BLOG

Sicherheitsregeln in Echtzeit mit maschinellem Lernen ändern

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 26. November 2018

Sichtbarkeit – oder deren Fehlen – ist heutzutage in allen Betriebs- und Entwicklungsbereichen eine häufige Beschwerde. Entwickler beklagen den Mangel an Transparenz hinsichtlich der Leistung von Apps, sobald diese in der „Produktion“ bereitgestellt werden – sei es vor Ort oder in einer öffentlichen Cloud. Betriebe aller Art – von der Infrastruktur über Netzwerke bis hin zur Sicherheit – beklagen die Unfähigkeit, in die Lücken des Anwendungsverkehrs zu blicken und aus seinem Fluss Anzeichen eines Angriffs zu erkennen.

Sichtbarkeit, wie sie in der Sicherheit verwendet wird, wird zwangsläufig durch die Bereitstellung von Netzwerk- und Anwendungsdiensten erreicht, die logisch vor der Anwendung liegen. Diese Praxis hat sich aus vielen Gründen entwickelt, die Wahrheit ist jedoch, dass einer Anwendung der notwendige Kontext fehlt, um viele Angriffsformen zu erkennen. Dies liegt daran, dass die Anwendungsstapel Entwickler auf Informationen beschränken, die pro Verbindung verfügbar sind. Dies ist an und für sich eine Sicherheitsmaßnahme, da die Isolierung verhindert, dass ein böswilliger Akteur auf einer Verbindung Zugriff auf einen böswilligen Akteur auf einer anderen Verbindung erhält.

Diese Einschränkung schränkt jedoch die Fähigkeit der Anwendung – und ihrer Plattform – ein, Verbindungen und Anwendungsverkehr im Kontext zu verstehen. Durch die Verlagerung dieser Verantwortung vor die Anwendung haben Netzwerk- und Anwendungsdienste die Möglichkeit, jede Verbindung und ihre Nutzdaten im Kontext aller mit dieser Anwendung ausgetauschten Verbindungen und Nutzdaten auszuwerten.

Dies ist wichtig zu erkennen, wenn wir uns mit der Bekämpfung der wachsenden Bedrohung durch DoS-Angriffe auf Anwendungsebene befassen. 

Es ist beunruhigend, dass die Anzahl und Häufigkeit dieser Angriffe auf Anwendungsebene zunimmt. Noch beunruhigender ist die Tatsache, dass 43 % der DoS-Angriffe auf Anwendungsebene die signatur- und reputationsbasierte Erkennung umgehen können. Statische Signaturen werden durch die rasant zunehmende Fähigkeit böswilliger Akteure, bestimmte Anwendungen anzupassen und anzugreifen, schnell obsolet.

Statische Signaturen sind wie Grippeimpfungen. Grippeimpfstoffe werden auf Grundlage bisheriger Erfahrungen mit dem Virus zum Schutz vor einem bestimmten Grippestamm entwickelt. Es handelt sich im Wesentlichen um eine biologische Signatur, die ein bestimmtes Virus identifiziert. Es ist nicht möglich, einen neuen Stamm des gleichen Virus zu identifizieren, und wir laufen Gefahr, erneut an einer Grippe zu erkranken.

Böse Akteure sind ebenso geschickt wie ein Grippevirus darin, sich anzupassen und weiterzuentwickeln, um einer Entdeckung und Eliminierung zu entgehen. Um dieser Herausforderung zu begegnen, müssen wir in der Lage sein, Übeltäter anhand ihres Verhaltens und nicht anhand einer bestimmten Signatur zu identifizieren. Dazu benötigen wir Sichtbarkeit und den Kontext, den sie uns bieten kann. 

L7 Verhaltensbasierter DoS-Schutz

Im Wesentlichen handelt es sich beim L7 Behavioral DoS-Schutz um einen Grippeimpfstoff, der in der Lage ist, das verantwortliche Virus anhand seines Verhaltens und nicht anhand seiner tatsächlichen Zusammensetzung zu erkennen. Diese Fähigkeit ist insbesondere auf Ebene 7 (Anwendung) wichtig, da solche Angriffe nicht rein volumetrisch sind. Manche davon zielen lediglich darauf ab, Verbindungen zu blockieren und die Kapazität der Anwendung, legitime Benutzer zu bedienen, zu verringern und ihnen dadurch den Dienst zu verweigern. Andere gehen subtiler vor und versuchen, die Anfragen so zu formulieren, dass die Anwendung abstürzt und einen Ausfall verursacht.

Um die verschiedenen Arten von L7-DoS-Angriffen zu erkennen, ist die Fähigkeit erforderlich, einzelne Anfragen im Hinblick auf das, was als normal gilt, zu bewerten. Doch die bloße Definition eines „normalen“ Verhaltens ist mit der Erstellung einer Signatur vergleichbar. Was für eine Hyperscale-API-basierte Anwendung normal ist, muss für eine webbasierte Anwendung, die von einer einzelnen Geschäftseinheit oder Abteilung verwendet wird, nicht normal sein.

Daher ist die Bestimmung des „Normalzustands“ der erste Schritt. Dies wird beim verhaltensorientierten DoS dadurch erreicht, dass aus jedem Paket, das das System durchläuft, bestimmte Informationen gesammelt werden. Diese Bits werden aus den Netzwerk-, Transport- und Anwendungsdaten entnommen. Eine Baseline wird aus Faktoren wie normalen Header-Attributen oder -Größen, einer normalen Serverbelastung oder normalen Antwortzeiten und Latenzen erstellt. Mithilfe eines statistischen Modells berechnet das System aus Tausenden von Beobachtungen pro Sekunde einen Normalschwellenwert für diese Werte.

Wenn die Anwendung Anzeichen von Stress durch nachlassende Leistung oder hohe Belastung zeigt, veranlasst sie den Wechsel des Systems in den „Angriffsmodus“. In diesem Modus passieren mehrere Dinge: 

  • Die Ratenbegrenzung beginnt, während basierend auf der Anomalieerkennung eine dynamische Signatur erstellt wird.
  • Abhängig von Ihren Einstellungen kann die neue benutzerdefinierte Signatur auf Ihre Genehmigung warten oder die Schadensbegrenzung automatisch aktivieren.
  • Sie können die Leistung der Angriffsabwehr weiter anpassen, wenn der Datenverkehr mit der neuen Signatur übereinstimmt.
    • Konservativ – Block nur bekannt schlecht
    • Standard – nur bekannte schädliche Elemente blockieren, es sei denn, die Serverbelastung ist zu hoch. Dann wird während des Angriffs die Rate des gesamten Datenverkehrs begrenzt.
    • Aggressiv – Begrenzen Sie automatisch die Rate des gesamten Datenverkehrs nach Bedarf, um eine gute Serverintegrität sicherzustellen
  • Sobald die dynamische Signatur lange genug ausgeführt wird, um die Quelle des Angriffs zu identifizieren, wird die Schadensbegrenzung von der Ratenbegrenzung auf eine Blockierung auf Ebene 3 umgestellt.

Bei diesem Prozess wird sichergestellt, dass die Überschneidung von Merkmalen mit „guten Flüssen“ weniger als 5 % beträgt, um falsche Negativergebnisse zu vermeiden. Sobald der Anwendungszustand wieder normal ist, kann das System entspannt werden.

Der Vorteil von L7 Behavioral DoS besteht darin, dass es sich darauf konzentriert, ständig zu lernen, was normal ist, und zu erkennen, was nicht normal ist. Dadurch kann es L7-Angriffe erkennen, die neu sind oder aus früheren Angriffen hervorgegangen sind und die von statischen, signaturbasierten Systemen erst bemerkt werden, wenn sie aktualisiert werden.

Verhaltensanalysen sind dank sehr fokussierter Modelle des maschinellen Lernens möglich. Diese Modelle ermöglichen eine Weiterentwicklung des Anwendungsschutzes in Echtzeit und bieten die Agilität, die der Sicherheitsbereich heute so dringend benötigt, um Schritt zu halten. Böswillige Akteure optimieren und modifizieren ihre Angriffe ständig, um einer Erkennung zu entgehen. Um Anwendungen besser zu schützen, müssen Sicherheitsdienste ihre Annahmen ändern und im Kontext der Umgebung agieren, in der sie sich befinden. Es ist einfach nicht sinnvoll, von Sicherheitsexperten zu verlangen, Schwellenwerte für jede einzelne Anwendung im Unternehmensportfolio festzulegen.

Da die Belastung von Sicherheit und Betrieb durch das Hinzufügen neuer Anwendungen und Umgebungen zunimmt, ist es wichtig, diese Last, wann immer möglich, von den Menschen auf die Technologie zu verlagern. Verhaltensbasierter DoS-Angriff als Teil eines erweiterten WAF ist eine Möglichkeit, Maschinen für Sie arbeiten zu lassen, anstatt gegen Sie.