Insider-Bedrohungen: Wie man die Nadel im Heuhaufen findet

Insider sind standardmäßig befugt, sich innerhalb des Netzwerks aufzuhalten, und erhalten Zugang zu wichtigen Ressourcen und können diese auch nutzen. Wie soll man angesichts des großen Haufens von Zugriffsmustern, die im Netzwerk sichtbar sind, wissen, welche davon fahrlässiges, schädliches oder böswilliges Verhalten sind? [...]

IT-Abteilungen reagieren auf Insider-Bedrohungen, wenn überhaupt, in der Regel mit umfassender Überwachung und Protokollierung. Ziel ist es, zumindest in der Lage zu sein, forensische Analysen durchzuführen, wenn eine Bedrohung stattfindet und Schaden anrichtet, und die Rechtsabteilung bei eventuellen Untersuchungen zu unterstützen. (c) leowolfert - stock.adobe.com

IT-Angriffe von Insidern bzw. von Mitarbeitern ausgehend IT-Bedrohungen sind für viele Unternehmen eine der größten Herausforderungen in Sachen Cybersecurity. Vetcra AI, Anbieter von IT-Sicherheit auf Basis künstlicher Intelligenz, geht der Frage nach, was die IT-Security tatsächlich tun kann, um akute Insider-Bedrohungen aufzudecken und sie sogar zu verhindern, bevor sie auftreten.

Die sprichwörtliche Nadel im Heuhaufen

Insgesamt machen Bedrohungen durch Insider nur einen kleinen Teil des Mitarbeiterverhaltens aus. Während nur sogenannte „Black Swan“-Vorfälle öffentlich bekannt werden, führen kleinere Vorfälle wie der Diebstahl von geistigem Eigentum oder Kundenkontaktlisten zu großen Kosten für Unternehmen.

Insider sind standardmäßig befugt, sich innerhalb des Netzwerks aufzuhalten, und erhalten Zugang zu wichtigen Ressourcen und können diese auch nutzen. Wie soll man angesichts des großen Haufens von Zugriffsmustern, die im Netzwerk sichtbar sind, wissen, welche davon fahrlässiges, schädliches oder böswilliges Verhalten sind?

IT-Abteilungen reagieren auf Insider-Bedrohungen, wenn überhaupt, in der Regel mit umfassender Überwachung und Protokollierung. Ziel ist es, zumindest in der Lage zu sein, forensische Analysen durchzuführen, wenn eine Bedrohung stattfindet und Schaden anrichtet, und die Rechtsabteilung bei eventuellen Untersuchungen zu unterstützen.

Natürlich wird ein solcher Ansatz nicht dazu beitragen, die Bedrohung in irgendeiner Weise zu verhindern. Die jüngsten Versionen von Überwachungslösungen wie Sure View und Forschungsprogramme der US-Regierung verfolgen einen proaktiveren Ansatz, um eine Bedrohung zu erkennen, während sie geschieht, und sogar bevor sie geschieht. Es wurde deutlich, dass die Psychologie des Insiders sehr komplex ist und dass der Insider in der Regel Vorkehrungen trifft, um einer Entdeckung zu entgehen. Wie könnte also eine Software-Lösung zuverlässig erkennen, was eine Bedrohung ist und was nicht?

Data Science – die neue Lösung für das Problem der Insider-Bedrohung

Das Problem, die Insider-Bedrohung zu erkennen, bevor sie tatsächlich eintritt, ist ebenso schwierig und komplex zu lösen wie die Vorhersage des menschlichen Verhaltens selbst. Was ist die nächste Handlung einer Person? Welche Handlung wird im Rahmen der zugewiesenen Arbeit für diese Person liegen? Welche Handlung wird die Vorbereitung eines Angriffs durch diese Person anzeigen?

Jüngste technologische Fortschritte haben deutliche Verbesserungen bei der Vorhersage dessen gezeigt, was früher als unvorhersehbar galt: das menschliche Verhalten. Trotz einiger anfänglicher Rückschläge zielen Systeme wie Google Now, Siri oder Cortana darauf ab, die Bedürfnisse der Benutzer vorherzusagen, bevor sie sie überhaupt kennen.

Möglich wird dies durch die riesigen Mengen an Verhaltensdaten, die gesammelt und indexiert werden. Die für die Analyse verfügbaren Rechenressourcen haben eine kritische Masse für den Einsatz von groß angelegten Methoden der künstlichen Intelligenz wie Spracherkennung, Bildanalyse und maschinelles Lernen erreicht. Der Begriff für diese neue prädiktive Analyse großer Mengen von Verhaltensdaten ist Data Science.

Data Science wird heute für verschiedene Probleme und Bereiche herangezogen und könnte in ähnlicher Weise auf das Problem der Insider-Bedrohung angewandt werden. Wie oben beschrieben, ist das gängige Verhalten eines Insiders innerhalb des Netzwerks eines Unternehmens autorisiert. In der Regel sind nicht genügend Informationen verfügbar, um die Absicht oder die Psychologie eines Insiders in Echtzeit abzuleiten. Da jedoch die Menge der gesammelten Verhaltensdaten zunimmt, gibt es immer mehr Hinweise, die aufgedeckt werden könnten.

Indikatoren erkennen

Ein erster Data-Science-Ansatz besteht darin, allgemein bekannte Indikatoren für das Bedrohungsverhalten von Insidern kennen zu lernen. Dabei kann es sich um autorisierte Verhaltensweisen handeln, die jedoch typischerweise mit einem Insider in Verbindung gebracht werden, der vom Kurs abgekommen ist. Ein Beispiel sind Exfiltrationsverhalten wie das Hochladen von Daten auf ein Dropbox-Konto, die ausgiebige Nutzung von USB-Sticks oder hohe Download-Volumen von internen Servern. Diese Indikatoren sind spezifisch genug, um einen laufenden Angriff aufzufangen, aber nur eine begrenzte Anzahl von Angriffstypen kann auf diese Weise erkannt werden, nämlich diejenigen Angriffe, für die die Indikatoren bekannt sind.

Um zukünftige – und unbekannte – Angriffe abzufangen, besteht ein zweiter Ansatz darin, sich auf Anomalien im beobachteten Verhalten zu konzentrieren. Eine Anomalie ist etwas, das von dem abweicht, was Standard, normal oder erwartet ist.

Im Bereich des Verhaltens wird eine Data-Science-Lösung Verhaltensdaten analysieren und lernen, was normal ist. „Normales“ Verhalten kann sich auf die Normalität in Bezug auf alle beobachteten Verhaltensvariationen, das Verhalten einer Person im Laufe der Zeit oder sogar auf soziale Verhaltensweisen beziehen. Sobald eine Grundlinie der Normalität festgelegt ist, können Ausreißer identifiziert werden.

Anomalie-Erkennung

Wenn man weiß, dass Insider-Bedrohungen mit Verhaltensänderungen der betreffenden Person einhergehen, wird die Anomalie-Erkennung diese aufdecken, selbst in den frühen Phasen einer Bedrohung. Diese verbesserte Erkennung hat jedoch einen Preis: eine höhere Anzahl falsch-positiver Ergebnisse. Gutartige Verhaltensänderungen (z.B. aufgrund von Funktions- oder Teamwechseln oder der Rückkehr an den Arbeitsplatz nach dem Urlaub etc.) werden Entdeckungen auslösen, und die Anzahl dieser Entdeckungen kann sehr hoch sein.

Ein dritter – und am weitesten fortgeschrittener – Data-Science-Ansatz besteht darin, aus den Ergebnissen des ersten und zweiten Ansatzes Abläufe zu generieren, d.h. Indikatoren und Anomalien zu kombinieren, um eine verständliche Interpretation des Verhaltens innerhalb eines Unternehmens zu gewinnen. Letzteres ist offensichtlich eine harte Nuss, die es zu knacken gilt, denn letztlich geht es darum, eine wirklich künstliche Intelligenz zu schaffen. Mehr und mehr Security-Anbieter sind auf dem Weg dorthin.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*