{"id":96016,"date":"2019-01-03T01:00:41","date_gmt":"2019-01-03T09:00:41","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=96016"},"modified":"2018-12-17T07:34:14","modified_gmt":"2018-12-17T15:34:14","slug":"kombinierte-verteidigung-warum-sie-statische-analyse-dynamische-analyse-und-maschinelles-lernen-brauchen","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2019\/01\/kombinierte-verteidigung-warum-sie-statische-analyse-dynamische-analyse-und-maschinelles-lernen-brauchen\/?lang=de","title":{"rendered":"KOMBINIERTE VERTEIDIGUNG: Warum Sie statische Analyse, dynamische Analyse und maschinelles Lernen brauchen"},"content":{"rendered":"<p>Punktl\u00f6sungen im Sicherheitsbereich sind genau das, was ihr Name sagt: Sie konzentrieren sich im gesamten\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/resources\/info-insights\/disrupting-the-attack-lifecycle\">Lebenszyklus eines Angriffs<\/a> auf einen einzelnen Interventionspunkt. Selbst wenn die Sicherheitsl\u00f6sung eine Erfolgsrate von 90\u00a0Prozent verspricht, besteht noch immer die Wahrscheinlichkeit, dass in einem von zehn F\u00e4llen ein Angriff an diesem Punkt nicht abgewehrt werden kann. Um die Chancen einer Unterbindung erfolgreicher Cyberangriffe zu erh\u00f6hen, k\u00f6nnen sich Unternehmen nicht auf Punktl\u00f6sungen verlassen. Vielmehr brauchen sie verschiedene Verteidigungsebenen und m\u00fcssen an mehreren Punkten agieren k\u00f6nnen. Die Kombination mehrerer effektiver Methoden erh\u00f6ht die allgemeine Wirksamkeit der Sicherheitsl\u00f6sungen und bietet Unternehmen die M\u00f6glichkeit, den Lebenszyklus eines Angriffs an verschiedenen Punkten zu unterbrechen.<\/p>\n<p>Im Folgenden werden die drei Methoden zur Bedrohungserkennung beschrieben, die in Kombination erfolgreiche Cyberangriffe verhindern k\u00f6nnen:<\/p>\n<p>&nbsp;<\/p>\n<h3>Dynamische Analyse<\/h3>\n<p><strong>Einziges Tool, das Zero-Day-Bedrohungen erkennt<\/strong><\/p>\n<p>Im Rahmen der dynamischen Analyse wird eine verd\u00e4chtige Datei auf einer virtuellen Maschine, wie einer Malware-Analyseumgebung, detoniert. Anschlie\u00dfend wird analysiert, wie sich die Datei verh\u00e4lt. Die Datei wird abh\u00e4ngig von ihrem Verhalten bei der Ausf\u00fchrung eingestuft, anstatt zur Identifikation von Bedrohungen nur auf Signaturen zu setzen. Dadurch kann die dynamische Analyse Bedrohungen erkennen, die v\u00f6llig von den bisher bekannten abweichen.<\/p>\n<p>F\u00fcr besonders pr\u00e4zise Ergebnisse sollte die Datei Zugriff auf das Internet haben, wie es an einem durchschnittlichen Endpunkt in einem Firmennetzwerk der Fall w\u00e4re, da Bedrohungen oft Befehle und Steuerung von au\u00dfen brauchen, um ihr Potenzial zu entfalten. Als Pr\u00e4ventionsmechanismus kann die Malware-Analyse den Internetzugriff unterbinden und Reaktionen von au\u00dfen vort\u00e4uschen, damit sich die Bedrohung zu erkennen gibt. Dies kann jedoch unzuverl\u00e4ssig sein und stellt damit keine echte Alternative zum Internetzugriff dar.<\/p>\n<p><strong>Malware-Analyseumgebungen sind erkennbar, und das Verfahren ist zeitintensiv<\/strong><\/p>\n<p>Um unentdeckt zu bleiben, versuchen die Angreifer, anhand von Netzwerkprofiling herauszufinden, ob ihr Angriff in einer Malware-Analyseumgebung stattfindet. Dabei suchen sie nach Anzeichen daf\u00fcr, dass sich die Malware in einer virtuellen Umgebung befindet, beispielsweise, ob die Datei immer zu \u00e4hnlichen Zeiten oder von den gleichen IP-Adressen detoniert wird, ob g\u00fcltige Benutzeraktivit\u00e4ten wie Tastatureingaben oder Mausbewegungen vorhanden sind oder ob andere Faktoren wie ein ungew\u00f6hnlich hoher Speicherplatz auf Virtualisierungstechnologie hindeuten. Ist f\u00fcr einen Angreifer erkennbar, dass er es mit einer Malware-Analyseumgebung zu tun hat, wird er seinen Angriff abbrechen. In der Folge sind die Ergebnisse anf\u00e4llig f\u00fcr Analysefehler. Wenn die Malware zum Beispiel bei der Detonation Kontakt zum Angreifer aufnimmt, dieser aber nicht reagiert, weil er die Malware-Analyse durchschaut hat, verh\u00e4lt sich die Datei nicht sch\u00e4dlich und wird folglich von der Analyse nicht als Bedrohung erkannt. \u00c4hnlich l\u00e4uft es, wenn die Bedrohung die Ausf\u00fchrung einer speziellen Version eines bestimmten Teils einer Software erfordert. In diesem Fall geht von der Malware in der Malware-Analyseumgebung nichts erkennbar Verd\u00e4chtiges aus.<\/p>\n<p>Es kann mehrere Minuten in Anspruch nehmen, eine virtuelle Maschine zu erstellen, die Datei darin zu platzieren und zu beobachten und anschlie\u00dfend die Maschine wieder zu l\u00f6schen und die Ergebnisse zu analysieren. Obwohl die dynamische Analyse die teuerste und zeitintensivste Methode darstellt, ist sie das einzige Tool, mit dem unbekannte oder Zero-Day-Bedrohungen wirksam erkannt werden k\u00f6nnen.<\/p>\n<p>&nbsp;<\/p>\n<h3>Statische Analyse<\/h3>\n<p><strong>Schnelle Ergebnisse und keine speziellen Anforderungen<\/strong><\/p>\n<p>Anders als die dynamische Analyse befasst sich die statische Analyse mit dem Inhalt einer bestimmten Datei auf einer Festplatte und nicht mit ihrem Verhalten bei Detonation. Sie analysiert Daten, extrahiert Muster, Attribute und Artefakte und meldet Unregelm\u00e4\u00dfigkeiten.<\/p>\n<p>F\u00fcr die statische Analyse sind die Probleme der dynamischen Analyse unbedeutend. Sie ist \u00e4u\u00dferst effizient \u2013 sie dauert nur einen Bruchteil einer Sekunde \u2013 und deutlich kosteng\u00fcnstiger. Die statische Analyse kann zudem auf jede beliebige Datei angewendet werden, da zum Analysieren der Datei keine bestimmten Anforderungen, einzurichtenden Umgebungen oder ausgehende Kommunikation erforderlich sind.<\/p>\n<p><strong>Komprimierte Dateien f\u00fchren zu geringerer Sichtbarkeit<\/strong><\/p>\n<p>Die statische Analyse st\u00f6\u00dft jedoch relativ schnell an ihre Grenzen, wenn die verd\u00e4chtige Datei komprimiert ist. W\u00e4hrend komprimierte Dateien f\u00fcr die dynamische Analyse kein Problem darstellen, geht bei der statischen Analyse die Sichtbarkeit der eigentlichen Datei verloren, da das erneute Komprimieren die gesamte Datei unbrauchbar macht. Was sich statisch extrahieren l\u00e4sst, tendiert gegen null.<\/p>\n<p>&nbsp;<\/p>\n<h3>Maschinelles Lernen<\/h3>\n<p><strong>Verhaltensbasierte Korrelation neuer Versionen von Bedrohungen mit bekannten Bedrohungen<\/p>\n<p><\/strong><\/p>\n<p>Anstatt bestimmte Muster miteinander zu vergleichen oder eine Datei zu detonieren, werden beim maschinellen Lernen Tausende Merkmale der Datei extrahiert und analysiert. Diese Merkmale werden einer Klassifikation unterzogen, auch als Feature-Vektor bezeichnet, um auf der Grundlage bekannter Identifikatoren die Gutartigkeit oder B\u00f6sartigkeit der Datei zu bestimmen. Anstatt nach Besonderheiten zu suchen, ordnet das System die Datei einem zuvor ausgewerteten Dateicluster zu, wenn sich eines ihrer Merkmale \u00e4hnlich wie dieses Cluster verh\u00e4lt. F\u00fcr gutes maschinelles Lernen sind Trainingss\u00e4tze mit positiven und negativen Beispielen erforderlich, und neue Daten oder Merkmale haben eine Verbesserung des Prozesses und eine Verringerung der Falschmeldungen zur Folge.<\/p>\n<p>Maschinelles Lernen gleicht das aus, was der dynamischen und statischen Analyse fehlt. Eine Datei, die inaktiv ist, nicht detoniert, durch Komprimierung lahmgelegt wurde, keine Befehle erh\u00e4lt, nicht gesteuert wird oder auf andere Weise unzuverl\u00e4ssig ist, kann dank maschinellem Lernen trotzdem als b\u00f6sartig identifiziert werden. Wenn zahlreiche Versionen einer bestimmten Bedrohung beobachtet und in einem Cluster geb\u00fcndelt wurden und eine verd\u00e4chtige Datei Merkmale wie jene im Cluster aufweist, geht die Maschine von einem Zusammenhang mit dem Cluster aus und kennzeichnet die Datei innerhalb von Sekunden als sch\u00e4dlich.<\/p>\n<p><strong>Findet nur mehr von dem, was ohnehin bekannt ist<\/strong><\/p>\n<p>Wie die anderen beiden Methoden sollte maschinelles Lernen als Tool mit vielen Vorteilen, aber auch einigen Nachteilen betrachtet werden. Denn beim maschinellen Lernen wird das Modell nur auf der Grundlage bekannter Identifikatoren trainiert. Im Gegensatz zur dynamischen Analyse findet man mit maschinellem Lernen weder Neuartiges noch Unbekanntes. Eine Bedrohung, die keines der erlernten Merkmale aufweist, wird nicht als sch\u00e4dlich gekennzeichnet, da die Maschine lediglich mehr von dem Material findet, mit dem sie trainiert wurde.<\/p>\n<p><strong>Kombinierte Verfahren auf einer Plattform<\/strong><\/p>\n<p>Um die Pl\u00e4ne versierter Gegner durchkreuzen zu k\u00f6nnen, brauchen Sie mehr als nur ein Teil des Puzzles. Sie brauchen ein kombiniertes Verfahren \u2013 ein Konzept, das die L\u00f6sungen mehrerer Anbieter vereint. Obwohl Defense-in-Depth nach wie vor angemessen und relevant ist, muss es sich von einer Punktl\u00f6sung aus Produkten mehrerer Anbieter zu einer Plattform weiterentwickeln, die statische Analyse, dynamische Analyse und maschinelles Lernen integriert. Alle drei in Kombination bewirken eine tats\u00e4chliche Verteidigung in der Tiefe, und zwar durch mehrere Schichten integrierter L\u00f6sungen.<\/p>\n<p>&nbsp;<\/p>\n<p>Die <a href=\"https:\/\/www.paloaltonetworks.com\/products\/designing-for-prevention\/security-platform\">Palo Alto Networks Security Operating Platform<\/a>\u00a0l\u00e4sst sich mit dem cloudbasierten Bedrohungsanalyse-Service WildFire integrieren, um den einzelnen Komponenten kontextbezogene, praktische Bedrohungsdaten zu liefern und dadurch den sicheren Einsatz im Netzwerk, am Endpunkt und in der Cloud zu erm\u00f6glichen. WildFire kombiniert eine speziell entwickelte Engine f\u00fcr dynamische Analyse mit statischer Analyse, maschinellem Lernen und Bare-Metal-Analyse f\u00fcr eine noch effektivere Abwehr von Bedrohungen. W\u00e4hrend viele Malware-Analyseumgebungen auf Open-Source-Technologie setzen, hat WildFire die gesamte Open-Source-Virtualisierung innerhalb der Engine f\u00fcr dynamische Analyse durch eine von Grund auf neu entwickelte virtuelle Umgebung ersetzt. Dadurch m\u00fcssen Angreifer v\u00f6llig andere Strategien als die gegen andere Anbieter von Cybersicherheit verwendeten entwickeln, um der Erkennung durch WildFire zu entkommen. Von den wenigen Angriffen, die es schaffen, die drei Verteidigungsebenen von WildFire \u2013 dynamische Analyse, statische Analyse und maschinelles Lernen \u2013 zu umgehen, werden alle Dateien mit ausweichendem Verhalten in eine Bare-Metal-Umgebung zur Hardware-Ausf\u00fchrung umgeleitet.<\/p>\n<p>Innerhalb der Plattform arbeiten diese Verfahren nichtlinear zusammen. Erkennt eines der Verfahren eine Datei als b\u00f6sartig, wird dies von der gesamten Plattform zur Kenntnis genommen, wodurch die Sicherheit aller anderen Funktionen steigt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Punktl\u00f6sungen im Sicherheitsbereich sind genau das, was ihr Name sagt: Sie konzentrieren sich im gesamten\u00a0Lebenszyklus eines Angriffs auf einen einzelnen Interventionspunkt. Selbst wenn die Sicherheitsl\u00f6sung eine Erfolgsrate von 90\u00a0Prozent verspricht, besteht noch &hellip;<\/p>\n","protected":false},"author":40,"featured_media":28560,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3549],"tags":[],"coauthors":[716],"class_list":["post-96016","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-unkategorisiert"],"jetpack_featured_media_url":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/04\/Cyberpedia-social-ad-linkedin-520x320.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=96016"}],"version-history":[{"count":1,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96016\/revisions"}],"predecessor-version":[{"id":96017,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96016\/revisions\/96017"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/28560"}],"wp:attachment":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=96016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=96016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=96016"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=96016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}