IT Security März/April

Weitere Magazine

Empfehlungen

Info

20 | IT SECURITY Anomalieerkennung KI-BASIERTE ANGRIFFSERKENNUNG: MÖGLICHKEITEN UND GRENZEN Anomalieerkennung gilt als eine Methode der Angriffserkennung für die ITund OT-Sicherheit. Cyberkriminelle versuchen jedoch häufig, unter dem Radar solcher Systeme zu operieren. Was kann KI in diesem Zusammenhang leisten? Strom, Wasser, Lebensmittel oder Gesundheitsversorgung: Selbst kritische Infrastrukturen sind heute Bestandteil digitaler Ökosysteme. Mit zunehmender Digitalisierung und Vernetzung wächst deren Komplexität und damit die Verwundbarkeit gegenüber Cyberangriffen. Gleichzeitig steigt unsere Abhängigkeit von der Verfügbarkeit, Integrität und Vertraulichkeit solcher Systemlandschaften. Eine hohe Cyberresilienz wird damit zunehmend zur Grundlage einer stabilen Gesellschaft. Wichtiger Bestandteil dieser Widerstandsfähigkeit ist das Erkennen und die Abwehr von Angriffen. Dem trägt auch der Gesetzgeber immer mehr Rechnung und verpflichtet Betreiber von KRI- TIS-Anlagen mit dem IT-SIG 2.0 ab dem 1. Mai 2023 zum Einsatz von Systemen für die Angriffserkennung. Angriffserkennung vs. Anomalieerkennung Im Zusammenhang mit der Angriffserkennung wird oftmals der Begriff der Anomalieerkennung als Synonym verwendet. Allerdings ist eine Anomalie nur eine Abweichung von dem normal Erwarteten. Dabei kann es sich um eine Störung handeln, der kein Angriff zugrunde liegt, sondern zum Beispiel eine Fehlfunktion oder der Ausfall einer Komponente. Zwar ist es unter dem Aspekt einer hohen Verfügbarkeit und Integrität wichtig, derartige betriebliche Probleme frühzeitig zu erkennen und zu behandeln, sie sind aber nicht Bestandteil der Abwehr von Cyberangriffen. Im Gegensatz zu solch sporadisch auftretenden Fehlfunktionen mit klarem Fehlerbild versuchen Angreifer gezielt, ihre Cyberattacken unter dem Radar klassischer Anomalieerkennung durchzuführen. Eine generische Anomalieerkennung ist damit als primäres Mittel einer Angriffserkennung eher ungeeignet. Stattdessen sind Systeme erforderlich, die explizit auf die Erkennung von Angriffen ausgelegt wurden. Regelbasiert vs. KI-basiert Ein klassischer Ansatz bei Angriffserkennungssystemen ist die Nutzung manuell bzw. semi-automatisch erstellter kuratierter Regeln auf Basis von Expertenwissen und Datenanalysen. Dazu gehören die in Intrusion-Detection-Systemen genutzten Signaturen bekannter Angriffspakete. Aber auch Schwellwerte für Paketgrößen oder Paketmengen, deren Überschreiten einen Angriff nahelegt, oder komplexere Heuristiken zur Erkennung von Aufklärungstechniken wie Portscanning, können mit geeigneten Regelwerken abgebildet werden. Derartige Regeln sind im Allgemeinen auf klare Angriffsmuster fokussiert. Ihre Bedeutung ist dadurch selbst für Nicht-Experten zu verstehen und auf ein durch die Regel gemeldetes Ereignis kann entsprechend zügig und fokussiert reagiert werden. Allerdings haben diese aufwändig kuratierten Systeme Probleme mit den zunehmend komplexen Daten umzugehen und müssen bei Änderungen der Umgebungen erneut manuell angepasst werden. Auch lassen März/April 2023 | www.it-daily.net
IT SECURITY | 21 sich damit kaum neuartige Angriffe entdecken, für deren Verhalten noch keine spezifischen Regeln erstellt wurden. Bei KI-basierten Systemen wird hingegen aus einer längeren Beobachtung des Datenverkehrs automatisiert ein Modell der Umgebung generiert, welches das in der betrachteten Umgebung beobachte Normalverhalten beschreibt. Dieses Modell lässt sich automatisiert aktualisieren, wenn sich die Umgebung ändert. Manche Hersteller betiteln dabei schon mit Hilfe von einfachen Statistiken ermittelte Kommunikationsbeziehungen im Netz als KI-Modell. Leistungsfähigere Verfahren des maschinellen Lernens erlauben jedoch eine Modellierung deutlich komplexerer Zusammenhänge. Allerdings werden bei zunehmender Komplexität die erzeugten Modelle nicht nur leistungsfähiger, sondern auch schwerer verständlich für den Menschen, wodurch die Beurteilung von gemeldeten Ereignissen erschwert wird. Es ist auch kaum nachzuvollziehen, was das Modell eigentlich gelernt hat, das heißt, was es leisten kann und wo es Probleme hat. Diese Nachteile sind besonders in hochkomplexen, dynamischen Umgebungen spürbar, in denen auch regelbasierte Systeme schwächeln. Die Integration von mehr fachlicher Expertise über das Problemfeld kann Abhilfe schaffen. Über die Einbeziehung von fach- und umgebungsspezifisch kuratierten Regeln, das heißt Signaturen, Schwellwerten und Heuristiken als Teil der von einem KI-Modell berücksichtigten Merkmale, ist es möglich, die erzeugten Modelle sowohl verständlicher zu machen, als auch sie zielgerichteter auf eine Angriffserkennung statt nur generische Anomalien auszurichten. Grenzen der netzbasierten Erkennung Mit der zunehmenden Verschlüsselung von Daten sinkt die Menge an zuverlässigen Informationen, welche einer Angriffserkennung im Netz zur Verfügung stehen. Zwar kann man Meta-Informationen wie Zeitverhalten und Paketgrößen der Kommunikation einbeziehen oder auch Details aus dem Verbindungsaufbau kryptographischer Sessions. Aber diese sind deutlich weniger aussagekräftig als die eigentlichen übertragenen Inhalte und lassen sich von Angreifern auch leichter simulieren, um die Erkennung zu umgehen. Viele netzbasierte Angriffserkennungen arbeiten nur auf der Ebene einzelner Bild 1: KI-basierte Systeme zur Anomalieerkennung generieren aus dem Datenverkehr automatisiert ein Modell zur Beschreibung des Normalverhaltens. Zusätzlich fach- und umgebungsspezifisch kuratierte Regeln erhöhen die Verständlichkeit der Modelle und erlauben eine zielgerichtete Angriffserkennung. www.it-daily.net | März/April 2023
Seite 1 und 2: Detect. Protect. Respond. März/Apr
Seite 3 und 4: INHALT | 3 COVERSTORY 04 40 Inhalt
Seite 5 und 6: COVERSTORY | 5 Uwe Gries, Country-M
Seite 7 und 8: IT SECURITY | 7 SAP ? Selbst wenn m
Seite 9 und 10: IT SECURITY | 9 Fälschung oder Rea
Seite 11 und 12: IT SECURITY | 11 Infrastrukturen so
Seite 13 und 14: IT SECURITY | 13 endpunktsicherheit
Seite 15 und 16: IT SECURITY | 15 mentierung des Dat
Seite 17 und 18: IT SECURITY | 17 sich dabei um ein
Seite 19: IT SECURITY | 19 bungen eindringen
Seite 23 und 24: mehr als nur tägliche IT-News! SCA
Seite 25 und 26: IT SECURITY | 25 Bild 2: Die Umwand
Seite 27 und 28: IT SECURITY | 27 zum Betrieb ganzer
Seite 29 und 30: IT SECURITY | 29 Unabhängig davon
Seite 31 und 32: 04.08.21 09:49 is IT IT NEWS Der t
Seite 33 und 34: IT SECURITY | 33 direkt erstellt un
Seite 35 und 36: IT SECURITY | 35 Das PBAC-Modell fr
Seite 37 und 38: IT SECURITY | 37 beruht vor allem a
Seite 39 und 40: Data Lake: Die etwas ANDERE ART des
Seite 41 und 42: IT SECURITY | 41 hin zur Entdeckung
Seite 43 und 44: IT SECURITY | 43 Passwortmanager wi
Seite 45 und 46: IT SECURITY | 45 blematisch werden,
Seite 47 und 48: IT SECURITY | 47 DIE GRÖSSTEN RISI

IT Security März/April

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?