Jenseits von Signaturen: SecOps modernisieren
KI-gestützte Verhaltenserkennung, um fortgeschrittene Angreifer zu überlisten
Herkömmliche Cybersicherheitsmodelle sind der Menge, Vielfalt und Geschwindigkeit der aktuellen Bedrohungen allein nicht gewachsen. Sicherheitsteams, die weiterhin auf veraltete, reaktive Modelle setzen, können nur versuchen, mit Angreifern Schritt zu halten. Diese verfügen aber inzwischen über eine immer größere Bandbreite leicht verfügbarer, fortschrittlicher Tools und KI-Funktionen, mit denen sie Angriffe starten und Erkennungsmechanismen gezielt umgehen.
Moderne Security Operations Teams müssen daher in einem neuen Cybersicherheitsmodell agieren. Dieses muss in der Lage sein, eine wachsende Anzahl unterschiedsloser Angriffe schnell zu erkennen und darauf zu reagieren. Gleichzeitig muss es die Fähigkeit besitzen, sich rasch neu zu orientieren und sich gegen ausgeklügelte, gezielte Angriffe zu verteidigen – ausgeführt von koordinierten Bedrohungsakteuren mit klar definierten und gut recherchierten Zielen.
Unternehmen können ihre bestehenden SecOps-Prozesse und -Tools nun um Funktionen zur Verhaltensanalyse und Anomalieerkennung erweitern. Deren Implementierung war bislang zu teuer, zu zeitaufwendig und zu personalintensiv. Durch die Identifizierung von Aktivitäten, die von etablierten normalen Mustern abweichen, unterstützt die Verhaltensanalyse – zusammen mit kontextbezogenen Orientierungstechniken – Unternehmen dabei, Bedrohungen aufzudecken, darauf zu reagieren und diese zu untersuchen, bevor sie Schaden verursachen können.
Was unterscheidet die verhaltensbasierte Anomalieerkennung von anderen Ansätzen?
Verhaltensanalyse ist nicht neu. Die Implementierung von Punktlösungen zur Analyse des Verhaltens einzelner Systeme und isolierter Anwendungsfälle, wie die Klassifizierung von Phishing-E-Mails, ist seit langem eine gängige und erfolgreiche Cybersicherheitsstrategie. Bis vor kurzem waren die Kosten und der Ressourcenaufwand für die Implementierung von Verhaltensanalysen in großem Umfang jedoch für die meisten Unternehmen zu hoch.
Mit der zunehmenden Verfügbarkeit von KI- und ML-Technologien hat diese Hürde deutlich abgenommen. Unternehmen können jetzt KI- und ML-gestützte Tools verwenden, um große Datenmengen – einschließlich Aktivitätsprotokolle, App-Nutzung und Netzwerk-Traffic – aus verschiedenen Systemen und Umgebungen zu analysieren und zu klassifizieren. Sie können eine Basislinie für „normale Aktivität“ erstellen und anschließend kontinuierlich neue Daten auf Abweichungen von dieser Basislinie überwachen.
Bisher haben sich Cybersicherheitsteams auf signatur- und regelbasierte Tools verlassen, die auf zuvor beobachteten Angriffsmustern basieren. Diese Tools analysieren Live-Ereignisdaten sowie historische Protokolldaten, die im Rahmen von Untersuchungen nach Sicherheitsverletzungen erfasst wurden, und suchen nach Hinweisen auf schädliche Aktivitäten. Doch die komplexe, multivektorielle Natur moderner Angriffe sowie die Vorgehensweisen hochentwickelter Angreifer machen statische Erkennungs- und Abwehrtechniken nahezu obsolet.
Die Verhaltensanalyse ist eine wichtige Alternative zu herkömmlichen Ansätzen. In Kombination mit etablierten Funktionen wie Security Information and Event Management (SIEM) und Extended Detection and Response (XDR) eingesetzt, erlaubt dieser Ansatz eine effiziente und zügige Erkennung und Eindämmung sowohl moderner als auch klassischer Bedrohungen für die Infrastruktur und Assets eines Unternehmens.
Die Verhaltensanalyse basiert auf der Identifizierung neuer und ungewöhnlicher Muster im Netzwerk-, System-, Agenten- und Nutzerverhalten – nicht auf zuvor beobachteten und aufgezeichneten Verhaltensmustern oder Angriffsindikatoren. Anders ausgedrückt ist verhaltensbasierte Erkennung darauf ausgelegt, neue und bislang unbekannte Bedrohungen zu erkennen, statt lediglich Angriffsartefakte. Das ermöglicht es Sicherheitsteams, nicht länger nur auf die Folgen von Cyberangriffen zu reagieren, sondern diese frühzeitig zu verhindern und ihnen zuvorzukommen.
Unterschied zwischen signaturbasierten Methoden und Verhaltensanalyse
Signatur- oder regelbasierte Tools …
Suchen nach bekannten Bedrohungen (Muster, schädliche IP-Adressen/Domains, Schadsoftwareverhalten)
Sind reaktiver Natur (sie identifizieren Angriffe hauptsächlich nach einer Kompromittierung)
Können Insider-Bedrohungen, Zero-Day-Angriffe und andere moderne Bedrohungen übersehen
Verhaltensanalyse …
Sucht nach Anomalien und Ausnahmen im typischen Verhalten (anormales System, Agent, Nutzer und Netzwerkaktivität)
Ist proaktiv konzipiert (sie erkennt mögliche Angriffe, bevor oder kurz nachdem sie auftreten)
Ist dank der Fortschritte in der KI erschwinglich, zugänglich und skalierbar
Vorteile gegenüber anderen Ansätzen in der Verhaltenserkennung
Unternehmen, die Verhaltensanalysen als zentrale Sicherheitsstrategie nutzen, profitieren gegenüber bisherigen Ansätzen von drei Vorteilen:
1. Ergänzung der traditionellen signaturbasierten Erkennung
Signatur- und musterbasierte Beobachtungsansätze sind reaktive Ansätze. Unternehmen, die ausschließlich auf diese Techniken setzen, sind darauf beschränkt, Angriffsprofile erst zu erkennen, nachdem sie von anderen bereits entdeckt und analysiert wurden – in Form vordefinierter Signaturen oder sogenannter Indicators of Compromise (IOCs).
Die Verhaltensanalyse ist dagegen proaktiv. Sie sucht in frühen Phasen nach ungewöhnlichen Aktivitäten und findet Indicators of Attack (IOAs) wie Phishing-Versuche, verdächtige Netzwerkaktivitäten oder ungewöhnliche Nutzerinteraktionen mit Systemen und Diensten. Dank dieser frühzeitigen, auf Anomalien basierenden Erkennung können Cybersicherheitsteams, Angreifern einen Schritt voraus zu sein und Kompromittierungsversuche verhindern, bevor sie Schaden verursachen.
2. Aufbau eines ganzheitlichen und kosteneffizienten Verteidigungsökosystems
Herkömmliche Tools betrachten nur einen engen Ausschnitt, etwa das System, den Nutzer oder das Netzwerk, und beziehen keinen Kontext ein. Die Verhaltensanalyse hingegen integriert Daten aus mehreren Quellen und bietet dadurch eine kontextreiche Analyse. Interne und externe Kontextinformationen tragen dazu bei, dass nicht jedes ungewöhnliche Verhalten automatisch als böswillig eingestuft wird. Nach dem Training eines Modells auf einem System oder Netzwerk können verhaltensbasierte Analysetools innerhalb definierter Wahrscheinlichkeitsgrade bestimmen, ob eine Aktivität böswillig oder harmlos ist.
In der Vergangenheit war die Bereitstellung dieser Art von kontextreichen Analysen kostspielig. Dafür waren erhebliche Rechenleistung und arbeitsintensive Workflows zur Speicherung, Verarbeitung und Abfrage großer Mengen unterschiedlicher Datensätze erforderlich. Fortschritte im KI-gestützten Data Engineering und der Ereigniskorrelation haben die kontextreiche Analyse deutlich erschwinglicher gemacht als frühere Ansätze der von Menschen gesteuerten Analyse.
3. Verbesserung der Anpassungsfähigkeit an aktuelle Bedrohungen und Workflows
Verhaltensanalysemodelle lernen kontinuierlich und passen sich an neue Bedrohungen und neue Workflows an. Nehmen wir zum Beispiel an, Sie implementieren einen KI-Agenten. Im Laufe der Zeit lernt das Modell das autonome Verhalten dieses Agenten und definiert es als normal. Wenn der KI-Agent kompromittiert wird oder von festgelegten Mustern zulässiger Aktivitäten abweicht, erkennt das Modell dieses anomale Verhalten und kann den Agenten sperren oder einschränken, welche Aktionen er ohne menschliches Zutun ausführen kann.
Die Verhaltenserkennung berücksichtigt auch neue Arbeitsweisen. Beispielsweise könnten Sie Ihr Unternehmen global erweitern und neue Zweigstellen in anderen Ländern eröffnen. Nach einer anfänglichen Optimierungsphase lernt das Modell, dass Remote-Logins von diesen Standorten zu bestimmten Tageszeiten keinen Betrug darstellen, sondern ein neues, normales Muster widerspiegeln.
Strategien für die Analyse von Verhaltensanomalien
Viele Unternehmen verfügen bereits über einige Funktionen zur Verhaltensanalyse, die in Endpunkt-, Sicherheits- oder Identitätsplattformen integriert sind. Aber nicht alle Teams wissen, wie sie diese verteilten Funktionen optimal nutzen können, und Abstumpfung gegenüber Sicherheit kann zu Fehlern führen. Die folgenden Best Practices helfen Ihrem Team, die Verhaltenserkennung effektiv zu implementieren und zu nutzen.
1. Umfang und Integration definieren
Unabhängig davon, ob Sie aus bestehenden Fähigkeiten und den von Ihren Umgebungen erzeugten Daten einen größeren Mehrwert ziehen möchten oder die Einführung einer neuen Lösung in Betracht ziehen, sollten Sie zunächst potenzielle Anwendungsfälle definieren. So könnten Sie sich beispielsweise auf die Identifizierung möglicher Insider-Bedrohungen, die Erkennung lateraler Bewegungen oder Versuche der Datenexfiltration konzentrieren. Sie können Ihre Anwendungsfälle sogar noch spezifischer definieren. So lässt sich etwa „Unmögliche Entfernung“ erkennen, wenn sich ein Nutzer scheinbar innerhalb eines unrealistisch kurzen Zeitraums von zwei weit voneinander entfernten Standorten aus im Netzwerk anmeldet. Ebenso können wiederholte Verstöße gegen Data-Loss-Prevention-Richtlinien (DLP) unterbunden werden, etwa wenn Mitarbeitende vertrauliche Informationen auf eine Weise verschieben oder teilen, die gegen interne Sicherheitsrichtlinien verstößt.
2. Modelle trainieren und optimieren
Die Verhaltensanalyse kann automatisiert und über mehrere Systeme und Sicherheitsdurchsetzungspunkte hinweg orchestriert werden. Machen Sie es sich zur Priorität, die KI-Modelle und Integrationen, die diese Automatisierung ermöglichen, zu trainieren und zu optimieren. Das anfängliche Training hilft dem Modell zu verstehen, was „normal“ ist. Kontinuierliche Abstimmung und erneutes Training helfen dabei, mit sich wandelnden Bedrohungsverhaltensweisen Schritt zu halten.
Sie könnten den Trainingsprozess unterstützen und beschleunigen, indem Sie absichtlich schädliche Angriffsmuster einbringen, anstatt auf das Auftreten von schädlichem Verhalten zu warten. Im Laufe der Zeit werden Modelle auf erlerntes Verhalten zurückgreifen und Konfidenzwerte für ihre Vorhersagen zu böswilligen und gutartigen Anomalien vergeben.
3. KI für fortschrittliche Verteidigung nutzen
In der Vergangenheit hat sich die Verhaltensanalyse verschiedener ML-Algorithmen bedient, um Anomalien zu beurteilen und aufzudecken. Der Einsatz von fein abgestimmten, lokal erweiterten generativen KI-Modellen (GenAI) und Agentic AI kann dazu beitragen, die Erkennung von Anomalien in einer geschützten Umgebung weiter zu optimieren. Mit diesen weiterentwickelten Funktionen reduzieren Verhaltensanalyselösungen die Belastung für menschliche Analysten, gleichen Anomalien mit umfassenderen Wissensdatenbanken ab und automatisieren nachgelagerte Abwehrmaßnahmen. Dazu zählen unter anderem vorgelagerte Kontrollanpassungen, die Quarantäne von Hosts sowie das Sperren von Nutzerkonten.
4. Auf Interoperabilität achten
Wählen Sie eine Verhaltensanalyselösung, die sich in Ihre vorhandenen Tools integrieren lässt. Andernfalls werden Sie wahrscheinlich zu viel Zeit und Geld dafür aufwenden, bereits genutzte Lösungen zu entfernen und zu ersetzen. Eine Lösung zur Verhaltensanalyse sollte sich beispielsweise in bestehende Erkennungs- und Reaktionsfähigkeiten, einschließlich SIEM-Tools, integrieren und diese ergänzen. Herkömmliche SIEM-Tools analysieren Ereignisse in Echtzeit und korrelieren Ereignisdaten aus mehreren Quellen, um vordefinierte Angriffsmuster zu identifizieren und sichtbar zu machen. Moderne SIEM-Systeme hingegen integrieren Aspekte der Verhaltensanalyse, um das Verhalten von Nutzern und Geräten über einen längeren Zeitraum zu bewerten und dabei kontinuierlich ein internes Referenzmodell von Indicators of Attack (IOAs) zu verfeinern.
5. Falsch-positive Ergebnisse erwarten
Nicht jede Anomalie ist böswillig. Aber wie bei vielen KI-gestützten Ansätzen besteht das Risiko sowohl für falsch-positive als auch falsch-negative Ergebnisse. Die Minimierung falsch klassifizierter Verhaltensweisen kann eine Form menschlicher Intervention erfordern, einschließlich einer Zusammenarbeit im Human-in-the-Loop-Verfahren. Insbesondere müssen Modelle feinjustiert werden, um Rauschen zu reduzieren und die Klassifizierung von Verhaltensweisen zu verbessern. Darüber hinaus können Sie intelligente Korrelations- und Anreicherungsquellen implementieren, die speziell auf die geschützte Umgebung und das Betriebsmodell Ihres Unternehmens zugeschnitten sind, um der Erkennung böswilliger und untypischer Verhaltensweisen zusätzlichen Kontext hinzuzufügen.
Denken Sie auch daran, dass Modelle Zeit brauchen, um sich zu stabilisieren und anzupassen, und eine menschliche Aufsicht in differenzierten Fällen erforderlich ist. Der Erfolg hängt nicht nur von der Technologie ab, sondern auch von kompetenten Teams, die mit klar definierten Prozessen arbeiten, um Erkennungen zu interpretieren und auf Basis der gewonnenen Erkennungen zu handeln.
6. Erfolgsmetriken definieren
Legen Sie wichtige Performance-Indikatoren (Key Performance Indicators, KPIs) fest, um den Wert von Investitionen in Verhaltensanalysen im Laufe der Zeit zu messen. Sie könnten beispielsweise die Zeit messen, die benötigt wird, um erste Zugriffsversuche zu erkennen, sowie die Vorhersage optimaler Techniken zur Abwehr von Angriffen. Zusätzliche KPIs können erfassen, in welchem Maß sich die Verweildauer von Angreifern reduziert hat oder welche potenziellen Auswirkungen ein abgewehrter Angriff im Erfolgsfall gehabt hätte.
Verwenden Sie momentan die richtige Strategie zur Anomalieerkennung?
Herkömmliche, signatur- und regelbasierte Schutzmaßnahmen allein reichen nicht aus, um sich vor schnell entwickelnden Sicherheitsbedrohungen und entschlossenen Angreifern zu schützen. Die Integration verhaltensbasierter Anomalieerkennung in Ihre Security-Operations-Strategie kann dazu beitragen, einen proaktiveren Ansatz für ganzheitliche Cyberabwehr zu etablieren, indem potenzielle Bedrohungen erkannt werden, bevor sie Schaden verursachen.
Cloudflare nutzt verschiedene ML- und KI-Technologien, um eine globale Connectivity Cloud zu betreiben und innovative Dienstleistungen für Unternehmen bereitzustellen. User and Entity Behavior Analytics (UEBA) ist Teil des Unified Risk Posture-Angebots – einer Reihe von Funktionen, die Lösungen für Security Service Edge (SSE), Webanwendungen und API-Sicherheit in einer einzigen Plattform vereinen. Durch die Einbettung von Funktionen zur Verhaltenserkennung und Risikobewertung in eine SSE- oder Secure Access Service Edge (SASE)-Plattform können Sie von deren Vorteilen profitieren und gleichzeitig die Komplexität der Verwaltung reduzieren sowie die betriebliche Effizienz verbessern.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Entdecken Sie Strategien, um den neuesten Bedrohungen einen Schritt voraus zu bleiben und KI-Implementierungen zu schützen – im E-Book Sicherheit für das KI-Zeitalter modernisieren.
Autor
James Todd – @jamesctodd
Field CTO, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Warum herkömmliche, reaktive Cybersicherheitstools versagen
Wie die Verhaltensanalyse die signaturbasierte Erkennung erweitert
6 Best Practices für die Implementierung von Verhaltensanalyse