Data Science: Ungewöhnliche Zugriffsmuster entlarven

Der Einsatz von Data Science kann helfen, ungewöhnliche Aktivitäten zu erkennen und dadurch Lücken in der IT-Infrastruktur zu schließen.

Know-how  –  9 Kommentare

(Bild: dpa, Andrea Warnecke)

Die meisten Unternehmen sind sich der Notwendigkeit bewusst, ihre Netzwerkinfrastruktur vor externen Bedrohungen zu schützen. Dazu setzen sie SIEM-Tools (Security Information and Event Management) und Intrusion-Detection-Systeme (IDS) ein. Bedrohungen, die von Insidern ausgehen und die sich durch "Lateral Movement"-Zugang zu sensiblen Daten verschaffen, sind damit jedoch nicht abgedeckt.

Realistisch betrachtet ist es unmöglich, feindlich gesinnte Angriffe auf die eigene IT-Infrastruktur gänzlich zu verhindern. Vor allem die eigenen Mitarbeiter sind ein Risikofaktor. Sie haben bereits Zugang zu einem Teil des Netzwerks. Selbst wenn die Identity-Rollen gut definiert und Authentifizierungsmechanismen im gesamten Unternehmen flächendeckend implementiert sind, können es Nutzer durch sogenanntes Lateral Movement schaffen in Bereiche einzudringen, für die sie eigentlich keine Berechtigung haben.

Als Lateral Movement bezeichnet man unter anderem die folgenden Verhaltensmuster: Nutzer oder potenzielle Angreifer suchen beispielsweise nach sensiblen Ressourcen oder Daten, sensible Anmeldeinformationen werden gesammelt oder es wird versucht, auf sensible Systeme mit anderen Anmeldedaten zuzugreifen (man wechselt die Identität), es werden privilegierte Gruppen erstellt oder mit Pass-the-Hash-Angriffen Identitäten gestohlen, Daten durch Exfiltration an einen externen Server umgeleitet oder ähnliches. Der Angreifer fällt den traditionellen SIEM-Werkzeugen und IDS-Systemen dabei nicht auf.

Einsatz von Advanced Analytics zum Erkennen von Lateral Movement

Insider mit Hacking-Absichten bewegen sich mit einer legitimen Zugangsberechtigung im Netzwerk. Aber sie hinterlassen dennoch Spuren, die auf ihr Vorhaben hinweisen könnten. Denn die Bewegungen unterscheiden sich von denen normaler Nutzer: ungewöhnliche Beziehungen zwischen Nutzern und kritischen Servern, Zugriffsmuster, die von Kollegen mit ähnlicher Rollendefinition abweichen und verdächtige Wege zwischen Systemen und Anwendungen. Darüber hinaus ist das der Moment, in dem Angreifer sich nicht vollständig etwa durch Verschlüsselung tarnen können, da sie von einem Knoten ausgehen.

Hier setzen Data Analytics an. Ziel ist es, Aktivitätsmuster aufzudecken, die auf Lateral Movement hindeuten, um die Übeltäter möglichst schnell zu identifizieren – und zwar durch die Analyse von Beziehungen, Clustern, Profilen und Traversalpfaden. Das kann die Arbeit der SIEM-Tools und IDS-Systemen gut ergänzen, deren Funktionen sich üblicherweise auf das Durchsuchen von Log-Dateien und die Korrelation der Daten nach definierten Regeln und die Analyse der Signaturen beschränkt. Sie werden nun ins Verhältnis mit Benutzerrechten, Rollen- und Anwenderverhalten gesetzt.