Teil 2: Symptome für atypischen Netzverkehr Wie eine KI lernt, Cyberangriffe zu erkennen

Von Paul Smit

Anbieter zum Thema

Die Analyse des Datenverkehrs im Netz ist zentral für die IT-Sicherheit. Künstliche Intelligenz ermöglicht die notwendige Feinkörnigkeit im Erkennen von Anomalien. Machine Learning sorgt dafür, dass die KI sich immer auf dem aktuellen Stand befindet und dass neuer Datenverkehr entdeckt und bewertet wird.

Teil 1 der Artikelserie legte dar, wie KI und ML eine Baseline des normalen externen und internen Netzverkehrs definiert und zeigte anhand der Log4j-Schwachstelle, wie sich Angriffe in den Netzwerkaktivitäten verraten. Teil 2 zeigt typische Symptome eines anomalen und damit wahrscheinlich bösartigen Netzverkehrs.
Teil 1 der Artikelserie legte dar, wie KI und ML eine Baseline des normalen externen und internen Netzverkehrs definiert und zeigte anhand der Log4j-Schwachstelle, wie sich Angriffe in den Netzwerkaktivitäten verraten. Teil 2 zeigt typische Symptome eines anomalen und damit wahrscheinlich bösartigen Netzverkehrs.
(Bild: Lee - stock.adobe.com )

Wenn eine künstliche Intelligenz lernen soll, Cyberangriffe zu erkennen beobachtet sie zunächst einmal über eine bestimmte Zeit den normalen Netzverkehr und weiß danach, wie sich erlaubter Netzverkehr darstellt. Das Ergebnis liegt dabei in der Regel innerhalb von zwei Wochen vor. Ab dann ist alles, was davon abweicht, verdächtig.

Bilderstrecke: Steckbriefe der Angreifer – Verdächtiger Netzwerkverkehr in Beispielen.

Bildergalerie
Bildergalerie mit 6 Bildern

Wie kann die KI nun verdächtiges anomales Verhalten erkennen? Bösartige Angriffe zeichnen sich unter Umständen durch folgende Punkte aus:

  • Austausch mit unbekannten Servern: Logfiles dokumentieren die Kontaktanfrage an einen Server durch unbekannte Systeme genauso wie das Übersenden von Datenpaketen oder Befehlen. Geschieht dies über Protokolle, die besonders Hacker häufig verwenden, ist dies ein Indiz für ein unerlaubtes Eindringen.
  • Verschleierte Kontaktaufnahmen: Untypischer eingehender Datenverkehr kann seine Herkunft tarnen. So mag eine Anfrage an ein System im ersten Schritt von einer legitimen Domain kommen. Antwortet das System aber auf diese, wird es an eine andere bösartige IP-Adresse weitergeleitet. NDR-Lösungen, die auf DNS-Systeme zurückgreifen, erkennen die Muster und schlagen Alarm. Das Umleiten einer böswilligen Anfrage über die Log4j-Schwachstelle eines Webservers ist dafür ein typisches Beispiel: Zum Auflösen einer Variable sendet der angegriffene Webserver eine Antwort zurück, die nicht beim anfragenden Server ankommt, sondern beim von den Hackern kontrollierten System. Angreifer schreiben dann ausführbaren Code in die Log-Datei.
  • Generieren neuer Domänen durch Algorithmen: Auch Angreifer verwenden Algorithmen. Somit erzeugen sie regelmäßig eine große Zahl von Zufallsdomänen als Zieladressen, die ihrerseits alle an die tatsächliche Hacker-IP angebunden sind. Die im Opfersystem installierte Malware springt dann bei ihrer Kommunikation mit dem Command-and-Control- (C&C)-Server regelmäßig zwischen dieser großen Zahl an Domänen hin und her, um unentdeckt zu bleiben. Eine dritte Stufe der auf diese Weise generierten Domäne – wie etwa der Hostname – nutzen Angreifer, um Daten zu exfiltrieren. Ein solches Verhalten kann ein menschlicher Beobachter kaum erkennen oder interpretieren.
  • Verschlüsselte Kommunikation: C&C-Server und angegriffene Systeme kommunizieren oft verschlüsselt. Damit umgehen sie Sicherheitsrichtlinien von Firewalls, bleiben für Sicherheitsaudits unsichtbar und können weit in das angegriffene Netzwerk starten. Ein solcher Datenfluss zeigt sich im ein- und ausgehenden Datenverkehr eines Jump Hosts – einem kompromittierten internen Host im Opfersystem. Bösartiger Verkehr lässt sich am Fluss der Pakete erkennen: Außergewöhnliche Spitzen in der Übertragung oder lang andauernder verschlüsselter Datenfluss verraten die Exfiltration von Informationen.

Bilderstrecke: Steckbriefe der Angreifer – Verdächtiger Netzwerkverkehr in Beispielen.

Bildergalerie
Bildergalerie mit 6 Bildern
  • Brute-Force-Attacken: Brute-Force-Attacken zeichnen sich durch eine hohe Anzahl von Nutzernamen und Passwort-Kombinationen aus. Intelligentere Angreifer verschleiern aber diese massiven Attacken, indem sie die Zahl der Log-Versuche senken oder die Angriffe verteilt durchführen. Eine KI erkennt dieses Verschleiern genauso wie die Dauer einer Zugriff-Session, das Zusammenspiel der Protokolle und die Kommunikation des Brute-Force-Tools mit dem C&C-Server.
  • Varianten von Malware und Ransomware: KI-Modelle erkennen, identifizieren und klassifizieren auch neue Malware-Varianten. Deren Code und Verhalten kann bekannten Schadsoftware-Familien zugeordnet werden.
  • Verdächtige Bewegungsmuster von Angreifern und Malware: Ein Administrator oder eine Applikation, die Teil eines Prozesses ist, greifen gezielt auf ihre Systeme zu. Anders dagegen ein Angreifer: Akteure hinter anspruchsvollen Ransomware-Attacken suchen nach Informationen in der IT, die für die Opfer unverzichtbar sind. Auf der Suche danach ergeben sich daher oft verdächtige Schritte im Netz. Die Angreifer springen von System zu System oder gehen diese der Reihe nach ab.
  • Ungewöhnliche Login-Zeiten, -Orte, und -Häufigkeiten sowie anomaler Zugriff auf Applikationen oder Systeme: Anhand dieser Metadaten zeigt sich eine Anomalität am augenfälligsten. Greifen Mitarbeiter im Unternehmen plötzlich auf für sie untypische Systeme zu, kann dies auf einen durch externe Angreifer kompromittierten Account oder eine Insider-Bedrohung durch einen böswilligen Mitarbeiter hinweisen.
  • Datendiebstahl: Lesevorgänge, Exporte oder Kopien von Daten mit hoher Frequenz erkennt die KI durch den erhöhten Datendurchsatz, den solche Prozesse verursachen.

Bilderstrecke: Steckbriefe der Angreifer – Verdächtiger Netzwerkverkehr in Beispielen.

Bildergalerie
Bildergalerie mit 6 Bildern

Die Künstliche Intelligenz lernt nie aus

Die Analyse des Datenverkehrs im Netz ist zentral für die IT-Sicherheit. Künstliche Intelligenz ermöglicht die notwendige Feinkörnigkeit im Erkennen von Anomalien. Machine Learning sorgt dafür, dass die KI sich immer auf dem aktuellen Stand befindet und dass neuer Datenverkehr entdeckt und bewertet wird. Ergibt sich ein guter Grund für die Zunahme von Anfragen aus anderen Regionen zu anderen Zeiten – wie etwa die Integration einer neuen Filiale – dann wird der neue Datenverkehr Teil des neuen Normal. Ist dies nicht gegeben, dann ist von einem Angriff auszugehen – entweder unmittelbar oder in naher Zukunft. Ein Blocken wirkt dann präventiv – bevor die Ransomware mit dem Verschlüsseln anfängt.

Über den Autor: Paul Smit ist Director Professional Services bei ForeNova.

(ID:48413463)