Vorherrschendes Sicherheitsmodell: „Known-Bad-Prinzip“

Wissen um bekannte Schädlinge ist nur die halbe Miete

Von unserem Gastautor Jason Matlof, Chief Marketing Officer bei LightCyber

[datensicherheit.de, 20.07.2016] In der IT-Sicherheit wird seit 20 Jahren das gleiche Modell angewendet. Dies spricht einerseits für bewehrte Qualität, hat aber auch Nachteile. Das vorherrschende Sicherheitsmodell beruht auf dem „Known-Bad“-Prinzip, bei dem alles ausgeschlossen wird, was als bösartig bekannt ist. Dabei geht man davon aus, dass Bedrohungen Kennzeichen haben, anhand derer sie identifiziert werden können, um den jeweiligen Exploit zu stoppen. Zu solchen Kennzeichen zählen technische Artefakte wie etwa Signaturen, Hashes, Indicators of Compromise (IOC), URLs und Domains oder das definierte Verhalten einer Software-Routine oder Anwendung.

Das Known-Bad-Modell ist im Wesentlichen reaktiv und bedeutet, dass ein Exploit erst einige Opfer finden muss. Wird eine Schwachstelle entdeckt, suchen die Sicherheitsforscher nach einer Möglichkeit, sie eindeutig zu identifizieren. Ein solcher Fingerabdruck definiert den Schwachpunkt und wird in ein Sicherheitstool implementiert, um den Exploit künftig zu blocken. Die ersten Opfer werden zwar kompromittiert, doch im Idealfall geht dieses Verfahren zügig vonstatten und die Updates können schnell erstellt, verteilt und auf die Kunden angewandt werden, die das jeweilige Sicherheitsprodukt gekauft haben. Die Mehrzahl der Nutzer sollte also profitieren und einige Zeit nach der ersten Entdeckung des Exploits geschützt sein.
Dank technischer Fortschritte wird das Known-Bad-Modell laufend verbessert. Ziel ist es, den Anfälligkeitszeitraum für die Nutzer zu verringern und näher an das Ideal von null Tagen heranzukommen. Einen großen Schritt nach vorne hat auch die Sandbox-Technologie gebracht, bei der eine Software in einer sicheren, isolierten Umgebung gegen eine Liste vordefinierter Verhaltensweisen oder Resultate getestet wird.

Der Known-Bad-Ansatz hat eine wichtige Aufgabe erfüllt, doch er hat auch eine Reihe offensichtlicher Nachteile und Mängel. Das Hauptproblem bei diesem Modell ist, dass es sich im Grunde nur für Malware eignet und zielgerichtete Angriffe nicht stoppen kann. Dies führt dazu, dass Cyberkriminelle im Durchschnitt fünf Monate lang unentdeckt auf die Netzwerke der Opfer zugreifen können und in aller Ruhe dort Daten abgreifen können.

Zwar lassen sich Anzeichen für einen aktiven Angriff finden, indem die genutzten Schadprogramme entdeckt werden. Die Wahrscheinlichkeit ist jedoch groß, dass die Malware nur zum Teil enttarnt wird. Der gesamte Umfang eines Angriffs wird häufig nicht erkannt.

Die einzige effektive Möglichkeit, einen aktiven Angreifer im Netzwerk zu finden, besteht darin, ihn anhand seiner Aktivitäten aufzuspüren. Dazu zählt insbesondere die „East-West“-Abtastung des Netzwerks: Der Angreifer fühlt dabei ab, wo er im Netzwerk gelandet ist. Denn grundsätzlich weiß er zunächst nicht, wie ein System aufgebaut ist und wo die wertvollen Informationen gespeichert sind. Solche Aktivitäten können entdeckt werden, indem man ein „Known-Good“-Modell anwendet, das vom explizit „Guten“ oder „Normalen“ ausgeht – wie etwa verhaltensbasierte Angriffserkennung.

Foto: LightCyber

Jason Matlof: Known-Good-Modell- und Known-Good-Modell-Sicherheitsmodell ergänzen sich

Beim Known-Good-Modell wird angenommen, dass ein Angreifer früher oder später einen Weg in Ihr Netzwerk finden wird. Abgesehen davon gibt es keinerlei vorab festgelegte oder definierte Kennzeichen oder Bedingungen, auf die geprüft wird. Was gut oder normal ist, wird nicht von vornherein entschieden. Vielmehr hängen diese Zustände von den realen Nutzern und Geräten und ihren gewöhnlichen Aktivitäten in einem bestimmten Netz ab und müssen erst kennengelernt werden.
Je nach Unternehmen und Netzwerkstruktur ergeben sich verschiedene Verhaltensmuster. Das Erlernen ermöglicht die Erstellung von Profilen der Nutzer und Geräte, die ständig aktualisiert werden. Dadurch lassen sich Normabweichungen entdecken, und dank hochmoderner maschineller Lernverfahren können mit hoher Wahrscheinlichkeit bösartige Vorgänge identifiziert werden. Zudem zeigen solche maschinellen Lernverfahren, wenn mehrere Ereignisse möglicherweise miteinander in Verbindung stehen, und dadurch dazu beitragen, einen Angriff zuverlässiger, schneller und präziser zu ermitteln.
Das gleiche Verfahren zur verhaltensbasierten Angriffserkennung lässt sich auch nutzen, um Insider-Angriffe zu entdecken, ebenso wie riskante Verhaltensweisen, die einer Mitarbeiterin oder einem Mitarbeiter nicht bewusst sind oder die auf einen Fehler bei der Bereitstellung einer Hardware oder Software zurückgehen.

Das Known-Good-Modell ergänzt das Known-Bad-Modell. Beide Ansätze sind für die Sicherheitsteams von enormem Wert. Wenn man sich jedoch ausschließlich auf das Known-Bad-Prinzip verlässt, werden Organisationen weiterhin Netzwerkattacken ausgesetzt bleiben.