Jagd auf Insider Threats

imperva-logo-lg

In diesem Beitrag von Shiri Margel und Amit Leibovitz vom Imperva Research-Team wird aufgezeigt, wie sich mithilfe von Aktivitätsmodellierung verdächtige Datenbankbefehle und Zugriffsmuster entdecken lassen. 

Die wachsende Kluft

Datensicherheitsverletzungen durch Insider sind sehr schwer aufzuspüren. Die Kluft zwischen der Zunahme von Insider-Bedrohungen und der Zeit bis zu ihrer Entdeckung wird immer größer. Wie der Verizon Data Breach Investigation Report 2017 zeigt, bleibt die große Mehrzahl der Sicherheitsverletzungen, die auf Insider und den Missbrauch von Rechten zurückgehen, monate- oder gar jahrelang unentdeckt (Abb. 1). Und schlimmer noch: Für Hacker wird es zunehmend leichter, sich Zugriff zu verschaffen und sich als legitimer Insider zu tarnen. Im April 2017 wurde im Dark Web eine Datenbank mit 1,4 Milliarden unverschlüsselten Login-Daten entdeckt – die größte Textdatei mit Zugangsdaten, die bislang gefunden wurde. Die unverschlüsselten, gültigen Benutzernamen und Passwörter, die aus Quellen wie Netflix, MySpace, Badoo, Linkedin und vielen anderen stammten, verschaffen auch weniger raffinierten Hackern eine ziemlich gute Ausgangsbasis.

 

Abb. 1: Zeitleiste für die Erkennung von Sicherheitsverletzungen, die auf Innentäter und Rechtemissbrauch zurückgehen, n=77 (Quelle: Verizon Report 2017)

Im Folgenden werden Untersuchungen des Imperva Defense Centers beschrieben zu den Methoden, die Insider häufig einsetzen, um in Datenbanken einzudringen. Weiterhin werden neu entwickelte Techniken vorgestellt, um verdächtige Datenbankbefehle und Zugriffsmuster zu erkennen. Diese neuen Erkennungsverfahren, die in der aktuellen Version von Imperva CounterBreach verfügbar sind, arbeiten mit Aktivitätsmodellierung, um Unternehmen zu helfen, die Zeit bis zur Erkennung verdächtiger Insider-Aktivitäten zu verkürzen.

Aus der Sicht des Angreifers denken

Genau wie jeder andere Dieb wird auch ein Angreifer, der Daten aus einer Datenbank stehlen will, seine Spuren in allen Phasen des Angriffs zu verwischen versuchen – von der Erkundung bis zur unautorisierten Übertragung der Daten. Zu diesem Zweck wird er wahrscheinlich eine Reihe verfügbarer Methoden einsetzen, wie beispielsweise:

  • Verwendung einer dynamischen SQL-Abfrage mit digested Content
  • Einschleusen von bösartigem Code in die Datenbank
  • Kommunikation mit der Datenbank über eine eigene Shell

Zu wissen, mit welchen Methoden Angreifer auf Datenbanken zugreifen und Daten ausschleusen können, ist eine entscheidende Voraussetzung für die Definition von Bedrohungsalgorithmen. Das Imperva Defense Center untersuchte alle diese Vorgehensweisen mithilfe von Reverse Engineering und Pen-Test-Tools. Anschließend lassen sich die Ergebnisse mit dem Domänenwissen der Experten kombinieren, was die Zusammenstellung einer Liste von Befehlen und Datenbank-Zugriffsmustern ermöglicht, die mit hoher Wahrscheinlichkeit darauf schließen lassen, dass ein Angriff im Gang ist.

Sobald diese Liste verfügbar war, untersuchte das Expertenteam anhand Dutzender Datenbanken von Imperva-Kunden, wie häufig diese Befehle und Zugriffsmuster in regulären, alltäglichen Datenbankaktivitäten vorkommen. Dabei nutzten sie die von SecureSphere erfassten Audit-Daten und die Erkenntnisse von CounterBreach. Dieser mehrschichtige Ansatz und das Hintergrundwissen über die Datenbanken machen den Algorithmus einzigartig und leistungsfähig.

Verdächtigen Zugriff auf die Datenbank erkennen

Bei den Untersuchungen konnte festgestellt werden, dass sich die verdächtigen Befehle und Zugriffsmuster in zwei Hauptgruppen unterteilen lassen. Die erste Gruppe waren Befehle und Zugriffsmuster, die bei regulären Aktivitäten noch nie zuvor aufgetreten waren. Werden solche Befehle verwendet, lässt dies mit sehr hoher Wahrscheinlichkeit auf verdächtige Aktivitäten schließen.

Die zweite Gruppe von Befehlen kam zwar selten vor, wurde aber in einigen Fällen von interaktiven Benutzern oder Anwendungen verwendet. Bei dieser Gruppe sollte man allerdings besondere Vorsicht walten lassen, weil die Verwendung eines solchen Befehls noch nicht unbedingt einen Angriff bedeuten muss. Um False Positives auszuräumen, zog das Team weitere statistische Schlüsse und stellte dabei fest, dass Nutzer in der zweiten Gruppe einen bestimmten Befehl wiederholt und auf sehr vorhersagbare Weise verwendeten (Abb. 2).

Abb. 2: Anzahl der Abfragen mit verdächtigen Befehlen bei verschiedenen Nutzern

Positives und negatives Aktivitätsmodell

Diese Erkenntnis legte nahe, dass für den nächsten Schritt zur Erkennung verdächtiger Aktivitäten sowohl eine negative als auch eine positive Aktivitätsmodellierung erforderlich sein würde. In vielen Fällen ergänzen die beiden Schritte einander, und beide sind stichhaltige Ansätze zur Erkennung potenzieller Innentäter. Bei der negativen Aktivitätsmodellierung wird allerdings nach verdächtigen Aktivitäten gesucht, die überhaupt nie vorkommen sollten. Diese Unterscheidung lässt sich noch erweitern, indem zwischen Aktivitäten unterschieden wird, die bei sämtlichen Nutzern überhaupt nie vorkommen sollten, und Aktivitäten, die bei der großen Mehrzahl der Nutzer nur sehr selten vorkommen. Mit dieser Modellierung wurde sowohl die erste als auch die zweite Gruppe der entdeckten Befehle und Zugriffsmuster klassifiziert.

Die positive Aktivitätsmodellierung erstellt im Gegensatz zu ihrem negativen Gegenstück Profile der alltäglichen Aktivitäten. Sie analysiert die Aktivitäten jedes Benutzers, die Aktivitäten von Gruppen mit ähnlichen Merkmalen oder Interessen (d.h. Peergruppen) und die Aktivitäten des gesamten Unternehmens. Verhaltensmerkmale, die für das Profiling genutzt werden, sind zum Beispiel das Muster des Datenzugriffs; die Datenspeicher im Unternehmen, auf die der Nutzer in der Regel zugreift; die Uhrzeiten, zu denen der Zugriff erfolgt; die Menge der angeforderten Daten und vieles mehr. Sobald ein Aktivitätsmodell für jeden Nutzer oder jede Gruppe aufgebaut wurde, konnten verdächtige Aktivitäten entdeckt werden, die von den relevanten Profilen abweichen. Dieses Modell ließ sich nun auf die zweite Gruppe von Befehlen und Zugriffsmustern anwenden.

In dem klassischen Fall verdächtiger Befehle, der sich in der ersten Gruppe beobachten ließ, reicht die Anwendung des negativen Aktivitätsmodells aus (d.h. eine rein negative Aktivitätsmodellierung). Im komplexeren Fall selten verwendeter Befehle, die in der zweiten Gruppe auftraten, ist dagegen ein hybrider Ansatz erforderlich, bei dem die beiden Modelle kombiniert werden (d.h. eine kombiniert negative Aktivitätsmodellierung). Das negative Aktivitätsmodell erfordert Hintergrundwissen, während für das positive Aktivitätsmodell Machine-Learning-Algorithmen eingesetzt werden müssen, um die False Positives zu minimieren.

Tatsächliche Angriffe entdecken: Nicht theoretisch, sondern in der Praxis!

Bei Anwendung dieser Erkennungsverfahren auf reale Kundendatenbanken, entdeckten die Sicherheitsexperten von Imperva einen Angriff auf einen Kunden des Unternehmens. Nachforschungen brachten ans Licht, dass am Tag des Angriffs ein und derselbe Nutzer im Kundenunternehmen zwei verdächtige Befehle verwendet hatte.

Abb. 3 zeigt die Verteilung dieser beiden verdächtigen Befehle auf das gesamte Unternehmen. Der erste Befehl (in der Grafik blau dargestellt) ist ein verdächtiger Befehl, der im Unternehmen noch nie zuvor verwendet worden war. Der Vorfall wurde mithilfe des rein negativen Aktivitätsmodells entdeckt. Der zweite Befehl (in der Grafik orangefarben) gehört zu der Gruppe von Befehlen, die zwar selten sind, aber von einigen der Nutzer bereits verwendet worden waren. An diesem Punkt konnten für diese Gruppe von Befehlen noch keine Rückschlüsse gezogen werden.

Wendet man nun das positive Modell auf die zweite Gruppe von Befehlen an, entdeckt man hierbei, dass dieser Befehl für den Nutzer, der den Angriff durchführte, tatsächlich verdächtig war. Eine Untersuchung des zu diesem Nutzer erstellten Profils ergab, dass die Aktion inakzeptabel war. Wie Abb. 4 zeigt, war diese seltene und gefährliche Aktion von diesem Nutzer noch nie zuvor ausgeführt worden.

Fazit

In einer Welt, in der die Datensicherheitsverletzungen täglich zunehmen und Jahre bis zur Entdeckung von Kompromittierungen vergehen können, die auf Insider und den Missbrauch von Rechten zurückgehen, gilt es, diese Bedrohungen schneller zu erkennen und zu stoppen, bevor Daten entwendet werden können. Dem stellen sich jedoch eine ganze Reihe von Schwierigkeiten entgegen. Während die Angreifer immer raffinierter werden, muss das Ziel sein, ihre Spuren aufzudecken und ihnen stets einen Schritt voraus zu bleiben. Eine Kombination aus negativem Aktivitätsmodell, welches Domänenwissen erfordert, und positivem Aktivitätsmodell, für das Machine-Learning-Algorithmen erforderlich sind, muss angewandt werden, um Angriffe präzise zu erkennen und gleichzeitig die Zahl der False Positives zu minimieren.

Weitere Informationen finden Sie auf dem Imperva-Blog.