Cisco hat seine Pläne zum »intent-based networking« vorgestellt, das auf der Cisco Digital Network Architecture basiert. Die Ankündigung umfasst neben dem DNA-Center, Software-Defined Access sowie Network Data Platform and Assurance auch die zukünftige Analyse verschlüsselter Daten (Encrypted Traffic Analytics; ETA). Dabei kommt nach Angaben von Cisco auch maschinelles Lernen zur Analyse der Verkehrsmuster von Metadaten zum Einsatz. Was auf den ersten Blick äußerst fortschrittlich klingt, erweist sich nach Meinung von Vectra Networks bei genauerem Hinsehen als fragwürdig. Oliver Tavakoli, CTO von Vectra Networks, erklärt, warum seiner Meinung nach der ETA-Ansatz von Cisco stellenweise ein Rückschritt ins Jahr 1995 darstellt.
Cisco erklärt in seiner jüngsten Verlautbarung: »Ciscos Encrypted Traffic Analytics löst eine Herausforderung bei der Netzwerksicherheit, die bisher als unlösbar erachtet wurde. ETA nutzt Ciscos Talos Cyber Intelligence, um bekannte Angriffssignaturen auch im verschlüsselten Verkehr zu erkennen und dabei zu helfen, die Sicherheit zu gewährleisten und gleichzeitig die Privatsphäre zu wahren.«
Dem entgegnet Oliver Tavakoli:
»Die Behauptung, dass ein bisher unlösbares Problem gelöst wurde, sorgt zunächst immer für Faszination. Lassen Sie uns daher etwas tiefergehen, um zu verstehen, wie Cisco ETA konzipiert ist. Es werden viele Malware-Samples herangezogen, die bereits in Malware-Familien eingestuft sind, und markiert, um diese Klassifizierung zu reflektieren. Jedes Malware-Sample wird fünf Minuten lang in einer Sandbox-Umgebung ausgeführt. Der Traffic, der von den Samples ausgeht, wird erfasst. Dann werden die TLS-verschlüsselten Sessions aus dem Verkehr isoliert. Im Anschluss werden Informationen über diese Sessions von den jeweiligen TLS-Handshakes extrahiert. Dabei wird ein Client-»Hello« von Client zu Server gesendet und ein Server-»Hello«, mit dem der Server antwortet. Nun werden Informationen über den Datenfluss in der Session extrahiert. Die Funktionen der vorhergehenden Schritte werden dann herangezogen, um ein Modell zu entwickeln, aus diesen Daten Zuordnungen zu den Malware-Familien von ersten Schritt zu treffen.
Wir begrüßen die Schritte von Cisco, die Metadaten-Extraktion nativ ins Netzwerk zu integrieren und maschinelles Lernen anzuwenden, um Bedrohungen zu erkennen. Dies ist etwas, was wir seit Jahren bereits tun. Wir haben die Vorteile gesehen, die es bieten kann, wenn es auf die richtige Weise umgesetzt wird – und was auf den falschen Weg führt, da auch wir mit Stolpersteinen konfrontiert waren. Ciscos erste Schritte in diese Richtung sind doch noch recht zögerlich.
Zweifellos gibt es einige neuartige Ansätze in der Feature-Auswahl und den Techniken des maschinellen Lernens, das in Cisco ETA eingesetzt wird. Aber die Idee, Session-Metadaten zu verwenden, um präzise Signaturen für Malware-Kommunikation zu erzeugen, erscheint wie ein Schritt rückwärts in die Zeit der ersten Signatur-basierten Intrusion-Detection-Systeme (IDS). Diese kamen bereits im Jahr 1995 auf den Markt. Angenommen, dies wäre zunächst erfolgreich bei der aktuellen Generation von Malware: Es wäre dennoch nicht besonders zeitaufwändig für Malware-Entwickler, ihre verschlüsselte Kommunikation auf einfache Weise zu verändern, um dieser Form der Erkennung zu entgehen. Die Veränderungen, die die Angreifer vornehmen würden, sind ziemlich offensichtlich:
So können Standardvarianten der aktuellen Kryptografie verwendet werden, auch wenn keine Schutzmaßnahmen benötigt werden. Außerdem sollte das Zertifikat nicht offensichtlich als bösartig erkennbar sein. Ein Standard-Zertifikat von einer beliebten Website ließe sich kopieren und als Vorlage für das eigene Zertifikat verwenden. Außerdem wird der Traffic innerhalb der TLS-Verbindung nach dem Zufallsprinzip verändert, indem regelmäßig zusätzlicher Traffic ausgelöst wird. Dabei variieren der Zeitpunkt der Kommunikation und die Größe von Anfragen und Antworten.
Dann beginnt das Katz- und Maus-Spiel wieder von vorn. Jetzt müsste Cisco große Mengen an Samples sammeln, um ETA umzulernen. Die Angreifer könnte es dann aber schnell wieder knacken.
Im Gegensatz zu den meisten maschinellen Lernanwendungen geht es bei der Cybersicherheit darum, sich mit einem intelligenten Gegner zu messen, der sich immer wieder an die Fähigkeiten der IT-Sicherheitssysteme anpasst. Aus diesem Grund konzentrieren sich moderne Anwendung des maschinellen Lernens gegen netzwerkextrahierte Metadaten darauf, dauerhafte Verhaltensmuster zu finden, die grundlegende Veränderungen in den Methoden der Angreifer erfordern, um einer Erkennung tatsächlich zu entgehen.
Außerdem wird die Einführung von ETA weder einfach noch billig sein. ETA erfordert entweder ein Upgrade auf neue Netzwerk-Switches oder den Einsatz von Flow-Sensoren. Switches sind der Umsatzmotor für Cisco. Es überrascht also nicht, dass Cisco die neuen Sicherheitsfeatures mit Switching kombiniert. Die notwendigen Upgrades nehmen Zeit in Anspruch und stören den laufenden Betrieb. Ich frage mich, ob all dieser Aufwand gerechtfertigt ist, wenn am Ende ein Schutzlevel steht, das im Jahr 1995 schon möglich war.«
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Maschinelles Lernen und künstliche Intelligenz werden die Cloud-Sicherheit verbessern
IT-Sicherheitsexperte warnt: Malware für Linux wird aggressiver
Unternehmen erwarten erheblichen Einfluss durch Künstliche Intelligenz
Cyber Security Report analysiert Sicherheitsbedrohungen jenseits von Malware
IT-Sicherheit 2017: Sicherheitslücken im Internet der Dinge besser schließen