Sicherheitsinformations- und Ereignismanagement-Systeme (SIEM) gelten als probates Mittel, um Cyberattacken mithilfe von Detektionsregeln beziehungsweise Signaturen aufzuklären. Forschende des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE haben jedoch in umfangreichen Tests nachgewiesen, dass Angreifende viele solcher Signaturen leicht umgehen können. Mit einem KI-gestützten Open-Source-System wollen die Forschenden hier Abhilfe schaffen. Die Lösung trägt den Namen AMIDES und soll Angriffe erkennen können, die von klassischen Signaturen übersehen werden.
Bislang basiert die Detektion von Cyberangriffen in Organisationen überwiegend auf Signaturen bzw. Detektionsregeln, die von Sicherheitsexperten auf Basis bereits bekannter Angriffe erstellt wurden. Diese Signaturen sind das Herzstück der verschiedenen SIEM-Systeme. Zwar lassen sich alternativ auch Detektionsmethoden aus dem Bereich der Anomalie-Erkennung einsetzen, um Angriffe trotz umgangener Signaturen aufzuspüren. Daraus resultieren jedoch häufig viele Fehlalarme, die aufgrund der hohen Anzahl gar nicht alle untersucht werden können.
Missbrauchserkennung
Um das Problem zu lösen, haben die Forschenden des Fraunhofer FKIE ein System entwickelt, das mithilfe von Machine Learning Angriffe erkennt, die existierenden Signaturen ähnlich sind: Mit AMIDES, kurz für Adaptive Misuse Detection System, führen die Expertinnen und Experten ein Konzept zur adaptiven Missbrauchserkennung ein, das überwachtes Maschinelles Lernen nutzt, um potenzielle Regelumgehungen zu erkennen und gleichzeitig darauf optimiert ist, Fehlalarme auf ein Minimum zu reduzieren. Die frei verfügbare Open-Source-Software adressiert vor allem größere Organisationen, die bereits über ein zentrales Sicherheitsmonitoring verfügen und dieses verbessern möchten.
»Signaturen sind zwar das wichtigste Mittel, um Cyberangriffe in Unternehmensnetzwerken zu erkennen, sie sind aber kein Allheilmittel«, sagt Rafael Uetz, Wissenschaftler am Fraunhofer FKIE und Leiter der Forschungsgruppe »Intrusion Detection and Analysis«. »Bösartige Tätigkeiten können häufig unerkannt durchgeführt werden, indem der Angriff leicht modifiziert wird. Angreifende versuchen, der Erkennung durch verschiedene Verschleierungstechniken zu entgehen, etwa durch das Einfügen von Dummy-Zeichen in Befehlszeilen. Der Angreifer schreibt den Befehl so, dass die Signatur ihn nicht findet«, erläutert der Forscher das Vorgehen der Cyberkriminellen.
An diesem Punkt setzt AMIDES an: Die Software führt eine Merkmalsextraktion auf Daten sicherheitsrelevanter Ereignisse durch, zum Beispiel auf der Befehlszeile neu gestarteter Programme. Mithilfe von Machine Learning werden dann Befehlszeilen erkannt, die denen ähneln, auf die die Detektionsregeln anschlagen, die aber nicht genau diese Signaturen treffen. In diesem Fall würde AMIDES einen Alarm auslösen. Der Ansatz wird als adaptive Missbrauchserkennung bezeichnet, da er sich an die Zielumgebung anpasst, indem er auf ihr Normalverhalten trainiert wird, um potenzielle Angriffe von harmlosen Ereignissen richtig zu unterscheiden.