Mit Graphdatenbanken gegen Cyberattacken: Immer einen Schritt voraus

Cybercrime ist ein Milliardengeschäft. Um ihre Einnahmequellen zu erhalten, nutzen Cyberkriminelle zahlreiche Tricks, um Firmennetzwerke zu attackieren. Sie schrecken auch nicht davor zurück, legitime Tools zu einer Angriffskette zusammenzuführen, die in ihrer Gesamtwirkung schadhaft sind. Daher kommen in der Virenbekämpfung auch dynamische Verfahren zum Einsatz: Die potenziell schädliche Datei wird ausgeführt und das Verhalten in einer geschützten Umgebung beobachtet.

Schädliche Prozessketten erkennen

Mit Verhaltensüberwachung lassen sich Infektionsprozesse gut identifizieren. Das Erkennungsverfahren analysiert das Verhalten von Prozessen auf dem Computer und überwacht dabei etwa Änderungen im Dateisystem und in der Registry, insbesondere an verdächtigen Stellen wie dem Autostart-Ordner. Allerdings übersetzen bestehende verhaltensbasierte Erkennungsansätze möglicherweise bedrohliches Verhalten in numerische Werte. Sie definieren also einen Grad von "Badness". Aber bei der Aggregation des numerischen Werts gehen notwendigerweise immer Informationen verloren, wodurch eine gewisse Unschärfe entsteht. Die Technologie ist also anfällig für Fehleinschätzungen. Das Problem: Entweder wird der Schwellwert für die Erkennung so hoch angesetzt, dass kaum noch Schadsoftware erkannt wird. Oder der Schwellwert wird zu niedrig angesetzt, was häufig Fehlalarme auslöst – sogenannte False Positives.

Mit Graphen Angriffe nachvollziehen

Es bedarf also eines radikal anderen Ansatzes, um verteilte Angriffe zu erkennen. Anstatt die verdächtigen Aktionen in einem numerischen Wert zu aggregieren, ist es sinnvoll, die Aktionen in einem Graphen nachzuzeichnen, da die Verhaltensdaten in ihrer natürlichen Form als Graphen vorliegen. Daher bietet sich der Einsatz von Graphdatenbanken an. Prozesse lassen sich etwa als Baum darstellen. Eine übergelagerte Aktion startet mehrere Unterprozesse, die wiederum jeder mehrere untergeordnete Prozesse starten. So sind dann sowohl die Prozessstruktur als auch andere Informationen wie etwa Dateizugriffe in einem System gespeichert, sodass die Zusammenhänge nachvollziehbar sind. Der Vorteil der Graphdatenbank: Sie zeichnet ein vollständiges Bild auf, das Bedrohungen eindeutig erkennen kann. So lassen sich auch deutlich komplexere und weniger bekannte Kombinationen von Prozessen nachvollziehen.

Die Zeit zurückdrehen

Gleichzeitig wird auch die Historie der Prozesskette gespeichert. Graphdatenbanken ermöglichen daher auch Retrospective Removal. Denn "Indicators of Compromise", also Hinweise auf einen unberechtigten Zugriff, gibt es im Verlauf von Infektionen immer. Bis diese Indikatoren aber als schadhaft identifiziert werden, sind sie häufig auf dem betroffenen System nicht mehr verfügbar, weil etwa die Malware zu Beginn der Infektionskette zugehörende Dateien gelöscht hat. Im Graph bleiben diese Informationen erhalten und die verbliebenen Artefakte im System lassen sich trotzdem aufspüren. Denn mit dem Retrospective Removal lässt sich, ausgehend von einem Knoten, der bereits als schädlich erkannt wurde, der ursprüngliche Parent-Prozess identifizieren und im Nachgang genauer untersuchen. Solche komplexen Zusammenhänge bleiben gewöhnlichen verhaltensbasierten Technologien verborgen. Das bietet insbesondere Vorteile, wenn sich Malware zu Beginn der Infektion schlafen legt oder auf ein Kommando des Botnet-Operators wartet, aber noch keine schädlichen Aktionen durchgeführt hat.

Fazit

Anders als herkömmliche Verhaltensanalysen liefern Graphdatenbanken eine ganzheitliche Betrachtung. Sie spielen ihre Stärken aus, wenn schadhaftes Verhalten über mehrere Prozesse verteilt ist. Virusanalysten profitieren von dieser Nachvollziehbarkeit, weil sie alle Erkennungen sehr genau verstehen und somit auch die kriminelle Denkweise von Angreifern durchschauen können.