In der Regel greifen Cyberkriminelle Workstations an, indem sie Schwachstellen in häufig verwendeten Programmen oder potenziell gefährliche Features in legitimer Software ausnutzen. Daher kann es auf den ersten Blick sinnvoll erscheinen, die Verwendung derartiger Software einzuschränken. Das unbedachte Blockieren von Software kann jedoch zu schwerwiegenden Geschäftsschäden führen; wie kann eine solche Einschränkung also ermöglicht werden, ohne dabei wichtige Geschäftsprozesse zu beeinträchtigen? Unser Ansatz besteht in der Minimierung potenzieller Angriffspunkte durch adaptive Anomaliesteuerung unter Verwendung maschineller Lerntechnologien.
Seit vielen Jahren gilt MS Office in Sachen „Anzahl ausgenutzter Schwachstellen“ als führender Platzhirsch. Das heißt aber nicht, dass die Software an sich schlecht ist. Sicherheitslücken gibt es immer und überall. Das Problem ist einfach, dass Cyberkriminelle ihren Fokus primär auf Office legen, weil es sich schlichtweg um das meist genutzte Office-Paket handelt. Selbst wenn Ihr Unternehmen bereit ist, Geld für die Umschulung von Mitarbeitern in die Hand zu nehmen, um auf eine Alternativsoftware umzusteigen, wird eine andere Produktivitätssuite Office vom Exploit-Thron stoßen, sobald diese an Popularität gewinnt.
Einige Produkte bringen Features mit sich, die offensichtlich gefährlich sind. So können Makros in Office beispielsweise verwendet werden, um Schadcode auszuführen. Ein pauschales Verbot wäre jedoch mehr als unpraktisch, da Finanzanalysten und Buchhalter diese im Alltagsbetrieb benötigen.
Die Aufgabe besteht also darin, derartige Programme strikt zu überwachen und nur dann einzugreifen, wenn anomale Aktivitäten entdeckt werden. Doch an dieser Stelle gibt es ein Problem.
Wie definiert man „anomal“?
Das Wesen cyberkrimineller Aktivitäten besteht im Grunde genommen darin, in den Augen von Sicherheitssystemen legitim zu erscheinen. Wie kann ein Cybersicherheitssystem also feststellen, ob eine an einen Mitarbeiter gesendete Nachricht ein wichtiges Dokument mit einem Makro oder einem Trojaner enthält? Hat der Absender eine .js-Datei lediglich zu Arbeitszwecken gesendet oder versteckt sich hinter der Datei vielleicht doch ein Virus?
Zumindest in der Theorie wäre es möglich, die Arbeit jedes einzelnen Mitarbeiters manuell zu analysieren, um herauszufinden, welche Tools er benötigt und welche nicht, um auf der Grundlage dieser Informationen ein Bedrohungsmodell zu erstellen und bestimmte Programmfunktionen chirurgisch zu blockieren.
Doch auch an dieser Stelle treten zahlreiche Komplikationen auf. Denn je größer das Unternehmen, desto schwieriger ist es, für jeden Mitarbeiter ein spezifisches und vor allem präzises Modell zu erstellen. Darüber hinaus erfordert die manuelle Konfiguration selbst in einem kleinen Unternehmen viel Zeit und Mühe seitens der Administratoren. Abgesehen davon muss der Prozess sehr wahrscheinlich wiederholt werden, sobald die Infrastruktur oder Tools des Unternehmens geändert werden.
Um die geistige Gesundheit von Administratoren und IT-Sicherheitsbeauftragten zu wahren, besteht also die einzige sinnvolle Möglichkeit darin, die Einschränkungskonfiguration zu automatisieren.
Adaptive Kontrolle
Wir haben den Automatisierungsprozess folgendermaßen implementiert: Zum einen haben auf maschinellen Lernprinzipien basierende Systeme unsere Bedrohungsdatenbanken durchforstet und Standardmuster für potenziell schädliche Aktivitäten erstellt. Anschließend haben wir eine punktgenaue Blockierung dieser Muster auf jeder spezifischen Workstation implementiert.
Zum anderen haben wir einen automatischen Anpassungsmodus (auch Smart-Modus genannt) erstellt, um die Benutzeraktivität zu analysieren und zu bestimmen, welche Regeln angewendet werden können und welche dieser Regeln den normalen Betrieb beeinträchtigen könnten/würden. Das Ganze funktioniert wie folgt: Zunächst sammelt das System im Lernmodus für einen bestimmten Zeitraum Statistiken über das Auslösen von Steuerungsregeln und erstellt dann ein Modell für den Normalbetrieb des Benutzers oder der Gruppe (legitimes Szenario). Danach wird der Lernmodus deaktiviert und es werden ausschließlich die Steuerungsregeln aktiviert, die anormale Aktionen blockieren.
Sollte das Arbeitsmodell des Benutzers geändert oder angepasst werden, kann das System wieder in den Lernmodus versetzt und an das neue Szenario angepasst werden. Darüber hinaus besteht die Möglichkeit des Fine-Tunings, um spezifische Ausnahmen hinzuzufügen.
Natürlich handelt es sich auch hierbei um kein Patentrezept, jedoch können mögliche Angriffspunkte auf diese Weise erheblich reduziert werden.
Das AAC-Modul (Adaptive Anomaly Control) ist Teil unserer aktualisierten Lösung Kaspersky Endpoint Security for Business Advanced, die wir kürzlich vorgestellt haben. Mit einem Klick auf das Banner unten, können Sie eine kostenlose Testversion der Sicherheitslösung herunterladen.