Storm-0558 Angriffe abwehren mit Machine Learning

B2B Cyber Security ShortNews

Beitrag teilen

Cybersecurity-Systeme, die auf Machine Learning basieren, identifizieren Angriffe, indem sie Abweichungen von der Normalität erkennen. Laut Sicherheitsspezialisten von Exeon hätte so die Attacke durch die APT-Gruppe Storm-0558 verhindert werden können. 

Der Angriff der vermutlich chinesischen Hackergruppe Storm-0558 auf eine Vielzahl von Regierungsbehörden und andere Organisationen hätte nach Auffassung der Schweizer Sicherheitsspezialisten von Exeon verhindert werden können. Die Angreifer hatten einen Signierschlüssel von Microsoft gestohlen. Mit diesem konnten sie sich dann funktionierende Zugriffstoken für Outlook Web Access (OWA) und Outlook.com ausstellen und E-Mails und deren Anhänge hacken. Ein Fehler bei der Plausibilitätsprüfung hat dazu geführt, dass eine digitale Signatur, die für Privatkundenkonten (MSA) gedacht war, nun zusätzlich auch im Azure Active Directory für Geschäftskunden als Identitätsnachweis funktioniert.

Machine Learning erkennt Anomalien im Datenverkehr

Viele Cyber Security-Systeme sind heute noch nicht in der Lage, solche Angriffe zu erkennen. Nur ML-basierte Systeme (Machine Learning) können über Anomalien im Datenverkehr Hinweise auf einen Angriff geben, so Exeon. Ein dynamisches, auf ML basierendes NDR-System (Network Detection and Response) kann Angriffe aufspüren, ohne bereits vorher gespeicherte, bekannte “Indicators of Compromise” zu haben. Stattdessen sucht es nach verdächtigem Verhalten und erkennt es. Es liefert Daten von allen Switches und arbeitet völlig ohne Agenten, die in vielen Umgebungen, oft auch gar nicht installiert werden könnten. So können interne Reconnaissance, bei der sich der Angreifer zunächst umschaut, was er angreifen kann, oder laterale Bewegungen erkannt werden, wenn sich der Angreifer bereits im Netzwerk befindet. Ein weiteres Beispiel ist die Erkennung eines bösartigen Command-and-Control-Kanals in den Proxy-Log-Daten.

Höhere Genauigkeit bei der Erkennung von Bedrohungen

“Eine Kombination von NDR und Endpoint Detection and Response (EDR) schafft eine leistungsstarke Verteidigungsstrategie für Cybersicherheit und kann das Machine Learning nutzen”, so Klaus Nemelka, Product Marketing Manager bei Exeon. “Während sich NDR auf die Überwachung und Analyse des Netzwerkverkehrs konzentriert, um verdächtige Aktivitäten, insbesondere Lateral Movements und Datenexfiltration, zu erkennen, schaut das EDR auf die Endpunkte, etwa Workstations oder Server. Dabei tragen besonders die Algorithmen des maschinellen Lernens in den NDR-Systemen dazu bei, die Genauigkeit der Bedrohungserkennung zu verbessern und Fehlalarme zu reduzieren.”

Abwehr in einem frühen Stadium

Zwar kann laut Exeon schon eine weitgehende Automatisierung dabei helfen, schnell auf erkannte Bedrohungen zu reagieren und die Verweildauer von Angreifern zu minimieren, doch Machine Learning-Modelle lassen sich zudem kontinuierlich auf die Erkennung neuer Bedrohungen und Angriffstechniken trainieren, um die Erkennung deutlich zu beschleunigen und Angriffe bereits in einem frühen Stadium abzuwehren. Eine gemeinsame Nutzung von Daten durch NDR und EDR wird dabei die Daten des jeweils anderen bereichern und einen umfassenderen Einblick in potenzielle Bedrohungen ermöglichen.

Mehr bei Exeon.com

 


Über Exeon Analytics

Exeon Analytics AG ist ein Schweizer Cybertech-Unternehmen, das sich auf den Schutz von IT- und OT-Infrastrukturen durch KI-gesteuerte Sicherheitsanalysen spezialisiert hat. Die Network Detection and Response (NDR)-Plattform ExeonTrace bietet Unternehmen die Möglichkeit, Netzwerke zu überwachen, Cyber-Bedrohungen sofort zu erkennen und somit die IT-Landschaft des eigenen Unternehmens effektiv zu schützen – schnell, zuverlässig und komplett Software-basiert.


Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen

Cyberattacke auf Deutsche Energie-Agentur – dena

Die Deutsche Energie-Agentur vermeldet nach eigenen Angaben eine Cyberattacke am Wochenende vom 11. auf den 12. November. Die Server sind ➡ Weiterlesen

LockBit: Gestohlene Shimano-Daten wohl veröffentlicht

Der japanische Hersteller für Fahrradteile Shimano wurde Ziel laut LockBit Opfer eines Ransomware-Angriffs und zeigte sich offenbar nicht bereit, Lösegeld ➡ Weiterlesen

IoT-Geräte: Bedrohung aus dem Darknet

IoT-Geräte sind ein beliebtes Angriffsziel für Cyberkriminelle. Im Darknet werden diese Angriffe als Dienstleistung angeboten. Insbesondere Services für DDoS-Angriffe die ➡ Weiterlesen