KOMBINIERTE VERTEIDIGUNG: Warum Sie statische Analyse, dynamische Analyse und maschinelles Lernen brauchen

Jan 03, 2019
7 minutes
... views

This post is also available in: Français (Französisch) Español (Spanisch)

Punktlösungen im Sicherheitsbereich sind genau das, was ihr Name sagt: Sie konzentrieren sich im gesamten Lebenszyklus eines Angriffs auf einen einzelnen Interventionspunkt. Selbst wenn die Sicherheitslösung eine Erfolgsrate von 90 Prozent verspricht, besteht noch immer die Wahrscheinlichkeit, dass in einem von zehn Fällen ein Angriff an diesem Punkt nicht abgewehrt werden kann. Um die Chancen einer Unterbindung erfolgreicher Cyberangriffe zu erhöhen, können sich Unternehmen nicht auf Punktlösungen verlassen. Vielmehr brauchen sie verschiedene Verteidigungsebenen und müssen an mehreren Punkten agieren können. Die Kombination mehrerer effektiver Methoden erhöht die allgemeine Wirksamkeit der Sicherheitslösungen und bietet Unternehmen die Möglichkeit, den Lebenszyklus eines Angriffs an verschiedenen Punkten zu unterbrechen.

Im Folgenden werden die drei Methoden zur Bedrohungserkennung beschrieben, die in Kombination erfolgreiche Cyberangriffe verhindern können:

 

Dynamische Analyse

Einziges Tool, das Zero-Day-Bedrohungen erkennt

Im Rahmen der dynamischen Analyse wird eine verdächtige Datei auf einer virtuellen Maschine, wie einer Malware-Analyseumgebung, detoniert. Anschließend wird analysiert, wie sich die Datei verhält. Die Datei wird abhängig von ihrem Verhalten bei der Ausführung eingestuft, anstatt zur Identifikation von Bedrohungen nur auf Signaturen zu setzen. Dadurch kann die dynamische Analyse Bedrohungen erkennen, die völlig von den bisher bekannten abweichen.

Für besonders präzise Ergebnisse sollte die Datei Zugriff auf das Internet haben, wie es an einem durchschnittlichen Endpunkt in einem Firmennetzwerk der Fall wäre, da Bedrohungen oft Befehle und Steuerung von außen brauchen, um ihr Potenzial zu entfalten. Als Präventionsmechanismus kann die Malware-Analyse den Internetzugriff unterbinden und Reaktionen von außen vortäuschen, damit sich die Bedrohung zu erkennen gibt. Dies kann jedoch unzuverlässig sein und stellt damit keine echte Alternative zum Internetzugriff dar.

Malware-Analyseumgebungen sind erkennbar, und das Verfahren ist zeitintensiv

Um unentdeckt zu bleiben, versuchen die Angreifer, anhand von Netzwerkprofiling herauszufinden, ob ihr Angriff in einer Malware-Analyseumgebung stattfindet. Dabei suchen sie nach Anzeichen dafür, dass sich die Malware in einer virtuellen Umgebung befindet, beispielsweise, ob die Datei immer zu ähnlichen Zeiten oder von den gleichen IP-Adressen detoniert wird, ob gültige Benutzeraktivitäten wie Tastatureingaben oder Mausbewegungen vorhanden sind oder ob andere Faktoren wie ein ungewöhnlich hoher Speicherplatz auf Virtualisierungstechnologie hindeuten. Ist für einen Angreifer erkennbar, dass er es mit einer Malware-Analyseumgebung zu tun hat, wird er seinen Angriff abbrechen. In der Folge sind die Ergebnisse anfällig für Analysefehler. Wenn die Malware zum Beispiel bei der Detonation Kontakt zum Angreifer aufnimmt, dieser aber nicht reagiert, weil er die Malware-Analyse durchschaut hat, verhält sich die Datei nicht schädlich und wird folglich von der Analyse nicht als Bedrohung erkannt. Ähnlich läuft es, wenn die Bedrohung die Ausführung einer speziellen Version eines bestimmten Teils einer Software erfordert. In diesem Fall geht von der Malware in der Malware-Analyseumgebung nichts erkennbar Verdächtiges aus.

Es kann mehrere Minuten in Anspruch nehmen, eine virtuelle Maschine zu erstellen, die Datei darin zu platzieren und zu beobachten und anschließend die Maschine wieder zu löschen und die Ergebnisse zu analysieren. Obwohl die dynamische Analyse die teuerste und zeitintensivste Methode darstellt, ist sie das einzige Tool, mit dem unbekannte oder Zero-Day-Bedrohungen wirksam erkannt werden können.

 

Statische Analyse

Schnelle Ergebnisse und keine speziellen Anforderungen

Anders als die dynamische Analyse befasst sich die statische Analyse mit dem Inhalt einer bestimmten Datei auf einer Festplatte und nicht mit ihrem Verhalten bei Detonation. Sie analysiert Daten, extrahiert Muster, Attribute und Artefakte und meldet Unregelmäßigkeiten.

Für die statische Analyse sind die Probleme der dynamischen Analyse unbedeutend. Sie ist äußerst effizient – sie dauert nur einen Bruchteil einer Sekunde – und deutlich kostengünstiger. Die statische Analyse kann zudem auf jede beliebige Datei angewendet werden, da zum Analysieren der Datei keine bestimmten Anforderungen, einzurichtenden Umgebungen oder ausgehende Kommunikation erforderlich sind.

Komprimierte Dateien führen zu geringerer Sichtbarkeit

Die statische Analyse stößt jedoch relativ schnell an ihre Grenzen, wenn die verdächtige Datei komprimiert ist. Während komprimierte Dateien für die dynamische Analyse kein Problem darstellen, geht bei der statischen Analyse die Sichtbarkeit der eigentlichen Datei verloren, da das erneute Komprimieren die gesamte Datei unbrauchbar macht. Was sich statisch extrahieren lässt, tendiert gegen null.

 

Maschinelles Lernen

Verhaltensbasierte Korrelation neuer Versionen von Bedrohungen mit bekannten Bedrohungen

Anstatt bestimmte Muster miteinander zu vergleichen oder eine Datei zu detonieren, werden beim maschinellen Lernen Tausende Merkmale der Datei extrahiert und analysiert. Diese Merkmale werden einer Klassifikation unterzogen, auch als Feature-Vektor bezeichnet, um auf der Grundlage bekannter Identifikatoren die Gutartigkeit oder Bösartigkeit der Datei zu bestimmen. Anstatt nach Besonderheiten zu suchen, ordnet das System die Datei einem zuvor ausgewerteten Dateicluster zu, wenn sich eines ihrer Merkmale ähnlich wie dieses Cluster verhält. Für gutes maschinelles Lernen sind Trainingssätze mit positiven und negativen Beispielen erforderlich, und neue Daten oder Merkmale haben eine Verbesserung des Prozesses und eine Verringerung der Falschmeldungen zur Folge.

Maschinelles Lernen gleicht das aus, was der dynamischen und statischen Analyse fehlt. Eine Datei, die inaktiv ist, nicht detoniert, durch Komprimierung lahmgelegt wurde, keine Befehle erhält, nicht gesteuert wird oder auf andere Weise unzuverlässig ist, kann dank maschinellem Lernen trotzdem als bösartig identifiziert werden. Wenn zahlreiche Versionen einer bestimmten Bedrohung beobachtet und in einem Cluster gebündelt wurden und eine verdächtige Datei Merkmale wie jene im Cluster aufweist, geht die Maschine von einem Zusammenhang mit dem Cluster aus und kennzeichnet die Datei innerhalb von Sekunden als schädlich.

Findet nur mehr von dem, was ohnehin bekannt ist

Wie die anderen beiden Methoden sollte maschinelles Lernen als Tool mit vielen Vorteilen, aber auch einigen Nachteilen betrachtet werden. Denn beim maschinellen Lernen wird das Modell nur auf der Grundlage bekannter Identifikatoren trainiert. Im Gegensatz zur dynamischen Analyse findet man mit maschinellem Lernen weder Neuartiges noch Unbekanntes. Eine Bedrohung, die keines der erlernten Merkmale aufweist, wird nicht als schädlich gekennzeichnet, da die Maschine lediglich mehr von dem Material findet, mit dem sie trainiert wurde.

Kombinierte Verfahren auf einer Plattform

Um die Pläne versierter Gegner durchkreuzen zu können, brauchen Sie mehr als nur ein Teil des Puzzles. Sie brauchen ein kombiniertes Verfahren – ein Konzept, das die Lösungen mehrerer Anbieter vereint. Obwohl Defense-in-Depth nach wie vor angemessen und relevant ist, muss es sich von einer Punktlösung aus Produkten mehrerer Anbieter zu einer Plattform weiterentwickeln, die statische Analyse, dynamische Analyse und maschinelles Lernen integriert. Alle drei in Kombination bewirken eine tatsächliche Verteidigung in der Tiefe, und zwar durch mehrere Schichten integrierter Lösungen.

 

Die Palo Alto Networks Security Operating Platform lässt sich mit dem cloudbasierten Bedrohungsanalyse-Service WildFire integrieren, um den einzelnen Komponenten kontextbezogene, praktische Bedrohungsdaten zu liefern und dadurch den sicheren Einsatz im Netzwerk, am Endpunkt und in der Cloud zu ermöglichen. WildFire kombiniert eine speziell entwickelte Engine für dynamische Analyse mit statischer Analyse, maschinellem Lernen und Bare-Metal-Analyse für eine noch effektivere Abwehr von Bedrohungen. Während viele Malware-Analyseumgebungen auf Open-Source-Technologie setzen, hat WildFire die gesamte Open-Source-Virtualisierung innerhalb der Engine für dynamische Analyse durch eine von Grund auf neu entwickelte virtuelle Umgebung ersetzt. Dadurch müssen Angreifer völlig andere Strategien als die gegen andere Anbieter von Cybersicherheit verwendeten entwickeln, um der Erkennung durch WildFire zu entkommen. Von den wenigen Angriffen, die es schaffen, die drei Verteidigungsebenen von WildFire – dynamische Analyse, statische Analyse und maschinelles Lernen – zu umgehen, werden alle Dateien mit ausweichendem Verhalten in eine Bare-Metal-Umgebung zur Hardware-Ausführung umgeleitet.

Innerhalb der Plattform arbeiten diese Verfahren nichtlinear zusammen. Erkennt eines der Verfahren eine Datei als bösartig, wird dies von der gesamten Plattform zur Kenntnis genommen, wodurch die Sicherheit aller anderen Funktionen steigt.


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.