Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Es ist in Ordnung, sich von Cisco ETA nicht beeindrucken zu lassen

By:
Oliver Tavakoli, CTO, Vectra Networks
June 29, 2017

Cisco hat in einer Pressemitteilung vor kurzem den Begriff „Intent-based Networking“ eingeführt. Er steht für ein Netzwerk, das die Absichten der IT-Teams automatisiert erkennt. Die Meldung wirbt für die Idee „intuitiver“ Netzwerke. Ein Aspekt der „Intuition“ ist es dabei, dass Netzwerke zukünftig sicherer sein sollen, ohne den Spezialisten für Network Security Schwerstarbeit abzuverlangen. Als Teil dieser Strategie hebt Cisco insbesondere sein „ETA“-Modell hervor:

„Cisco Encrypted Traffic Analytics löst ein zentrales Sicherheitsproblem, das bislang als unlösbar galt", erläutert Torsten Harengel, Leiter Security bei Cisco Deutschland. „Es nutzt die Erkenntnisse von Cisco Talos, um bekannte Angriffsmuster in verschlüsseltem Datenverkehr zu erkennen. […] So gewährleisten wir Sicherheit und Datenschutz."

Ich bin jedes Mal fasziniert (und oft genug amüsiert), wenn jemand behauptet, dass ein unlösbares Problem nun doch gelöst sei. Schauen wir also einmal genauer hin, wie Cisco ETA aufgebaut ist:

  1. Man nehme eine Reihe von Malware-Proben, die bereits nach Familien klassifiziert und entsprechend benannt worden sind,
  2. lasse jede davon fünf Minuten lang in einer Sandbox laufen,
  3. schneide den Traffic mit, den die Schadsoftware verursacht,
  4. isoliere innerhalb des Traffics die TLS-verschlüsselten Sessions,
  5. extrahiere nähere Informationen über diese Sessions aus ihren TLS-Handshakes (dabei sendet der Client zunächst sein „Client-Hello“ zum Server und erhält von dort ein „Server-Hello“ mit Zertifikat zurück),
  6. extrahiere dann Informationen über das Ansteigen und Abebben des Datenflusses innerhalb der Session (Paketgrößen, Verzögerungen im Pakettransfer, Zahl der Bytes in den Paketen usw.) und
  7. nehme schließlich die Merkmale aus [5] und [6] und erstelle daraus mittels automatischer Daten-Analyse ein Modell, das die jeweiligen Besonderheiten zu den anfangs erwähnten Schadprogramm-Familien in Beziehung setzt, um diese erkennen zu können.

Wir begrüßen die von Cisco unternommenen Schritte, das Verfahren der Metadaten-Extraktion nativ ins Netzwerk zu integrieren – und wir spenden Beifall dafür, dass das Unternehmen maschinelles Lernen zur Entdeckung von Bedrohungen einsetzt. Das ist ein Modell, das wir schon jahrelang in den Netzwerken unserer Kunden einsetzen, und wir kennen dessen Vorteile, wenn man dabei richtig vorgeht (oder auch falsch, denn wir haben natürlich ebenfalls unsere Fehler gemacht). Das Thema ist harter Tobak – da kommt es vielleicht nicht überraschend, dass die ersten Schritte von Cisco auf diesem Gebiet nicht übermäßig beeindruckend ausfallen.

Zweifellos stecken hinter der Auswahl von Malware-Merkmalen und den Techniken maschinellen Lernens, die Cisco für ETA einsetzt, ein paar neuartige Ansätze. Die Grundidee allerdings, Session-Metadaten zur Ableitung präziser Signaturen aus der Malware-Kommunikation zu verwenden, wirkt wie eine Rückblende: Sie trägt uns zurück in jene Zeit, als die ersten signaturgestützten Intrusion-Detection-Systeme (IDS) auf den Markt kamen. Das war etwa 1995. Angenommen, dass sich das Modell erfolgreich auf die aktuelle Malware-Generation anwenden lässt, wird es die Malware-Entwickler wohl wenig Zeit kosten, auf einfache Weise die verschlüsselte Kommunikation ihrer Produkte zu modifizieren und so dieser Form der Erkennung zu entrinnen. Welche Änderungen die Angreifer vornehmen würden, ist ziemlich offensichtlich:

  • Einbau von aktuellen Krypto-Standardmechanismen auch dann, wenn deren Leistung nicht wirklich benötigt wird,
  • Verwendung von Zertifikaten, die nicht schon auf den ersten Blick verdächtig erscheinen (Hinweis: Man kopiere ein Standard-Zertifikat von einer populären Website und nutze es als Vorlage fürs eigene Zertifikat) und
  • Anreicherung des Traffics der eigenen TLS-Verbindung mit periodisch eingestreuten Zufallsdaten und ebenfalls zufallsgesteuertes Variieren des Kommunikations-Timings sowie der Größe von Requests und Responses.

Und schon beginnt das Katz-und-Maus-Spiel aufs Neue. Allerdings muss Cisco nun große Mengen an Schadsoftware-Proben sammeln, um ETA wieder und wieder neu zu trainieren – auf dass die Angreifer den Schutz dann nach kurzer Zeit wiederum brechen können.

Anders als bei den meisten anderen Anwendungen maschinellen Lernens geht es in der Cybersecurity auch darum, sein Können mit dem eines intelligenten Gegners zu messen, der sich immer wieder schnell an die Fähigkeiten des Verteidigers anpasst. Aus diesem Grund setzt unsere Anwendungen des automatisierten Lernens aus Netzwerk-Metadaten darauf, zuverlässig wiederkehrende Verhaltensmuster zu identifizieren, von denen die Angreifer im Gegenzug nur abrücken können, wenn sie ihre Methoden fundamental ändern.

Ein Beispiel ist der Fernzugriff von extern. Das Modell dazu verwendet Vectra seit etwa zwei Jahren. Es stützt sich auf grundlegende Vorgehensweisen, die unweigerlich zutage treten, wenn eine Person ein internes System von außerhalb des Netzwerks kontrolliert. Die Erkennung dieses Verhaltens funktioniert unabhängig davon, welches Werkzeug der Angreifer einsetzt und ob er seinen Traffic verschlüsselt oder nicht. Als die Hackergruppe Shadow Brokers im vergangenen Jahr das Remote-Access-Tool (RAT) nOpen offenlegte, erkannten die Vectra-Systeme Versuche, das Tool zu verwenden, sofort und ohne Anpassungen. Es ist einfach erheblich schwieriger, völlig neue Angriffsmethoden zu erfinden, als lediglich oberflächliche Kommunikationsmuster zu ändern.

ETA auszurollen wird außerdem weder einfach noch billig. ETA erfordert entweder ein Upgrade auf neue Switches oder das Implementieren von Flow-Sensoren. Für Cisco sind Switches eine Haupt-Einnahmequelle und ein Profit-Generator, sodass es nicht sonderlich verwundert, dass nun weitere Security-Funktionen an die Switches gebunden werden sollen. Upgrades allerdings kosten Zeit und bewirken Brüche in der eingesetzten Technik. Und in diesem Fall werden all die dafür aufgewendeten Mittel in eine Sicherheitsfunktionalität auf dem Niveau der 90er Jahre münden.

Wenn Sie nach einer Alternative suchen, die die Arbeitslast im Bereich Security Operations um den Faktor 29 reduziert und die zugleich nur den Bruchteil eines Switch-Upgrades kostet, kontaktieren Sie uns.

{{cta('0d87515d-6234-4d27-97fd-76b781781924')}}

Vectra.ai ist Sicherheit, die mitdenkt.

About the author

Oliver Tavakoli

Oliver Tavakoli is chief technology officer at Vectra. Oliver is a technologist who has alternated between working for large and small companies throughout his 25-year career – he is clearly doing the latter right now. Prior to joining Vectra, Oliver spent more than seven years at Juniper as chief technical officer for the security business. Oliver joined Juniper as a result of its acquisition of Funk Software, where he was CTO and better known as developer #1 for Steel-Belted Radius. Prior to joining Funk Software, Oliver co-founded Trilogy Inc. and prior to that, he did stints at Novell, Fluent Machines and IBM. Oliver received an MS in mathematics and a BA in mathematics and computer science from the University of Tennessee.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

Don't Shed Tears When Peeling the Onion Router

November 11, 2014
Read blog post
Breach

Catch Attackers Attempting to Shellshock You

September 29, 2014
Read blog post
Breach

Detecting Future Heartbleed Security Exploits

August 22, 2014
Read blog post