Ein auf maschinellem Lernen basierendes System soll Abhilfe gegen Cyber-Angriffe schaffen.

Ein auf maschinellem Lernen basierendes System soll Abhilfe gegen Cyber-Angriffe schaffen.
Fotolia – MicroOne / germina / Moreno Soppelsa

Im Jahr 2016, in dem täglich mehr als 390 000 Viren und Schadprogramme erstellt wurden, haben traditionelle Erkennungsmethoden zur Cyber-Abwehr ausgedient. Denn die zunehmend verwendeten Advanced Persistent Threats (APTs), zielen nicht nur auf einzelne Systeme, sondern auf das gesamte Unternehmensnetzwerk. Der Anstieg unterschiedlicher Angriffsmethoden stellt Sicherheitsexperten vor die Aufgabe, Gefahren zu bannen, bevor ein wirtschaftlicher Schaden entsteht. Neuartige Sicherheitssysteme ­nutzen das maschinelle Lernen, um Beziehungen zwischen IT-Systemen innerhalb eines Netzwerkes zu erlernen und Abweichungen festzustellen. Sie sind nicht mehr rein auf Signaturen und regelbasierte Erkennungsmuster fixiert, sondern identifizieren Bedrohungen anhand von Veränderungen der Norm.
Die Idee dahinter: Wie das menschliche Immunsystem Anomalien in der körpereigenen Kommunikation erkennt, bewertet und entsprechend reagiert, sollte es auch in einem Produktionsnetzwerk eine Art Alarmsystem für vernetzte Manufacturing Execution Systeme (MES) und Programmable Logic ­Controllers (PLCs) / Speicherprogrammierbare Steuerungen (SPSen) geben. Dieses System kann anomales Verhalten auf Netzwerkebene erkennen und entsprechende Gegenmaßnahmen einleiten. Eines der großen Probleme dabei: proprietäre Protokolle zu interpretieren.

Erstinfektion ist schwer zu verhindern

Doch wie lassen sich Angriffe der neuen Generation frühzeitig erkennen, bevor ein wirtschaftlicher Schaden entsteht oder die Reputation der Firma durch das Bekanntwerden von Botnet-Aktivitäten in ihrem ­IP-Adressenraum sinkt? Die Sicherheit in Produktionsumgebungen kann zwar durch Segmentierung, Network Access Control, kontinuierliches Asset- und Vulnerability-Management sowie Security- Awareness-Programme verbessert werden. Doch trotz der ­Einhaltung von Sicherheitsvorkehrungen lässt sich aufgrund des wachsenden Einfallsreichtums der Angreifer und den gestiegenen Anforderungen im Bereich IoT eine Erstinfektion oft nicht verhindern. Es stellt sich die Frage: Lassen sich Infektionen mit Malware in einer frühen Phase erkennen, bevor der Angreifer die Kontrolle über das gesamte Produktionsnetz gewonnen hat und Schaden anrichtet?

Maschinelles Lernen erkennt Anomalien

Beispielhafte Notifications, wann welche Geräte miteinander über welches Protokoll kommuniziert haben.

Beispielhafte Notifications, wann welche Geräte miteinander über welches Protokoll kommuniziert haben. IT-Cube Systems

Jedes Gerät innerhalb eines Netzwerks, sei es ein Switch oder Router, eine Telefon- oder Industrie­anlage, tauscht sich mittels  standardisierter Netzwerkprotokolle mit seiner Umgebung aus. Die Anforderungen an die Funktionalität und Kommunikationsfähigkeit im Bereich Industrie 4.0 gehen weit über autarke Systeme hinaus, die lediglich boole‘sche Entscheidungen treffen müssen. Es ­entstehen komplexe Prozesse zwischen individuellen Komponenten, die in Zyklen während Produktionsphasen miteinander kommunizieren. Autonom ­lernende Algorithmen erstellen Baselines dieser deterministischen, wiederkehrenden Kommunikationsmuster im Netzwerkverkehr segmentierter Produkti­onsnetze. Das Konzept des maschinellen Lernens beruht dabei auf einer zweiphasigen Vorgehensweise mit dem Ziel, Verhaltensinformationen aus beobachteten Ereignissen zu gewinnen:
Lernphase: Das System lernt das Verhalten des Netzwerks über einen vordefinierten Zeitraum kennen. Mittels Mustererkennung, angewandt auf die beobachteten Daten, wird ein Normalverhalten definiert.
Testphase: Ist die Lernphase abgeschlossen, erkennen netzwerkweite Kommunikationsanalysen Abweichungen vom Normalverhalten und detektieren so Bedrohungen.

Überwachtes und autonomes Lernen

Host zu Host-Kommunikationen in den OSI-Layern 2 und 3

Host zu Host-Kommunikationen in den OSI-Layern 2 und 3 IT-Cube Systems

Dabei gibt es die Unterscheidung zwischen überwachtem und autonomem Lernen: Die überwachte ­Anomalie-Erkennung erfordert eine Methode zur Einordnung der Daten in die Kategorien normal und anomal. Das System wird anhand zuvor kategorisierter Trainingsdaten angelernt, indem es Funktionen generiert, die zu einem gegebenen Input-Wert, einen gewünschten Output-Wert ausgeben. Nach der Lernphase ist das System in der Lage, zu unbekannten Eingaben die korrekten Ausgaben zu liefern.
Die Anomalie-Erkennung nach dem Prinzip des autonomen Lernens hingegen filtert Abweichungen aus einer Menge nicht kategorisierter Daten heraus. Dies geschieht unter der Annahme, dass die Mehrheit der Daten ein normales Verhalten in der beobachteten Umgebung vorweisen. Folglich sind vorab keine Informationen über die gesuchten Zielwerte notwendig. Diese Vorgehensweise ermöglicht das Nachverfolgen der – von APTs hinterlassenen – Spuren auf fundamentaler Ebene, also auf den Open Systems Interconnection (OSI)-Layern 2 und 3, mit anschließender Kategorisierung anhand von Ver-haltensmuster­erkennung. Speziell in homogenen Produktions­netzen mit in der Regel sehr genau geplanten Prozessen, ist die Erkennungsrate von Anomalien autonom lernender Algorithmen hoch. Ein für das angelernte System unbekanntes Ereignis ist höchst verdächtig und sollte­ umgehend untersucht werden. Beispielsweise ein plötzlich aufkommender TCP-Traffic zwischen Geräten, die bisher nie miteinander über dieses Protokoll kommuniziert haben. Diese Vorgehensweise entdeckt und meldet in Echtzeit alle nicht autorisierten Operationen innerhalb eines Steuernetzes, die nicht der gelernten, deterministischen Netzwerkkommunikation ­entsprechen. Erkennt das System eine Anomalie, dann klären die Analysten zusammen mit den Kunden, ob es sich dabei um eine Störung oder einen Angriff handelt. Im Falle eines Fremdzugriffs tritt eine Incident Response in Kraft.

Seite 1 von 212