Alter Wein in neuen Schläuchen? Vectra Networks beleuchtet Ciscos Einführung von vermeintlich künstlicher Intelligenz zur Cybersicherheit

München / Zürich, (PresseBox) - Cisco hat seine Pläne zum „intent-based networking“ vorgestellt, das auf der Cisco Digital Network Architecture basiert. Die Ankündigung umfasst neben dem DNA-Center, Software-Defined Access sowie Network Data Platform and Assurance auch die zukünftige Analyse verschlüsselter Daten (Encrypted Traffic Analytics; ETA). Dabei kommt nach Angaben von Cisco auch maschinelles Lernen zur Analyse der Verkehrsmuster von Metadaten zum Einsatz. Was auf den ersten Blick äußerst fortschrittlich klingt, erweist sich nach Meinung von Vectra Networks bei genauerem Hinsehen als fragwürdig. Oliver Tavakoli, CTO von Vectra Networks, erklärt, warum seiner Meinung nach der ETA-Ansatz von Cisco stellenweise ein Rückschritt ins Jahr 1995 darstellt.

Cisco erklärt in seiner jüngsten Verlautbarung: „Ciscos Encrypted Traffic Analytics löst eine Herausforderung bei der Netzwerksicherheit, die bisher als unlösbar erachtet wurde. ETA nutzt Ciscos Talos Cyber ​​Intelligence, um bekannte Angriffssignaturen auch im verschlüsselten Verkehr zu erkennen und dabei zu helfen, die Sicherheit zu gewährleisten und gleichzeitig die Privatsphäre zu wahren.“

Dem entgegnet Oliver Tavakoli von Vectra Networks:

„Die Behauptung, dass ein bisher unlösbares Problem gelöst wurde, sorgt zunächst immer für Faszination. Lassen Sie uns daher etwas tiefergehen, um zu verstehen, wie Cisco ETA konzipiert ist.  Es werden viele Malware-Samples herangezogen, die bereits in Malware-Familien eingestuft sind, und markiert, um diese Klassifizierung zu reflektieren. Jedes Malware-Sample wird fünf Minuten lang in einer Sandbox-Umgebung ausgeführt. Der Traffic, der von den Samples ausgeht, wird erfasst. Dann werden die TLS-verschlüsselten Sessions aus dem Verkehr isoliert. Im Anschluss werden Informationen über diese Sessions von den jeweiligen TLS-Handshakes extrahiert. Dabei wird ein Client-„Hello“ von Client zu Server gesendet und ein Server-„Hello“, mit dem der Server antwortet. Nun werden Informationen über den Datenfluss in der Session extrahiert. Die Funktionen der vorhergehenden Schritte werden dann herangezogen, um ein Modell zu entwickeln, aus diesen Daten Zuordnungen zu den Malware-Familien von ersten Schritt zu treffen.

Wir begrüßen die Schritte von Cisco, die Metadaten-Extraktion nativ ins Netzwerk zu integrieren und maschinelles Lernen anzuwenden, um Bedrohungen zu erkennen. Dies ist etwas, was wir seit Jahren bereits tun. Wir haben die Vorteile gesehen, die es bieten kann, wenn es auf die richtige Weise umgesetzt wird – und was auf den falschen Weg führt, da auch wir mit Stolpersteinen konfrontiert waren. Ciscos erste Schritte in diese Richtung sind doch noch recht zögerlich.

Zweifellos gibt es einige neuartige Ansätze in der Feature-Auswahl und den Techniken des maschinellen Lernens, das in Cisco ETA eingesetzt wird. Aber die Idee, Session-Metadaten zu verwenden, um präzise Signaturen für Malware-Kommunikation zu erzeugen, erscheint wie ein Schritt rückwärts in die Zeit der ersten Signatur-basierten Intrusion-Detection-Systeme (IDS). Diese kamen bereits im Jahr 1995 auf den Markt. Angenommen, dies wäre zunächst erfolgreich bei der aktuellen Generation von Malware: Es wäre dennoch nicht besonders zeitaufwändig für Malware-Entwickler, ihre verschlüsselte Kommunikation auf einfache Weise zu verändern, um dieser Form der Erkennung zu entgehen. Die Veränderungen, die die Angreifer vornehmen würden, sind ziemlich offensichtlich:

So können Standardvarianten der aktuellen Kryptografie verwendet werden, auch wenn keine Schutzmaßnahmen benötigt werden. Außerdem sollte das Zertifikat nicht offensichtlich als bösartig erkennbar sein. Ein Standard-Zertifikat von einer beliebten Website ließe sich kopieren und als Vorlage für das eigene Zertifikat verwenden. Außerdem wird der Traffic innerhalb der TLS-Verbindung nach dem Zufallsprinzip verändert, indem regelmäßig zusätzlicher Traffic ausgelöst wird. Dabei variieren der Zeitpunkt der Kommunikation und die Größe von Anfragen und Antworten.

Dann beginnt das Katz- und Maus-Spiel wieder von vorn. Jetzt müsste Cisco große Mengen an Samples sammeln, um ETA umzulernen. Die Angreifer könnte es dann aber schnell wieder knacken.
Im Gegensatz zu den meisten maschinellen Lernanwendungen geht es bei der Cybersicherheit darum, sich mit einem intelligenten Gegner zu messen, der sich immer wieder an die Fähigkeiten der IT-Sicherheitssysteme anpassen. Aus diesem Grund konzentrieren sich moderne Anwendung des maschinellen Lernens gegen netzwerkextrahierte Metadaten darauf, dauerhafte Verhaltensmuster zu finden, die grundlegende Veränderungen in den Methoden der Angreifer erfordern, um einer Erkennung tatsächlich zu entgehen.

Außerdem wird die Einführung von ETA weder einfach noch billig sein. ETA erfordert entweder ein Upgrade auf neue Netzwerk-Switches oder den Einsatz von Flow Sensoren. Switches sind der Umsatzmotor für Cisco. Es überrascht also nicht, das Cisco die neuen Sicherheitsfeatures mit Switching kombiniert. Die notwendigen Upgrades nehmen Zeit in Anspruch und stören den laufenden Betrieb. Ich frage mich, ob all dieser Aufwand gerechtfertigt ist, wenn am Ende ein Schutzlevel steht, das im Jahr 1995 schon möglich war.“

Vectra Networks GmbH

Vectra Networks™ ist der führende Anbieter von Lösungen für die Echtzeit-Erkennung von laufenden Cyber-Angriffen. Die automatisierte Threat-Management-Lösung des Unternehmens kontrolliert permanent den internen Netzwerkverkehr, um Cyber-Angriffe zu erkennen, während sie noch stattfinden. Die Lösung korreliert dann die Bedrohungen mit den Hosts, die angegriffen werden, und stellt einen einzigartigen Kontext bereit, was die Angreifer konkret ausführen. Unternehmen sind somit schneller in der Lage, Schaden zu verhindern oder zu begrenzen. Vectra räumt jenen Angriffen Vorrang ein, die das größte Risiko für das Unternehmen darstellen, und ermöglicht es so den Unternehmen, unverzüglich zu entscheiden, wie sie ihre Zeit und Ressourcen am sinnvollsten verwenden sollten. 2015 wurde Vectra von Gartner als "Cool Vendor in Security Intelligence" ausgezeichnet. Gartner würdigte damit das Unternehmen dafür, dass es sich den Herausforderungen bei der Erkennung von Bedrohungen nach einem Sicherheitsvorfall stellt. Zu den Investoren von Vectra zählen Khosla Ventures, Accel Partners, IA Ventures und AME Cloud Ventures. Der Hauptsitz des Unternehmens befindet sich in San Jose, Kalifornien. Weitere Informationen erhalten Sie unter www.vectranetworks.com

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

LPWAN-Sicherheit in der Fertigungs- und Verarbeitungsindustrie

Ein Low-Po­wer-Wi­de-Area-Netz­werk mit in­tel­li­gent ver­netz­ten Sen­so­ren und Da­ten eig­net sich bes­tens für die In­du­s­trie. Vor­aus­ge­setzt, die Si­cher­heit­sa­spek­te wer­den ein­ge­hal­ten.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.