sich anzupassen an die Art und Weise, wie APTs funktionieren. Seit die Angreifer versuchen, in die Netzwerke mithilfe einer abgestimmten Sammlung an Tools, Malware und „manuellen“ Einbrüchen einzudringen, gehen die Verteidiger dazu über, jedes einzelne Ereignis als Teil eines größeren Ganzen zu behandeln. Ein Malware-Fund oder ein kompromittiertes Nutzerkonto besagt nur, dass etwas passiert ist. Um einen Angriff vor Ort zu begreifen, muss man ihn mit anderen auf den ersten Blick nicht damit zusammenhängenden Ereignissen an anderer Stelle im Netzwerk verknüpfen.
Von der Anomalie zur Korrelation
Anomalien sind die Grundlage von Sicherheit: Dazu wird ein „Normalzustand“ definiert, Abweichungen davon lösen einen Alarm aus. In den heutigen IT-Umgebungen gibt es jedoch kein Einzelereignis, das in einem solchen Maß als Anomalie bezeichnet werden kann wie die Anhäufung solcher Anomalien in einem Muster.
Dieses Muster herauszufiltern, ist die Aufgabe bei der Korrelation. Was beim Korrelieren betrachtet wird, variiert von Netzwerk zu Netzwerk. Es geht dabei nicht darum, anhand einer vordefinierten Signatur oder anhand eines bekannten Musters gezielt nach einem bösartigen Programm oder nach einer Aktion zu suchen: Beim Korrelieren geht es darum, Ereignisse innerhalb eines Netzwerks zu erkennen und ihr Risikopotenzial einzuschätzen anhand von einer oder zwei Bewertungen. Die erste Bewertung ist statistischer Art; dabei kann aufgrund der mathematischen Wahrscheinlichkeit eine Kausalkette zwischen zwei augenscheinlich nicht verknüpften Ereignissen aufgedeckt werden. Das kann dann schwierig sein, wenn die Ereignisse zeitlich weit auseinander liegen. Daher stößt gerade ein zweiter Ansatz auf breites Interesse: das Maschinenlernen (manchmal auch mutig als Künstliche Intelligenz, KI bezeichnet).
Kritiker des Maschinenlernens weisen darauf hin, dass die Anbieter dieses Schlagwort gern nutzen, dabei aber übersehen, wie wichtig es ist, die Verteidiger nicht mit falschen Alarmmeldungen zu überschütten. Wenn das Besondere an Maschinenlernen und KI das Argument ist, dass damit die Belastung der Mitarbeiter reduziert und eine schnelle Reaktion ermöglich werden soll, ist es eher kontraproduktiv, wenn man die menschlichen Entscheider mit zu vielen falschen Daten überlastet.
Ebenso ist es klar, dass Menschen nicht unbegrenzt viele Sicherheitssysteme basierend auf unterschiedlichen Ereignis-Monitoringsystemen in Echtzeit managen können, ohne dass das immer mehr IT-Personal bindet. Betrachtet man das Problem aus dieser Perspektive, ist klar, dass man von Maschinen gesteuerten Angriffen nur durch maschinengesteuerte Verteidigungsmaßnahmen begegnen kann, die rechtzeitig auch neue Angriffsarten erkennen, indem sie blitzschnell Zusammenhänge herstellen. Heute ist das allerdings noch Zukunftsmusik, die erst in den nächsten Jahren Realität werden wird.
Korrelationsplattformen
Alle wichtigen Anbieter im Sicherheitssektor unterstützen eine - wie auch immer geartete - Form von Korrelation und Anomalieerkennung, häufig basierend auf den historisch gewachsenen Stärken der jeweiligen Firma. Dazu werden heterogene Daten und Alert-Quellen zu einer globalen Sicht verknüpft; Ziel ist es, herauszufinden, wie die Ereignisse sich mit der Zeit verändern.
Das ist, als wollte man einen Pudding an die Wand nageln. Zu den Datenquellen, die für die Beurteilung herangezogen werden, gehören das Verhalten der Nutzer, die Kontoaktivitäten, Ereignisse innerhalb der Schicht, in der Nutzerrechte erweitert werden (z.B. wenn jemand Zugangsrechte zu einem Server erhält oder die Berechtigung, eine Anwendung zu installieren), das Auftauchen einer neuen Anwendung, offene Ports oder Prozesse sowie isolierte Malware-Erfassungen.
Jedes dieser Ereignisse für sich kann relativ geringfügig sein, zusammengenommen stellen sie aber eine Bedrohung dar, sobald sie miteinander verknüpft sind. Oft hängt es auch vom Kontext ab, wie gravierend sie sind - etwa wenn ein Admin auf einen wichtigen Server zu einer ungewöhnlichen Zeit zugreift. Zu den meisten Zeiten ist ein solcher Zugriff normal, wenn er aber am Ende einer Kette von Ereignissen passiert, bei der eine unbekannte ausführbare Datei in einem separaten System entdeckt wird, dann sollte eine rote Fahne hochgehen.
Die Frage ist, wann ein Bedrohungsanalysesystem eingreift und entweder die Aktion automatisch blockiert oder einen Eingriff eines menschlichen Operators verlangt, der die Rechtmäßigkeit der Aktion prüft und bestätigt.
Analyse ist kein Allheilmittel
Eine zentrale Herausforderung bleibt: Wie lässt sich die Theorie der automatisierten Analyse verbinden mit der Realität, wo sich im Netzwerk Schwachstellen befinden. Das Problem beim Korrelieren einfacher Anomalien (oder Anomaliemuster) ist, dass viele Angriffe sie gar nicht benötigen, um einen Fuß in die Tür zu bekommen. Bei vielen Cyberangriffen werden gestohlene Anmeldedaten ausgenutzt, die nicht durch zusätzliche Authentisierungsmaßnahmen geschützt sind. In einem solchen Fall sieht alles, was mit einem solchen Nutzerkonto getan wird, völlig normal ist: Der Angreifer macht das, was ein autorisierter Nutzer tun würde - die Verteidiger haben keine Möglichkeit, den nicht autorisierten vom autorisierten Nutzer zu unterscheiden.
Endpunkte sind ein weiteres beliebtes Angriffsziel, da es sich hier oft um offene Zonen handelt. Von einem Einzel-PC aus kann sich ein Nutzer in weiten Teilen mancher Netzwerke aufhalten, Server und Datenbanken abfragen und sogar auf Ressourcen in der Cloud zugreifen. Ein solches Nutzerkonto lässt sich sehr einfach kompromittieren - man muss den Nutzer nur dazu bringen, einen Dateianhang zu öffnen. Können Sicherheitssysteme das erkennen? Auf dem PC: möglicherweise. Falls nicht, hat der Angreifer mit hoher Wahrscheinlichkeit ein Schlupfloch gefunden. Denn die Aktion - Datei öffnen - wirkt in dieser Umgebung ja völlig normal.
Die Lösung: Die Handlungsspielräume des PCs im Netzwerk verkleinern und eine Vertrauensschicht (Trust Layer) um die Nutzer herum einrichten. Kein Nutzer, keine Ressource, keine Anwendung und keine Verbindung darf jemals absolutes Vertrauen genießen.
