Der Angriff der vermutlich chinesischen Hackergruppe Storm-0558 auf eine Vielzahl von Regierungsbehörden und andere Organisationen hätte nach Auffassung der Schweizer Sicherheitsspezialisten von Exeon verhindert werden können. Die Gruppe hatte digitale Authentifizierungs-Token gefälscht, um auf Webmail-Konten zuzugreifen, die über den Outlook-Dienst von Microsoft laufen.
Die Angreifer hatten einen Signierschlüssel von Microsoft gestohlen. Mit diesem konnten sie sich dann funktionierende Zugriffstoken für Outlook Web Access (OWA) und Outlook.com ausstellen und E-Mails und deren Anhänge hacken. Ein Fehler bei der Plausibilitätsprüfung hat dazu geführt, dass eine digitale Signatur, die für Privatkundenkonten (MSA) gedacht war, nun zusätzlich auch im Azure Active Directory für Geschäftskunden als Identitätsnachweis funktioniert.
Machine Learning erkennt Anomalien
Viele Cyber Security-Systeme sind heute noch nicht in der Lage, solche Angriffe zu erkennen. Nur ML-basierte Systeme (Machine Learning) können über Anomalien im Datenverkehr Hinweise auf einen Angriff geben. Ein dynamisches, auf ML basierendes NDR-System (Network Detection and Response) ist in der Lage, Angriffe aufzuspüren, ohne bereits vorher gespeicherte, bekannte “Indicators of Compromise” zu haben. Stattdessen sucht es nach verdächtigem Verhalten und erkennt es.
Es liefert Daten von allen Switches und arbeitet völlig ohne Agenten, die in vielen Umgebungen, oft auch gar nicht installiert werden könnten. So können interne Reconnaissance, bei der sich der Angreifer zunächst umschaut, was er angreifen kann, oder laterale Bewegungen erkannt werden, wenn sich der Angreifer bereits im Netzwerk befindet. Ein weiteres Beispiel ist die Erkennung eines bösartigen Command-and-Control-Kanals in den Proxy-Log-Daten.
Eine Kombination von NDR und Endpoint Detection and Response (EDR) schafft eine leistungsstarke Verteidigungsstrategie für Cybersicherheit und kann das Machine Learning nutzen. Während sich NDR auf die Überwachung und Analyse des Netzwerkverkehrs konzentriert, um verdächtige Aktivitäten, insbesondere Lateral Movements und Datenexfiltration, zu erkennen, schaut das EDR auf die Endpunkte, etwa Workstations oder Server. Dabei tragen besonders die Algorithmen des maschinellen Lernens in den NDR-Systemen dazu bei, die Genauigkeit der Bedrohungserkennung zu verbessern und Fehlalarme zu reduzieren.
Zwar kann schon eine weitgehende Automatisierung dabei helfen, schnell auf erkannte Bedrohungen zu reagieren und die Verweildauer von Angreifern zu minimieren, doch ML-Modelle lassen sich zudem kontinuierlich auf die Erkennung neuer Bedrohungen und Angriffstechniken trainieren, um die Erkennung deutlich zu beschleunigen und Angriffe bereits in einem frühen Stadium abzuwehren. Eine gemeinsame Nutzung von Daten durch NDR und EDR wird dabei die Daten des jeweils anderen bereichern und einen umfassenderen Einblick in potenzielle Bedrohungen ermöglichen.
Klaus Nemelka ist Product Marketing Manager bei Exeon Analytics.