SIEM: Maschinelles Lernen beim Security Monitoring

02.01.2019

Ebenso wie Sicherheitsexperten muss auch die Software trainiert werden, um den Anforderungen der sich verändernden IT-Infrastruktur wie auch Bedrohungslandschaft gerecht zu werden.

Sicherheits-Monitoring auf der Basis von modernen und intelligenten SIEM-Lösungen (Security Information and Event Management) wird bereits vielfach eingesetzt, um Eindringlinge frühzeitig zu entdecken und dadurch von den kritischen Bereichen des Netzwerks fernzuhalten. Dies gelingt jedoch nur, wenn die Anzahl der False Positives signifikant reduziert wird. Maschinelles Lernen kann SIEM-Software dabei auf die Sprünge helfen, durch selbstlernende Prozesse stetig besser zu werden.

Allerdings reicht eine intelligente Warn- und Monitoring-Software allein nicht aus, um für mehr Licht im Dschungel der Event-Meldungen zu sorgen. Es bedarf entsprechend geschulter Spezialisten, die die Fähigkeiten der Software für das Unternehmen einsetzen können. Genauso wie die Sicherheitsexperten im Unternehmen, muss auch die Software entsprechend trainiert werden, um den Anforderungen einer wachsenden IT-Infrastruktur und einer sich fortwährend verändernden Cyberbedrohungslandschaft gerecht zu werden.

Die Bedrohungslage – Ransomware lebt länger als man denkt
In den vergangenen Jahren haben vor allem die massenweise Verteilung von Ransomware für Schlagzeilen gesorgt. Das BSI hat in seinem Lagebericht zur IT-Sicherheit in Deutschland 2018 zu Ransomware wie WannaCry folgende Einschätzung abgegeben: „Auch wenn es im Fall von WannaCry gelang, die Schadwirkung durch Registrierung einer URL („Kill-Switch“) zu begrenzen, ist Schadsoftware vom Typ WannaCry weiterhin virulent. Anfang 2018 erreichten das BSI noch Meldungen aus der Wirtschaft, die einen Befall von Rechnern mit der WannaCry-Schadsoftware anzeigten. Diese späten Infektionen stehen, insbesondere hinsichtlich ihrer Auswirkungen, deutlich hinter der ersten WannaCry-Welle zurück.“ Sicherheits-Monitoring-Software wie eine SIEM-Lösung muss Malware wie Ransomware in nahezu Echtzeit erkennen, wenn es einen wirkungsvollen Beitrag zum Schutz von Unternehmen beisteuern will. Ganz ähnlich verhält es sich mit den APT (Advanced Persistent Threat), die immer intelligenter in ihren Taktiken werden, um möglichst lang unerkannt im Netzwerk zu schlummern, bevor sie unbemerkt zuschlagen. Laterale Bewegungen eines Programms im Netzwerk sind per se verdächtig, daher gehören auch sie auf die Liste der Bedrohungen.

Identitätsmanagement mit Tücken
Daneben steht das klassische Feld des Zugriffsmanagements. Ungewöhnliche Anmeldungen am Host, unübliche Zeiten für Log-in-Aktivitäten, multiple Anmeldungen am Host und nicht zuletzt auch ein genereller Missbrauch der Anmeldedaten seitens eines Innentäters, all dies sind mögliche Gefährdungsherde.

Wenn dann auch noch Daten ohne erkennbare Not aus einem System herausgeleitet werden oder ein ungewöhnlicher Dateizugriff stattfindet, sollten die Alarmglocken schrillen.

Rechtemanagement oder das Game-Over-Spiel
Gelingt es den Angreifern sogar, Genehmigungen zu ändern und dies auch noch massenhaft oder aber bei einzelnen besonders sensiblen Nutzern, dann muss schnell und umfassend reagiert werden, um das Unternehmen und seine Assets zu schützen. Wenn beispielsweise Cyberkriminelle Zugriff auf die Rechteverwaltung von einzelnen Mitarbeitern erhalten und damit den Status von einem IT-Mitarbeiter oder einem Mitarbeiter oder einer Mitarbeiterin aus der Finanzbuchhaltung ändern können, dann bedarf es dringend eines schnell verfügbaren Warnhinweises und dem für solche Fälle vorbereiteten Sicherheitsnotfallplan.

Letztlich ist das Rechtemanagement eines der wichtigsten Tools, um bei einer Kompromittierung eines einzelnen Users mit einer Einschränkung der verliehenen Rechte die Tore schnell schließen zu können. Hat der Angreifer erst einmal Super-Admin-Rechte, ist das Spiel verloren.

„Wird eine bösartige Aktivität entdeckt, sendet ein modernes SIEM-System mit verhaltensbasierter Gefahrenerkennung in beinahe Echtzeit Output in Form von Risikobewertungen und anderen kontextuellen Informationen.“ Pascal Cronauer, LogPoint

Lösungsansatz: Verhaltensbasierte Gefahrenerkennung und -Bewertung
Ein Lösungsansatz, der alle genannten Gefährdungen mit selbstlernenden Algorithmen abbildet, ist eine SIEM-Lösung mit verhaltensbasierter Gefahrenerkennung. Sie ermöglicht Sicherheitsanalysten und Echtzeit-Einblick in Schwachstellen, bevor diese sich zu einer Bedrohung entwickeln. Mithilfe dieser Einblicke kann die IT-Sicherheitsabteilung Angriffe und Datenverstöße einfach vorhersehen und verhindern. Sogenannte Baselines für jeden Nutzer und jeden Bestandteil des Netzwerkes erlauben Sicherheitsmonitoring Software mit maschinellem Lernen die dort durchgeführten Aktionen zu bewerten. Sicherheitsanalysten können dann anhand dieser Bewertung klären, ob die Netzwerkaktivität eher eine Normalität oder eine Anomalie darstellt.

Maschinengesteuertes Lernen erlaubt den Sicherheitsexperten sich mehr auf die Untersuchung von echten Warnungen zu konzentrieren. Die Zeit für die Erstellung von komplizierten Regeln, die alle Log-Daten von den Sensoren der IT-Infrastruktur nach vordefinierten Schwellwerten oder aber Abweichungen hin untersuchen, kann dann gespart werden. Traditionelle Sicherheitssysteme arbeiten hier mit signaturbasierten Ansätzen, was von immer mehr Schadsoftware umgangen wird, weil die Signaturen entweder unbekannt sind oder aber von den Schöpfern laufend abgewandelt werden.

Fazit
Wird eine bösartige Aktivität entdeckt, sendet ein modernes SIEM-System mit verhaltensbasierter Gefahrenerkennung in beinahe Echtzeit Output in Form von Risikobewertungen und anderen kontextuellen Informationen. Nutzerverhalten kann dann rückwärtsgerichtet mit den ursprünglichen SIEM-Ereignissen korreliert werden.

Dadurch können Sicherheitsanalysten auch fortgeschrittene Analysen durchführen und sich auf die Einleitung von Gegenmaßnahmen konzentrieren, anstatt ihre Zeit mit der Suche nach der Ursache für eine Fehlermeldung zu vergeuden. Selbstlernendes Sicherheits-Monitoring unterstützt Sicherheitsanalysten bei der täglichen Arbeit und hilft vor allem den IT-Sicherheitsabteilungen, die sich einer wachsenden Cyberbedrohungslandschaft ohne mitwachsende IT-Sicherheitsbudgets oder aber neue Kollegen stellen müssen.