Insider Bedrohungen erkennen
Insider-Bedrohungen - Wie man die Nadel im Heuhaufen findet
Data-Science-Ansätze zur Erkennung des Insider-Bedrohungsverhaltens
IT-Angriffe von Insidern bzw. von Mitarbeitern ausgehend IT-Bedrohungen sind für viele Unternehmen eine der größten Herausforderungen in Sachen Cyber Security. Vectra AI , Anbieter von IT-Security auf Basis künstlicher Intelligenz, geht der Frage nach, was die IT-Security tatsächlich tun kann, um akute Insider-Bedrohungen aufzudecken und sie sogar zu verhindern, bevor sie auftreten.
Die sprichwörtliche Nadel im Heuhaufen
Insgesamt machen Bedrohungen durch Insider nur einen kleinen Teil des Mitarbeiterverhaltens aus. Während nur sogenannte „Black Swan“-Vorfälle öffentlich bekannt werden, führen kleinere Vorfälle wie der Diebstahl von geistigem Eigentum oder Kundenkontaktlisten zu großen Kosten für Unternehmen.
Insider sind standardmäßig befugt, sich innerhalb des Netzwerks aufzuhalten, und erhalten Zugang zu wichtigen Ressourcen und können diese auch nutzen. Wie soll man angesichts des großen Haufens von Zugriffsmustern, die im Netzwerk sichtbar sind, wissen, welche davon fahrlässiges, schädliches oder böswilliges Verhalten sind?
IT-Abteilungen reagieren auf Insider-Bedrohungen, wenn überhaupt, in der Regel mit umfassender Überwachung und Protokollierung. Ziel ist es, zumindest in der Lage zu sein, forensische Analysen durchzuführen, wenn eine Bedrohung stattfindet und Schaden anrichtet, und die Rechtsabteilung bei eventuellen Untersuchungen zu unterstützen.
Natürlich wird ein solcher Ansatz nicht dazu beitragen, die Bedrohung in irgendeiner Weise zu verhindern. Die jüngsten Versionen von Überwachungslösungen wie Sure View und Forschungsprogramme der US-Regierung verfolgen einen proaktiveren Ansatz, um eine Bedrohung zu erkennen, während sie geschieht, und sogar bevor sie geschieht. Es wurde deutlich, dass die Psychologie des Insiders sehr komplex ist und dass der Insider in der Regel Vorkehrungen trifft, um einer Entdeckung zu entgehen. Wie könnte also eine Software-Lösung zuverlässig erkennen, was eine Bedrohung ist und was nicht?
Data Science – die neue Lösung für das Problem der Insider-Bedrohung?
Das Problem, die Insider-Bedrohung zu erkennen, bevor sie tatsächlich eintritt, ist ebenso schwierig und komplex zu lösen wie die Vorhersage des menschlichen Verhaltens selbst. Was ist die nächste Handlung einer Person? Welche Handlung wird im Rahmen der zugewiesenen Arbeit für diese Person liegen? Welche Handlung wird die Vorbereitung eines Angriffs durch diese Person anzeigen?
Jüngste technologische Fortschritte haben deutliche Verbesserungen bei der Vorhersage dessen gezeigt, was früher als unvorhersehbar galt: das menschliche Verhalten. Trotz einiger anfänglicher Rückschläge zielen Systeme wie Google Now, Siri oder Cortana darauf ab, die Bedürfnisse der Benutzer vorherzusagen, bevor sie sie überhaupt kennen.
Möglich wird dies durch die riesigen Mengen an Verhaltensdaten, die gesammelt und indexiert werden. Die für die Analyse verfügbaren Rechenressourcen haben eine kritische Masse für den Einsatz von groß angelegten Methoden der künstlichen Intelligenz wie Spracherkennung, Bildanalyse und maschinelles Lernen erreicht. Der Begriff für diese neue prädiktive Analyse großer Mengen von Verhaltensdaten ist Data Science.
Data Science wird heute für verschiedene Probleme und Bereiche herangezogen und könnte in ähnlicher Weise auf das Problem der Insider-Bedrohung angewandt werden. Wie oben beschrieben, ist das gängige Verhalten eines Insiders innerhalb des Netzwerks eines Unternehmens autorisiert. In der Regel sind nicht genügend Informationen verfügbar, um die Absicht oder die Psychologie eines Insiders in Echtzeit abzuleiten. Da jedoch die Menge der gesammelten Verhaltensdaten zunimmt, gibt es immer mehr Hinweise, die aufgedeckt werden könnten.
Ein erster Data-Science-Ansatz besteht darin, allgemein bekannte Indikatoren für das Bedrohungsverhalten von Insidern kennen zu lernen. Dabei kann es sich um autorisierte Verhaltensweisen handeln, die jedoch typischerweise mit einem Insider in Verbindung gebracht werden, der vom Kurs abgekommen ist. Ein Beispiel sind Exfiltrationsverhalten wie das Hochladen von Daten auf ein Dropbox-Konto, die ausgiebige Nutzung von USB-Sticks oder hohe Download-Volumen von internen Servern. Diese Indikatoren sind spezifisch genug, um einen laufenden Angriff aufzufangen, aber nur eine begrenzte Anzahl von Angriffstypen kann auf diese Weise erkannt werden, nämlich diejenigen Angriffe, für die die Indikatoren bekannt sind.
Um zukünftige – und unbekannte – Angriffe abzufangen, besteht ein zweiter Ansatz darin, sich auf Anomalien im beobachteten Verhalten zu konzentrieren. Eine Anomalie ist etwas, das von dem abweicht, was Standard, normal oder erwartet ist.
Im Bereich des Verhaltens wird eine Data-Science-Lösung Verhaltensdaten analysieren und lernen, was normal ist. „Normales“ Verhalten kann sich auf die Normalität in Bezug auf alle beobachteten Verhaltensvariationen, das Verhalten einer Person im Laufe der Zeit oder sogar auf soziale Verhaltensweisen beziehen. Sobald eine Grundlinie der Normalität festgelegt ist, können Ausreißer identifiziert werden.
Wenn man weiß, dass Insider-Bedrohungen mit Verhaltensänderungen der betreffenden Person einhergehen, wird die Anomalie-Erkennung diese aufdecken, selbst in den frühen Phasen einer Bedrohung. Diese verbesserte Erkennung hat jedoch einen Preis: eine höhere Anzahl falsch-positiver Ergebnisse. Gutartige Verhaltensänderungen (z.B. aufgrund von Funktions- oder Teamwechseln oder der Rückkehr an den Arbeitsplatz nach dem Urlaub etc.) werden Entdeckungen auslösen, und die Anzahl dieser Entdeckungen kann sehr hoch sein.
Ein dritter – und am weitesten fortgeschrittener – Data-Science-Ansatz besteht darin, aus den Ergebnissen des ersten und zweiten Ansatzes Abläufe zu generieren, d.h. Indikatoren und Anomalien zu kombinieren, um eine verständliche Interpretation des Verhaltens innerhalb eines Unternehmens zu gewinnen. Letzteres ist offensichtlich eine harte Nuss, die es zu knacken gilt, denn letztlich geht es darum, eine wirklich künstliche Intelligenz zu schaffen. Mehr und mehr Security-Anbieter sind auf dem Weg dorthin.
