news release

Alter Wein in neuen Schläuchen? Vectra Networks beleuchtet Ciscos Einführung von vermeintlich künstlicher Intelligenz zur Cybersicherheit

Sorry, this news release has not been published yet, check back later!

June 23, 2017

Zürich, den 23. Juni 2017 - Cisco hat seine Pläne zum „intent-based networking“ vorgestellt, das auf der Cisco Digital Network Architecture basiert. Die Ankündigung umfasst neben dem DNA-Center, Software-Defined Access sowie Network Data Platform and Assurance auch die zukünftige Analyse verschlüsselter Daten (Encrypted Traffic Analytics; ETA). Dabei kommt nach Angaben von Cisco auch maschinelles Lernen zur Analyse der Verkehrsmuster von Metadaten zum Einsatz. Was auf den ersten Blick äußerst fortschrittlich klingt, erweist sich nach Meinung von Vectra Networks bei genauerem Hinsehen als fragwürdig. Oliver Tavakoli, CTO von Vectra Networks, erklärt, warum seiner Meinung nach der ETA-Ansatz von Cisco stellenweise ein Rückschritt ins Jahr 1995 darstellt.

Cisco erklärt in seiner jüngsten Verlautbarung: „Ciscos Encrypted Traffic Analytics löst eine Herausforderung bei der Netzwerksicherheit, die bisher als unlösbar erachtet wurde. ETA nutzt Ciscos Talos Cyber Intelligence, um bekannte Angriffssignaturen auch im verschlüsselten Verkehr zu erkennen und dabei zu helfen, die Sicherheit zu gewährleisten und gleichzeitig die Privatsphäre zu wahren.“

Dem entgegnet Oliver Tavakoli von Vectra Networks:

„Die Behauptung, dass ein bisher unlösbares Problem gelöst wurde, sorgt zunächst immer für Faszination. Lassen Sie uns daher etwas tiefergehen, um zu verstehen, wie Cisco ETA konzipiert ist. Es werden viele Malware-Samples herangezogen, die bereits in Malware-Familien eingestuft sind, und markiert, um diese Klassifizierung zu reflektieren. Jedes Malware-Sample wird fünf Minuten lang in einer Sandbox-Umgebung ausgeführt. Der Traffic, der von den Samples ausgeht, wird erfasst. Dann werden die TLS-verschlüsselten Sessions aus dem Verkehr isoliert. Im Anschluss werden Informationen über diese Sessions von den jeweiligen TLS-Handshakes extrahiert. Dabei wird ein Client-„Hello“ von Client zu Server gesendet und ein Server-„Hello“, mit dem der Server antwortet. Nun werden Informationen über den Datenfluss in der Session extrahiert. Die Funktionen der vorhergehenden Schritte werden dann herangezogen, um ein Modell zu entwickeln, aus diesen Daten Zuordnungen zu den Malware-Familien von ersten Schritt zu treffen.

Wir begrüßen die Schritte von Cisco, die Metadaten-Extraktion nativ ins Netzwerk zu integrieren und maschinelles Lernen anzuwenden, um Bedrohungen zu erkennen. Dies ist etwas, was wir seit Jahren bereits tun. Wir haben die Vorteile gesehen, die es bieten kann, wenn es auf die richtige Weise umgesetzt wird – und was auf den falschen Weg führt, da auch wir mit Stolpersteinen konfrontiert waren. Ciscos erste Schritte in diese Richtung sind doch noch recht zögerlich.

Zweifellos gibt es einige neuartige Ansätze in der Feature-Auswahl und den Techniken des maschinellen Lernens, das in Cisco ETA eingesetzt wird. Aber die Idee, Session-Metadaten zu verwenden, um präzise Signaturen für Malware-Kommunikation zu erzeugen, erscheint wie ein Schritt rückwärts in die Zeit der ersten Signatur-basierten Intrusion-Detection-Systeme (IDS). Diese kamen bereits im Jahr 1995 auf den Markt. Angenommen, dies wäre zunächst erfolgreich bei der aktuellen Generation von Malware: Es wäre dennoch nicht besonders zeitaufwändig für Malware-Entwickler, ihre verschlüsselte Kommunikation auf einfache Weise zu verändern, um dieser Form der Erkennung zu entgehen. Die Veränderungen, die die Angreifer vornehmen würden, sind ziemlich offensichtlich:

So können Standardvarianten der aktuellen Kryptografie verwendet werden, auch wenn keine Schutzmaßnahmen benötigt werden. Außerdem sollte das Zertifikat nicht offensichtlich als bösartig erkennbar sein. Ein Standard-Zertifikat von einer beliebten Website ließe sich kopieren und als Vorlage für das eigene Zertifikat verwenden. Außerdem wird der Traffic innerhalb der TLS-Verbindung nach dem Zufallsprinzip verändert, indem regelmäßig zusätzlicher Traffic ausgelöst wird. Dabei variieren der Zeitpunkt der Kommunikation und die Größe von Anfragen und Antworten.

Dann beginnt das Katz- und Maus-Spiel wieder von vorn. Jetzt müsste Cisco große Mengen an Samples sammeln, um ETA umzulernen. Die Angreifer könnte es dann aber schnell wieder knacken.

Im Gegensatz zu den meisten maschinellen Lernanwendungen geht es bei der Cybersicherheit darum, sich mit einem intelligenten Gegner zu messen, der sich immer wieder an die Fähigkeiten der IT-Sicherheitssysteme anpassen. Aus diesem Grund konzentrieren sich moderne Anwendung des maschinellen Lernens gegen netzwerkextrahierte Metadaten darauf, dauerhafte Verhaltensmuster zu finden, die grundlegende Veränderungen in den Methoden der Angreifer erfordern, um einer Erkennung tatsächlich zu entgehen.

Außerdem wird die Einführung von ETA weder einfach noch billig sein. ETA erfordert entweder ein Upgrade auf neue Netzwerk-Switches oder den Einsatz von Flow Sensoren. Switches sind der Umsatzmotor für Cisco. Es überrascht also nicht, das Cisco die neuen Sicherheitsfeatures mit Switching kombiniert. Die notwendigen Upgrades nehmen Zeit in Anspruch und stören den laufenden Betrieb. Ich frage mich, ob all dieser Aufwand gerechtfertigt ist, wenn am Ende ein Schutzlevel steht, das im Jahr 1995 schon möglich war.“

Media contact

press@vectra.ai

Most recent news releases

Vectra research reveals that the most significant ransomware threat is the malicious encryption of shared network files in cloud service providers

August 7, 2019
Read news release

Vectra AI is named a Representative Vendor in the 2019 Gartner Market Guide for Intrusion Detection and Prevention Systems

July 30, 2019
Read news release

Vectra introduces the industry’s first network threat detection and response solution in Amazon Web Services

June 25, 2019
Read news release