Zurückschlagen: mit Verhaltensanalyse gegen Cyber-Kriminalität?

Das Wesen der Cyber-Kriminalität hat sich verändert. In den Anfängen des Personal Computing, also in den 1980er Jahren, wurden Malware-Bedrohungen wie das berüchtigte Brain-Virus über Diskette bzw. «floppy discs» verteilt und konnten entsprechend einfach lokalisiert und bewältigt werden. Doch mit dem Aufkommen des Internets wurde die Cyber-Kriminalität zu einem massiv verteilten Phänomen. Seither sind die Angriffsmethoden zusehends verbreiteter und raffinierter geworden. Ein besonders finsterer, schwierig entgegenzuwirkender Aspekt liegt in der heute ausgesprochen persönlichen Natur der Cyber-Bedrohungen.

Das moderne Zeitalter der Cyber-Kriminalität: Wie unser Verhalten gegen uns verwendet wird

Die Cyber-Kriminalität rückte uns erst dann wirklich näher, als wir anfingen, E-Mails und das Internet zu nutzen. Das Internet war für Cyber-Kriminelle wie ein grosses, offenes Buch. Sie mussten einfach nur eine E-Mail kreieren und diese mit einem Malware-Attachment versehen, um sie dann wahllos und massenhaft zu verschicken, sogar unter Verwendung der E-Mail-Adresslisten anderer. Es war absehbar, dass jemand das Attachment öffnen würde. Dies aktivierte einen automatisch ausführbaren Programmcode – und voilà!, die Malware-Infektion war vollbracht. Diese Art der versuchten Masseninfektion erreichte in den 1990ern mit dem «Melissa»-E-Mail-Wurm einen Höhepunkt. Der Nachteil dieser Taktik: Sie veraltet ziemlich schnell. Der Mensch hat die Tendenz, Dinge zu lernen, und über die Jahre haben wir in dem Masse gelernt, E-Mail-Attachments zu misstrauen, wie wir auch effiziente Spam-Filter installiert haben. In der Folge mussten Cyber-Kriminelle das ganze Spiel verschärfen.

Die Spielregeln haben sich geändert. Das Vorgehen ist jetzt viel persönlicher seit Cyber-Kriminelle «Social Engineering» als Waffe der Wahl einsetzen. Mit Social Engineering wird unser Verhalten gegen uns selbst gerichtet. Dabei werden psychologische Tricks verwendet, um uns zu Handlungen zu verleiten, die wir eigentlich nicht ausführen sollten, wie zum Beispiel Attachments öffnen oder auf Links in möglicherweise verdächtigen E-Mails zu klicken. Diese Art der Verhaltensmanipulation ist an sich nichts Neues. Trickbetrüger haben sie schon seit Anbeginn der Menschheitsgeschichte betrieben. Es ist also nicht überraschend, dass nun auch Cyber-Kriminelle darauf setzen.

Spear Phishing ist eine der erfolgreichsten Social Engineering Methoden und hat in den letzten Jahren für einige der spektakulärsten Cyber-Attacken gesorgt. Spear Phisher nutzen die gleichen alten Tricks wie die frühen Hacker, doch jetzt wird auf das Ziel fokussiert. Die Spear Phisher lernen zuerst das «Zielpublikum» kennen. Sie beobachten, welchen Websites ihre Ziele trauen. Sie finden heraus, wer ihre Linienvorgesetzten sind und sie fabrizieren E-Mails mit den richtigen Logos und Unterschriften, damit der Eindruck erweckt wird, dass die Mail in der Inbox tatsächlich vom Chef kommt. Dank dieses Grads der Personalisierung ist Spear Phishing sehr erfolgreich. Schätzungen zufolge werden heute 91% der Cyber-Angriffe durch Spear Phishing E-Mails initiiert. Die Öffnungsrate beträgt dabei 70% im Vergleich zu nur 3% bei nicht-personalisierten Massen-Phishing-Mails. Personalisierung funktioniert, und sie erschwert es ungemein, zwischen berechtigt und betrügerisch zu unterscheiden.

Sich mit den gleichen Waffen wehren

So wie die Cyber-Kriminellen ihre Taktik geändert haben, indem sie unser Verhalten gegen uns richten, so können auch wir dieselbe Methodik verwenden und unser Wissen über erwartetes Verhalten einsetzen, um Cyber-Bedrohungen zu erkennen und abzuwenden. Traditionelle Sicherheitswerkzeuge – nennen wir sie mal «Security 1.0» – stehen für Antivirus- und Firewall-Methoden zur Bewältigung von Cyber-Bedrohungen.  Wir brauchen diese Systeme nach wie vor. Viele der Architekturen, welche die Basis dieser Security 1.0 Werkzeuge bilden, wurden aktualisiert, um neuen Bedrohungen zu begegnen. Sie gehen jedoch nicht weit genug insofern, dass uns über unsere eigene Technologie auf den Leib gerückt wird – aufgrund der laufend komplexeren Angriffsfläche und wegen der immer clevereren Taktiken. Ein Beispiel dafür liefert der zunehmend von Hackern eingesetzte Advanced Persistent Threat (APT).

APT trägt sozusagen eine Tarnkappe. Oft liegt er über Monate auf einem Server. Er ist so konzipiert, das er im Verborgenen arbeitet. Ist er einmal eingeschleust, nutzen Hacker Command-und-Control-Kommunikation (C&C), um die Malware zu aktualisieren. C&C ist schwer zu erkennen, da es sich unauffällig in den normalen Internetverkehr einfügt und dadurch vor herkömmlichen Tools wie Antivirenprogrammen verborgen bleibt. APTs sind ein wahrer Fluch für Unternehmen und entwickeln sich zu einer immer beliebteren Methode fürs «Absaugen» von Daten über einen längeren Zeitraum. Ein Beispiel neueren Datums für einen APT-Einsatz ist das Carbanak-Schadprogramm. Es schädigte über 100 Banken und soll den Hackern zu rund 1 Milliarde US-Dollars verholfen haben. Die Malware wurde ursprünglich über Spear Phishing E-Mails installiert. Die Sicherheitswerkzeuge der nächsten Generation – Security 2.0 – setzen gegenwärtig auf einen viel ausgefeilteren Ansatz gegen diese verborgenen Angriffe («stealth attacks»), die auf Verhaltensmanipulationen basieren. Diese neuen Tools verwenden Verhaltensanalyse.

Doch was genau bedeutet die Verhaltensanalyse im Security-Kontext? Die Verhaltensanalyse ist eine Technik, die auf Profile von bekanntem Verhalten und erwarteten Nutzungsmustern zurückgreift, um Anomalien bzw. Abweichungen zu erkennen. Diese können auf drohende Cyber-Angriffe oder bereits laufende Infektionen hinweisen.

Der Verhaltensanalyse stehen, je nach verwendetem Produkt, verschiedene Methoden zur Verfügung. Dazu gehören:

  1. Security-Informationen und Bedrohungswissen. Der Wissensstand zu den vorherrschenden Angriffsarten und zu den Mechanismen, wie diese Angriffe ausgelöst werden, ist hoch. Security-Unternehmen erstellen Profile über Angriffsvektoren und Malware-Fälle. Diese Profile dienen dazu, die nächsten Schritte vorherzusagen und Bedrohungen zu erkennen.
  2. Profilanalyse. Wer Verhaltensveränderungen verstehen will, muss zuerst das Verhalten begreifen. Die Verhaltensanalyse funktioniert mittels der Analyse normaler Verhaltensmuster. Ein einfaches Beispiel, bekannt als «credential behavioural monitoring» (dt. «Überwachung des Berechtigungsverhaltens») wäre die Anwendung nutzerspezifischer Fragen bei einen Login-Versuch, das wie ein Brute-Force-Vorgehen (Exhaustionsmethode) aussieht oder das von einem ungewohnten Ort ausgeht. Ein Implementierungsbeispiel könnte darin bestehen, dass einem überwachten und für echt befundenen Nutzer persönliche Kontrollfragen gestellt werden, statt das Konto zu blockieren – was sowohl ärgerlich ist wie auch zu DOS-Attacken führen kann. Wenn die Fragen korrekt beantwortet werden, kann sich der Nutzer einloggen. Als weiteres Beispiel dient die Analyse einer bestimmten Aktion, sagen wir mal einer Datenbankabfrage. Malware zeigt bei der Datenextraktion ein ganz anderes Profil als jenes, das durch menschliches Handeln entsteht.
  3. Überwachung, Analyse und Erkennung. Dies beinhaltet die grundlegende Verhaltenserwartung in einem Netzwerk. Das heisst zu wissen, was für dieses Netzwerk normal ist. Beispielsweise, welches die Sites sind, denen vertraut wird, oder auf welche Weise auf Files zugegriffen wird bzw. die Zugriffsarten auf Server und externe Sites usw. Sie können die Profilanalyse als Basis für die Überwachung und Erkennung potentieller Cyber-Angriffe nutzen. Das Datenverkehrsverhalten ist eines der Gebiete, das Ihnen viele Informationen liefert und die Früherkennung von Abweichungen (Anomalien) erlaubt. Es ist auch nützlich in der Abwehr von Botnets, die in der Regel schwer zu erkennen sind.

Hilft die Verhaltensanalyse auch gegen die Cyber-Kriminalität?

Wie bei jedem Wettrüsten müssen beide Seiten laufend an der Spirale drehen, um die nächste Schlacht zu gewinnen. Das ist bei der Cyber-Kriminalität nicht anders. Wenn wir ausgeklügelte Werkzeuge wie die Verhaltensanalyse entwerfen, um gegen das Social Engineering und raffinierte Stealth Malware anzugehen, entwickeln Cyber-Kriminelle im Gegenzug Malware, die wie normales menschliches Verhalten beim Umgang mit Technologie daherkommt. Derzeit steht uns mit der Verhaltensanalyse eine intelligentere und überlegtere Methode für den Umgang mit komplexen Cyber-Angriffen zur Verfügung. In Verbindung mit traditionellen Security-Werkzeugen und Web Security Mitigationstechniken («Eindämmungsechniken») machen sie einen wichtigen Teil unseres neuen Sicherheitsarsenals aus. Wir sollten jedoch nie selbstzufrieden werden, denn die nächste grosse Angriffstechnologie ist gleich um die Ecke – dieses Mal vielleicht in Form von Gamifizierungs-Techniken, die uns in unsere eigene Malware-Infektion hineinziehen.

Details zum Autor

Mathias Wyss

Mathias Wyss

Product Manager Web Access Management & Security Expert @ United Security Providers, MSc ETH, CISSP

Kommentar hinterlassen?