Konzentration auf das Wesentliche: Der Angreifer im Fokus

Herkömmliche Cyber-Defense-Ansätze sind von Technologie geprägt und haben einen reaktiven Charakter. Man schaut nach charakteristischen Hinweisen (Signaturen), die man kennt und schon einmal gesehen hat. Im Fall von Intrusion-Detection-Systemen werden der Datenverkehr oder Transaktionen mit bekannten Informationen wie etwa Signaturen oder IP-Adressen aus Gefährdungs-Datenbanken verglichen, um mögliche Angriffe zu erkennen. Der Security-Prozess läuft heute im Wesentlichen so ab, dass man auf einen neuartigen Cyber-Angriff wartet, diesen dann charakterisiert und beschreibt, wie man in Zukunft solche Angriffe erkennen und abwehren kann. Bildhaft gesprochen ist es so, als ob ein Stein bei Ihnen durch ein Fenster geworfen wird. Sie vernageln dann das kaputte Fenster und warten, bis der nächste Stein durch ein anderes Fenster fliegt.

Dieser reaktive Ansatz ist sehr technisch geprägt und schaut im Wesentlichen auf Infrastruktur, Netzwerk, Server und Endgeräte. Das hat in der Vergangenheit sehr gut funktioniert, reicht aber nicht mehr aus, um sich gegen die heutige Gefährdungslage zu schützen. Neben diesen Infrastruktur- oder Perimeter-orientierten Methoden braucht man Werkzeuge, um sich auf das eigentlich Wichtige zu konzentrieren – einen Angreifer von einem legitimen Nutzer zu unterscheiden.

Hier geht Silver Tail Systems mit einem innovativen Ansatz – Web Session Intelligence – einen großen Schritt voran. Silver Tail wurde letztes Jahr von RSA aquiriert und spielt eine wichtige Rolle im Intelligence-Driven-Security-Ansatz von RSA. Im Prinzip funktioniert die Silver Tail Lösung so, dass der gesamte Datenstrom von Web-Anwendungen rückwirkungsfrei erfasst und analysiert wird. Daraus ergibt sich ein spannendes und breites Anwendungsgebiet.

Aus der Click-Stream-Analyse kann das System erkennen, ob eine Web-Session von einem Menschen oder einem Automaten durchgeführt wird.

Durch den Abgleich von einzelnen Befehlen einer Web-Session mit den korrespondierenden IP-Adressen können moderne Angriffsmethoden wie Man-in-the-Middle oder Man-in-the-Browser erkannt werden.

Durch die Analyse des gesamten Web-Verkehrs kann man auch sehr gut DDoS-Attacken auf Anwendungsebene erkennen. Auch wenn die Angreifer mit ausgefeilten dynamischen Methoden arbeiten, ergeben sich in der Analyse immer charakteristische Muster für die Angriffe, die dadurch sehr schnell erkannt und mit intelligenten Firewalls blockiert werden können.

Eine weitere Kernfunktionalität von Silver Tail Systems ist das Erfassen von Nutzeraktivitäten auf Web-Anwendungen. Aus den Session-Daten werden Nutzerprofile erstellt und über die Zeit gesampelt. Somit ergibt sich ein spezifisches, zeitabhängiges und charakteristisches Normverhalten für die Anwendung. Damit können zwei unterschiedliche Betrachtungen angestellt werden: „Dieser Nutzer hat noch nie diese Anwendung in dieser Weise benutzt“ oder „ So hat noch niemand diese Anwendung benutzt“, also das Betrachten von individuellem und kollektivem Verhalten.

Das Werkzeug analysiert das Nutzerverhalten im Kontext einer bestimmten Anwendung und ist auf dieser Ebene in der Lage, auffälliges Verhalten zu erkennen. Mit Lösungen wie Silver Tail Systems ist es heute möglich, sich bei der Abwehr von Cyber-Angriffen auf das Wesentliche zu konzentrieren: nicht auf Schwachstellen, festgelegte Regeln oder bekannte Angriffs-Muster, sondern auf den Angreifer und dessen Verhalten. Nur durch die Überwachung von einzelnen Transaktionen und den Abgleich mit „Normalverhalten“ ergibt sich die Chance, sich nachhaltig zu schützen.