IT Security März/April
Teilen Einbetten Melden

IT Security März/April

Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer! KI-basierte Angriffserkennung – Möglichkeiten und Grenzen RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt Die Industrie sicherer machen – Sicherheit in Echtzeit für zeitkritische Produktionsverfahren
Gravierende Folgen des neuen SAP-Lizenzmodells – Ungeprüfte Berechtigungen: Gefährlich – und nun auch teuer!
KI-basierte Angriffserkennung – Möglichkeiten und Grenzen
RBAC ist tot – lang lebe PBAC? Warum RBAC nicht stirbt

silvia.parthier
von silvia.parthier Mehr von diesem Publisher
27.02.2023 Aufrufe

20 | IT SECURITY Anomalieerkennung KI-BASIERTE ANGRIFFSERKENNUNG: MÖGLICHKEITEN UND GRENZEN Anomalieerkennung gilt als eine Methode der Angriffserkennung für die ITund OT-Sicherheit. Cyberkriminelle versuchen jedoch häufig, unter dem Radar solcher Systeme zu operieren. Was kann KI in diesem Zusammenhang leisten? Strom, Wasser, Lebensmittel oder Gesundheitsversorgung: Selbst kritische Infrastrukturen sind heute Bestandteil digitaler Ökosysteme. Mit zunehmender Digitalisierung und Vernetzung wächst deren Komplexität und damit die Verwundbarkeit gegenüber Cyberangriffen. Gleichzeitig steigt unsere Abhängigkeit von der Verfügbarkeit, Integrität und Vertraulichkeit solcher Systemlandschaften. Eine hohe Cyberresilienz wird damit zunehmend zur Grundlage einer stabilen Gesellschaft. Wichtiger Bestandteil dieser Widerstandsfähigkeit ist das Erkennen und die Abwehr von Angriffen. Dem trägt auch der Gesetzgeber immer mehr Rechnung und verpflichtet Betreiber von KRI- TIS-Anlagen mit dem IT-SIG 2.0 ab dem 1. Mai 2023 zum Einsatz von Systemen für die Angriffserkennung. Angriffserkennung vs. Anomalieerkennung Im Zusammenhang mit der Angriffserkennung wird oftmals der Begriff der Anomalieerkennung als Synonym verwendet. Allerdings ist eine Anomalie nur eine Abweichung von dem normal Erwarteten. Dabei kann es sich um eine Störung handeln, der kein Angriff zugrunde liegt, sondern zum Beispiel eine Fehlfunktion oder der Ausfall einer Komponente. Zwar ist es unter dem Aspekt einer hohen Verfügbarkeit und Integrität wichtig, derartige betriebliche Probleme frühzeitig zu erkennen und zu behandeln, sie sind aber nicht Bestandteil der Abwehr von Cyberangriffen. Im Gegensatz zu solch sporadisch auftretenden Fehlfunktionen mit klarem Fehlerbild versuchen Angreifer gezielt, ihre Cyberattacken unter dem Radar klassischer Anomalieerkennung durchzuführen. Eine generische Anomalieerkennung ist damit als primäres Mittel einer Angriffserkennung eher ungeeignet. Stattdessen sind Systeme erforderlich, die explizit auf die Erkennung von Angriffen ausgelegt wurden. Regelbasiert vs. KI-basiert Ein klassischer Ansatz bei Angriffserkennungssystemen ist die Nutzung manuell bzw. semi-automatisch erstellter kuratierter Regeln auf Basis von Expertenwissen und Datenanalysen. Dazu gehören die in Intrusion-Detection-Systemen genutzten Signaturen bekannter Angriffspakete. Aber auch Schwellwerte für Paketgrößen oder Paketmengen, deren Überschreiten einen Angriff nahelegt, oder komplexere Heuristiken zur Erkennung von Aufklärungstechniken wie Portscanning, können mit geeigneten Regelwerken abgebildet werden. Derartige Regeln sind im Allgemeinen auf klare Angriffsmuster fokussiert. Ihre Bedeutung ist dadurch selbst für Nicht-Experten zu verstehen und auf ein durch die Regel gemeldetes Ereignis kann entsprechend zügig und fokussiert reagiert werden. Allerdings haben diese aufwändig kuratierten Systeme Probleme mit den zunehmend komplexen Daten umzugehen und müssen bei Änderungen der Umgebungen erneut manuell angepasst werden. Auch lassen März/April 2023 | www.it-daily.net

IT SECURITY | 21 sich damit kaum neuartige Angriffe entdecken, für deren Verhalten noch keine spezifischen Regeln erstellt wurden. Bei KI-basierten Systemen wird hingegen aus einer längeren Beobachtung des Datenverkehrs automatisiert ein Modell der Umgebung generiert, welches das in der betrachteten Umgebung beobachte Normalverhalten beschreibt. Dieses Modell lässt sich automatisiert aktualisieren, wenn sich die Umgebung ändert. Manche Hersteller betiteln dabei schon mit Hilfe von einfachen Statistiken ermittelte Kommunikationsbeziehungen im Netz als KI-Modell. Leistungsfähigere Verfahren des maschinellen Lernens erlauben jedoch eine Modellierung deutlich komplexerer Zusammenhänge. Allerdings werden bei zunehmender Komplexität die erzeugten Modelle nicht nur leistungsfähiger, sondern auch schwerer verständlich für den Menschen, wodurch die Beurteilung von gemeldeten Ereignissen erschwert wird. Es ist auch kaum nachzuvollziehen, was das Modell eigentlich gelernt hat, das heißt, was es leisten kann und wo es Probleme hat. Diese Nachteile sind besonders in hochkomplexen, dynamischen Umgebungen spürbar, in denen auch regelbasierte Systeme schwächeln. Die Integration von mehr fachlicher Expertise über das Problemfeld kann Abhilfe schaffen. Über die Einbeziehung von fach- und umgebungsspezifisch kuratierten Regeln, das heißt Signaturen, Schwellwerten und Heuristiken als Teil der von einem KI-Modell berücksichtigten Merkmale, ist es möglich, die erzeugten Modelle sowohl verständlicher zu machen, als auch sie zielgerichteter auf eine Angriffserkennung statt nur generische Anomalien auszurichten. Grenzen der netzbasierten Erkennung Mit der zunehmenden Verschlüsselung von Daten sinkt die Menge an zuverlässigen Informationen, welche einer Angriffserkennung im Netz zur Verfügung stehen. Zwar kann man Meta-Informationen wie Zeitverhalten und Paketgrößen der Kommunikation einbeziehen oder auch Details aus dem Verbindungsaufbau kryptographischer Sessions. Aber diese sind deutlich weniger aussagekräftig als die eigentlichen übertragenen Inhalte und lassen sich von Angreifern auch leichter simulieren, um die Erkennung zu umgehen. Viele netzbasierte Angriffserkennungen arbeiten nur auf der Ebene einzelner Bild 1: KI-basierte Systeme zur Anomalieerkennung generieren aus dem Datenverkehr automatisiert ein Modell zur Beschreibung des Normalverhaltens. Zusätzlich fach- und umgebungsspezifisch kuratierte Regeln erhöhen die Verständlichkeit der Modelle und erlauben eine zielgerichtete Angriffserkennung. www.it-daily.net | März/April 2023

<strong>IT</strong> SECUR<strong>IT</strong>Y | 21<br />

sich damit kaum neuartige Angriffe entdecken,<br />

für deren Verhalten noch keine<br />

spezifischen Regeln erstellt wurden.<br />

Bei KI-basierten Systemen wird hingegen<br />

aus einer längeren Beobachtung<br />

des Datenverkehrs automatisiert ein Modell<br />

der Umgebung generiert, welches<br />

das in der betrachteten Umgebung beobachte<br />

Normalverhalten beschreibt.<br />

Dieses Modell lässt sich automatisiert<br />

aktualisieren, wenn sich die Umgebung<br />

ändert. Manche Hersteller betiteln dabei<br />

schon mit Hilfe von einfachen Statistiken<br />

ermittelte Kommunikationsbeziehungen<br />

im Netz als KI-Modell. Leistungsfähigere<br />

Verfahren des maschinellen<br />

Lernens erlauben jedoch eine<br />

Modellierung deutlich komplexerer<br />

Zusammenhänge.<br />

Allerdings werden bei zunehmender<br />

Komplexität die erzeugten<br />

Modelle nicht nur leistungsfähiger,<br />

sondern auch schwerer verständlich<br />

für den Menschen, wodurch<br />

die Beurteilung von gemeldeten Ereignissen<br />

erschwert wird. Es ist auch kaum<br />

nachzuvollziehen, was das Modell eigentlich<br />

gelernt hat, das heißt, was es<br />

leisten kann und wo es Probleme hat.<br />

Diese Nachteile sind besonders in hochkomplexen,<br />

dynamischen Umgebungen<br />

spürbar, in denen auch regelbasierte<br />

Systeme schwächeln.<br />

Die Integration von mehr fachlicher Expertise<br />

über das Problemfeld kann Abhilfe<br />

schaffen. Über die Einbeziehung<br />

von fach- und umgebungsspezifisch kuratierten<br />

Regeln, das heißt Signaturen,<br />

Schwellwerten und Heuristiken als Teil<br />

der von einem KI-Modell berücksichtigten<br />

Merkmale, ist es möglich, die erzeugten<br />

Modelle sowohl verständlicher<br />

zu machen, als auch sie zielgerichteter<br />

auf eine Angriffserkennung statt nur generische<br />

Anomalien auszurichten.<br />

Grenzen der netzbasierten<br />

Erkennung<br />

Mit der zunehmenden Verschlüsselung<br />

von Daten sinkt die Menge an zuverlässigen<br />

Informationen, welche einer Angriffserkennung<br />

im Netz zur Verfügung<br />

stehen. Zwar kann man Meta-Informationen<br />

wie Zeitverhalten und Paketgrößen<br />

der Kommunikation einbeziehen<br />

oder auch Details aus dem Verbindungsaufbau<br />

kryptographischer Sessions.<br />

Aber diese sind deutlich weniger aussagekräftig<br />

als die eigentlichen übertragenen<br />

Inhalte und lassen sich von Angreifern<br />

auch leichter simulieren, um die Erkennung<br />

zu umgehen.<br />

Viele netzbasierte Angriffserkennungen<br />

arbeiten nur auf der Ebene einzelner<br />

Bild 1:<br />

KI-basierte Systeme<br />

zur Anomalieerkennung<br />

generieren<br />

aus dem Datenverkehr<br />

automatisiert<br />

ein Modell zur<br />

Beschreibung des<br />

Normalverhaltens.<br />

Zusätzlich fach- und<br />

umgebungsspezifisch<br />

kuratierte<br />

Regeln erhöhen die<br />

Verständlichkeit<br />

der Modelle und<br />

erlauben eine zielgerichtete<br />

Angriffserkennung.<br />

www.it-daily.net | <strong>März</strong>/<strong>April</strong> 2023

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!