Die Erkennung von verdächtigen Inhalten und Aktivitäten in verschlüsseltem Netzwerkverkehr
Autor/Redakteur: Gerald Hahn, Country Manager für DACH, Zentral- und Osteuropa bei Gatewatcher/gg
Herkömmliche und insbesondere auf Signatur- oder heuristischen Ansätzen basierende Sicherheits-Lösungen sind bei verschlüsselten Netzwerkverkehr einschließlich der darin übertragenden Dateien nicht effektiv. Sie sind weder dazu in der Lage, Schadcode noch Anomalien, also verdächtige Verhaltensweisen und Abläufe im Netzwerkverkehr, zu erkennen. Sie können den ursprünglichen, unverschlüsselten Inhalt nicht analysieren, sind aber genau dafür entwickelt worden. Der eigentliche Anwendungsfall der Verschlüsselung zum Datenschutz verhindert gleichzeitig die Wirksamkeit herkömmlicher Sicherheitslösungen. Dies ist auch unerwünschten Interessenten und Angreifern bekannt.
Aufgrund dieser zwiespältigen Situation von Datenschutz und Angriffsfläche würde man natürlich nicht auf Datenverschlüsselung verzichten. Schon gar nicht in öffentlichen, unkontrollierten Netzwerkinfrastrukturen. Mehr als 90 Prozent der Netzwerkkommunikation ist dementsprechend heute verschlüsselt. Dies umfasst unter anderem Protokolle wie HTTPs / TLS V1.3, DNS und VoIP.
Wie geht man nun vor, um das Einschleusen von Schadcode und Infiltrieren von Unternehmensressourcen über verschlüsselte Netzwerkkommunikation zu erkennen und zu verhindern? Dies gilt nicht nur für Angriffe, sondern auch für Vorgänge, die von Unternehmen unerwünscht sind wie zum Beispiel das Übertragen kritischer, zu schützender Inhalte in nicht geschützte Umgebungen und Infrastrukturen. Auch wenn dies den Mitarbeitern eines Unternehmens so nicht bewusst ist.
Tatsächlich gibt es Möglichkeiten und Methoden, Übertragungsvorgänge von Inhalten zu erkennen. Und zwar in Verbindung mit verdächtigen Verhaltensweisen und Infrastrukturen. Daraus lassen sich dann Angriffe und Datenentwendungen ableiten und ermöglichen eine entsprechende Reaktion zum Schutz von Daten und Unternehmen.
Durch inzwischen weit entwickelte Möglichkeiten des ‚Machine Learnings‘ und Ansätze die in Richtung ‚Künstliche Intelligenz‘ gehen, ist man heute mit modernen Technologien in der Lage, Anomalien effizient auch in verschlüsseltem Netzwerkverkehr zu identifizieren und eine sofortige Reaktion zur Unterbindung einzuleiten. Das System lernt über die Zeit durch aufgezeichnete Netzwerkdaten was als ’normal‘ zu bezeichnen ist. Welche Systeme kommunizieren wie lange und zu welchen Zeiten unter normalen Umständen, welches Datenvolumen wird in welche Richtung ausgetauscht, welcher Server konsumiert und produziert welche Datenvolumina.
Ergibt sich nun eine Abweichung, können Algorithmen auf Basis des Erlernten und Trainierten zuverlässige Aussagen zu Anomalien treffen und Alarme auslösen. In der direkten Folge lassen sich dann umfangreiche oder individuelle Analysen und Methoden durchführen. Bis hin zu Automatisierungen in Abhängigkeit von Reputationen der beteiligten Netzwerkstationen. So sind Vorfälle oder Ereignisse in Verbindung mit Angriffen in der Vergangenheit dazu in der Lage, Maschinen des öffentlichen Internets mit der entsprechenden Reputation und den damit verbundenen Angriffen (Verteilen von Malware oder C&C Infrastrukturen) zu entlarven.
In der Praxis kann sich dies sehr komplex und umfangreich gestalten, was an der Vorgehensweise und Effektivität nichts ändert. Es ist nur eine umfangreiche und leistungsfähige Datensammlung und -analyse erforderlich. Diese lässt sich durch moderne und zeitgemäße Technologie realisieren.