Sicherheitsinformations- und Ereignismanagement-Systeme (SIEM) gelten als probates Mittel, um Cyberattacken mithilfe von Detektionsregeln beziehungsweise Signaturen aufzuklären. Forschende des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben jedoch in umfangreichen Tests nachgewiesen, dass Angreifende viele solcher Signaturen leicht umgehen können. Mit einem KI-gestützten Open-Source-System wollen die Forschenden hier Abhilfe schaffen. Die Lösung trägt den Namen AMIDES und soll Angriffe erkennen können, die von klassischen Signaturen übersehen werden.
Bislang basiert die Detektion von Cyberangriffen in Organisationen überwiegend auf Signaturen bzw. Detektionsregeln, die von Sicherheitsexperten auf Basis bereits bekannter Angriffe erstellt wurden. Diese Signaturen sind das Herzstück der verschiedenen SIEM-Systeme. Zwar lassen sich alternativ auch Detektionsmethoden aus dem Bereich der Anomalie-Erkennung einsetzen, um Angriffe trotz umgangener Signaturen aufzuspüren. Daraus resultieren jedoch häufig viele Fehlalarme, die aufgrund der hohen Anzahl gar nicht alle untersucht werden können.
Um das Problem zu lösen, haben die Forschenden des Fraunhofer FKIE ein System entwickelt, das mithilfe von Machine Learning Angriffe erkennt, die existierenden Signaturen ähnlich sind: Mit AMIDES, kurz für Adaptive Misuse Detection System, führen die Expertinnen und Experten ein Konzept zur adaptiven Missbrauchserkennung ein, das überwachtes Maschinelles Lernen nutzt, um potenzielle Regelumgehungen zu erkennen und gleichzeitig darauf optimiert ist, Fehlalarme auf ein Minimum zu reduzieren. Die frei verfügbare Open-Source-Software adressiert vor allem größere Organisationen, die bereits über ein zentrales Sicherheitsmonitoring verfügen und dieses verbessern möchten.
»Signaturen sind zwar das wichtigste Mittel, um Cyberangriffe in Unternehmensnetzwerken zu erkennen, sie sind aber kein Allheilmittel«, sagt Rafael Uetz, Wissenschaftler am Fraunhofer FKIE und Leiter der Forschungsgruppe »Intrusion Detection and Analysis«. »Bösartige Tätigkeiten können häufig unerkannt durchgeführt werden, indem der Angriff leicht modifiziert wird. Angreifende versuchen, der Erkennung durch verschiedene Verschleierungstechniken zu entgehen, etwa durch das Einfügen von Dummy-Zeichen in Befehlszeilen. Der Angreifer schreibt den Befehl so, dass die Signatur ihn nicht findet«, erläutert der Forscher das Vorgehen der Cyberkriminellen.
An diesem Punkt setzt AMIDES an: Die Software führt eine Merkmalsextraktion auf Daten sicherheitsrelevanter Ereignisse durch, zum Beispiel auf der Befehlszeile neu gestarteter Programme. Mithilfe von Machine Learning werden dann Befehlszeilen erkannt, die denen ähneln, auf die die Detektionsregeln anschlagen, die aber nicht genau diese Signaturen treffen. In diesem Fall würde AMIDES einen Alarm auslösen. Der Ansatz wird als adaptive Missbrauchserkennung bezeichnet, da er sich an die Zielumgebung anpasst, indem er auf ihr Normalverhalten trainiert wird, um potenzielle Angriffe von harmlosen Ereignissen richtig zu unterscheiden.
Neben der Möglichkeit, bei potenziellen Umgehungen Warnungen auszulösen, bietet der neue Ansatz auch eine Funktionalität, die die Forschenden als Regelzuordnung bezeichnen. Wenn eine herkömmliche Detektionsregel zur Missbrauchserkennung ausgelöst wird, kann ein Analyst diese Regel einfach anzeigen, um herauszufinden, was passiert ist, da Regeln normalerweise einen aussagekräftigen Titel und eine Beschreibung neben den Signaturen enthalten.
Vielen auf Maschinellem Lernen basierenden Systemen fehlt dieser Vorteil jedoch, und sie lösen nur eine Warnung ohne weiteren Kontext aus. Da die adaptive Missbrauchserkennung aus SIEM-Detektionsregeln lernt, sind während des Trainings Informationen darüber verfügbar, welche Merkmale in welchen Regeln enthalten sind, sodass AMIDES abschätzen kann, welche Regeln wahrscheinlich umgangen wurden.
Im Rahmen eines umfangreichen Tests mit Echtdaten einer deutschen Behörde konnte AMIDES bereits evaluiert werden. Uetz: »Diese Tests haben gezeigt, dass unsere Lösung das Potenzial hat, die Erkennung von Netzwerkeinbrüchen signifikant zu verbessern.« Mit seiner Standardempfindlichkeit erkannte AMIDES erfolgreich 70 Prozent der Umgehungsversuche ohne Fehlalarme. In puncto Geschwindigkeit zeigten die Messungen, dass das System schnell genug für den Livebetrieb auch in sehr großen Unternehmensnetzen ist.
Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…
Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.
Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…