Unmögliches Reisen" testet die Grenzen der Anomalie-Erkennung
Systeme, die Anomalien im E-Mail-Verkehr und in der Zusammenarbeit von Mitarbeitern aufspüren, können das Cyber-Risiko verringern, erhöhen jedoch die Arbeitsbelastung der Sicherheitsteams. Die KI bringt Erleichterung.
Wichtige Punkte
- Unmögliches Reisen", wenn sich ein Benutzer von verschiedenen Orten aus schneller anmeldet, als es menschlich möglich ist, ist für Systeme leichter zu erkennen als zu lösen.
- Sicherheitsexperten sind oft von Fehlalarmen überwältigt und haben nicht die Zeit, alle Warnmeldungen zu untersuchen.
- Hier erfahren Sie, wie soziale Graphen Sicherheitsteams dabei helfen können, herauszufinden, was es wert ist, untersucht zu werden.
"Unmögliches Reisen" genießt einen skurrilen Ruf als einer der offensichtlichsten Indikatoren für eine Cyber-Anomalie. Da eine Person nicht an zwei Orten gleichzeitig sein kann, kann die heutige Cybersicherheitssoftware anomales Verhalten erkennen und bei Bedarf Maßnahmen ergreifen, wie z. B. das Auslösen von Warnmeldungen oder das Isolieren von Nachrichten.
Wenn sich ein Nutzer bei der Cloud anmeldet, zeichnet das System einen Zeitstempel sowie die GPS- und IP-Adresse des Nutzers auf. Wenn sich der Benutzer das nächste Mal anmeldet, prüft das System automatisch die Daten der letzten Anmeldung und berechnet die Differenz zwischen den Standorten. Nach Microsofts Definition liegt eine unmögliche Reise vor, "wenn derselbe Benutzer von zwei verschiedenen Ländern aus eine Verbindung herstellt und die Zeit zwischen diesen Verbindungen nicht mit herkömmlichen Flugreisen zurückgelegt werden kann."[1]
Das hört sich einfach an, aber viele dieser Warnungen führen zu Fehlalarmen. Die Hybridarbeit hat das Problem noch verschärft. Viele Wissensarbeiter melden sich von überall auf der Welt bei Servern an und verwenden VPNs, die eine Standortüberprüfung erschweren. Cybersicherheitssoftware kann Protokolle überwachen, aus denen hervorgeht, dass ein vertrauenswürdiger Benutzer zuletzt von Paris, Frankreich, eingecheckt hat, sich aber 75 Minuten später über Paris, Texas, einloggt.
Unsachgemäß verwaltete, unmögliche Reisen erhöhen den täglichen Lärm eines Sicherheitsteams. Laut dem Forrester-Bericht State of SecOps in 2021 bearbeitet das durchschnittliche Sicherheitsteam mehr als 11.000 Alarme pro Tag, hauptsächlich manuell. Bei fast einem Drittel dieser Warnungen handelt es sich um Fehlalarme.[2]
Kann künstliche Intelligenz diese Herausforderung meistern?
Ob faszinierend oder nicht, unmögliche Reisen sind eine weitere Herausforderung, mit der Sicherheitsteams täglich konfrontiert werden - ein Indikator, der auf bösartige Aktivitäten wie Phishing oder Ransomware hinweisen könnte.
Mit anderen Worten: Unmögliches Reisen ist die Art von E-Mail-Bedrohung, die maschinelles Lernen und künstliche Intelligenz (KI) erkennen und bewältigen können. Und das ist wichtig, denn das Risiko ist unvermindert hoch. Im Bericht von Mimecast State of Email Security 2022 (SOES) gaben 72 % der Befragten an, dass die Zahl der E-Mail-basierten Bedrohungen in den letzten 12 Monaten zugenommen hat, wobei 26 % das Bedrohungsniveau als erheblich bezeichneten. Die SOES-Studie zeigt jedoch auch, dass weniger als die Hälfte der befragten Unternehmen ein System zur Überwachung von E-Mail-Angriffen haben.
Dennoch glauben Sicherheitsexperten, dass KI ihre Effektivität verbessern kann. In der SOES-Studie bestätigten 56 % der Befragten, dass KI die Genauigkeit der Bedrohungserkennung erhöht hat. Für viele Sicherheitsteams ist es jedoch eine ständige Herausforderung, Fehlalarme auszusortieren. Ein Ansatz besteht darin, jeden Fall manuell zu prüfen. Ein Sicherheitsexperte auf Reddit (r/cybersecurity) merkte an, dass man, um zu beweisen, dass es sich bei einer Warnung um einen Fehlalarm handelt, "ein plausibles, gutartiges Szenario vorlegen muss, das die anomale Aktivität erklärt". Wenn nicht, würde er die Tätigkeit verbieten.[3]
Angesichts des anhaltenden Personalmangels bestehen die größten Probleme jedoch darin, dass es an Zeit und Ressourcen für manuelle Eingriffe mangelt. Anstatt zu versuchen, jede Warnung einzeln zu beheben, setzen viele Unternehmen KI, Automatisierung und Integration ein, um Verstöße zu verhindern. Der E-Mail-Sicherheitsansatz von Mimecast blockiert E-Mail-Bedrohungen mit KI-gestützter Erkennung, einschließlich Identitäts- und Sozialdiagrammen zur Erkennung von Anomalien und Phishing.
Diese Funktionen erkennen und blockieren gezielte E-Mail-Bedrohungen wie z. B.:
- Anomale Verhaltensweisen im Zusammenhang mit bösartigen E-Mails.
- Falsch adressierte E-Mails, um Datenverluste durch versehentliche E-Mails an die falschen Personen zu vermeiden.
- Gezielte Angriffe durch Speerfischen.
- In E-Mails eingebettete Tracker.
Erkennen der neuen Normalität
Social Graphing ist eine Technologie, die mithilfe von maschinellem Lernen erkennt, was bei E-Mails und Kommunikation normal ist und was nicht. Mimecast CyberGraph setzt diese Technologie ein, um die Kommunikationsmuster eines Unternehmens abzubilden und Verbindungen zwischen Absendern und Empfängern zu verfolgen, einschließlich der Stärke oder Nähe dieser Beziehungen.
Die daraus resultierenden Daten ermöglichen es Sicherheitsteams, anomale Verhaltensweisen zu erkennen und gezielte und bösartige E-Mail-Angriffe zu blockieren, die auf Taktiken wie Social Engineering und dateilose Malware setzen. CyberGraph optimiert die Ergebnisse kontinuierlich durch eine Feedback-Schleife, um die Falsch-Positiv-Rate zu reduzieren. Die Software von Mimecast kann auch das Bewusstsein der Mitarbeiter für Risiken und Bedrohungen schärfen, indem sie kontextbezogene Echtzeit-Warnungen in E-Mails einfügt, die darauf hinweisen, wenn eine E-Mail von einer unbekannten Quelle stammt.
Social-Graphing-Daten können auch Muster erkennen und den Sicherheitsteams helfen, relevante Ausnahmeregelungen zu entwickeln. So kann die globale Policy Engine der Mimecast X1 Plattform beispielsweise erkennen, dass sich ein bestimmter Mitarbeiter wahrscheinlich von überall aus einloggt oder zusammenarbeitet. Dieses Wissen reduziert den manuellen Aufwand, unterstützt die Einhaltung von Vorschriften und verringert das Risiko. Die Einrichtung einer Ausnahme reduziert auch den Stress für einen Mitarbeiter, der unterwegs ist und andernfalls möglicherweise vorübergehend von E-Mails oder der Zusammenarbeit ausgeschlossen wird.
In einem Papier der Enterprise Strategy Group mit dem Titel "When the Adversary Knows All About You ... Personally" (Wenn der Gegner alles über Sie weiß ... persönlich) behauptet der Autor, dass "moderne Angriffe in hohem Maße personalisiert werden". Das Ergebnis ist, dass Angreifer eine Reihe von öffentlichen Informationsquellen und sozial manipulierte Kommunikation neben anderen Tricks nutzen, um "kriminelle Handlungen durchzuführen". Doch während die Angreifer immer schlauer werden, helfen Technologien wie Identitätsgraphen den Unternehmen bei der Bekämpfung immer raffinierterer Angriffe".
Die Quintessenz
Mimecast CyberGraph schützt Systeme vor einigen der ausweichendsten und am schwersten zu entdeckenden E-Mail-Bedrohungen, indem es die Erkundungsmöglichkeiten von Angreifern einschränkt und menschliches Versagen minimiert. Unmögliches Reisen ist eines der schwierigeren Anzeichen für einen Angriff. Mimecast CyberGraph bietet Sicherheitsteams einen Ansatz, der sich in die Sicherheitsumgebungen von Unternehmen integrieren lässt und KI, soziale Graphen und intelligente Anomalieerkennung einsetzt, um ihre Fähigkeit zu verbessern, anomale Bedrohungen zu erkennen und zu entschärfen. Vertiefen Sie in die Fähigkeiten von CyberGraph.
[1] "Erkennen und Beseitigen von unmöglichen Reisen," Microsoft
[2] "State of SecOps in 2021," Forrester
[3] "Wie 'beweist' man, dass ein Alarm ein Fehlalarm ist?", Reddit
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!