zurück zur Übersicht

Data Smuggling – Datenabfluss rechtzeitig erkennen

Data Smuggling: Nach erfolgreicher Infiltration machen sich Hacker oft mit wertvollen Daten davon.Das Ziel vieler Angreifer lautet Ausleiten (Exfiltration) von vertraulichen Informationen, um in irgendeiner Weise daraus Profit zu schlagen. Dabei kann praktisch jede Information „verwertet“ werden. Besonders begehrt sind Listen mit Usernamen-Passwort-Kombinationen, Kundenlisten und Kreditkartendaten. Sie lassen sich in der Regel sehr einfach und schnell zu Geld machen. Aber auch spezifischere Informationen wie R&D-Daten, Konstruktionspläne oder strategische Vertriebspläne sind – besonders für gezielt vorgehende Angreifer – interessant.

Die entscheidende Fage lautet: Wie bekommt man diese Daten, hat man sie erst gefunden, aus dem Netzwerk heraus?

Genau darum geht es beim Data Smuggling. Es ist der finale Schritt nach erfolgreicher Infiltration eines Netzwerkes und Identifizierung sensitiver Informationen.

Inside Job vs. External Threat

Bei Data Smuggeling kann zwischen zwei Angreifertypen unterschieden werden: Der interne Angreifer, zum Beispiel der soeben gekündigte Mitarbeiter, hat zumeist nicht die Erfahrung und Zeit, die ein externer Angreifer besitzt. Er legt in der Regel auch weniger Wert darauf, dass Data Smuggling nicht auffällt und ist unvorsichtiger. Vielmehr wird der interne Angreifer so schnell wie möglich versuchen die Daten, die er stehlen möchte, zusammenzusammeln und zum Beispiel auf Cloud-Dienste oder seinem eigenen Server auszuleiten.

Der externe Angreifer ist in der Regel deutlich besser vorbereitet und geht bedacht und vorsichtiger vor, um einer Erkennung zu entgehen. Kontinuierlicher Zugriff auf die Daten ist hier oft das Ziel. Der Vorteil für den Angreifer ist klar ersichtlich: Viele gängige Systeme reagieren auf plötzlich erhöhten Datentransfer zu externen IP-Adressen. Durch das kontinuierliche Senden kleiner Pakete an verschiedene externe Adressen soll die Erkennung verhindert oder zumindest verzögert werden. Wird der Traffic dann auch noch verschlüsselt, ist es schwierig, Data Smuggling als solches zu erkennen.

datasmuggling_1

Erkennung dieser Angriffe mit Maschine Learning

Neue Ansätze bieten Threat-Detection-Lösungen, wie die von Vectra Networks. Maschine Learning wird hier eingesetzt, um Anomalien im Kommunikationsverhalten von Systemen zu erkennen. Genau solche Anomalien können auch auf Data Smuggling hindeuten. Trainiert werden die Systeme auf zwei unterschiedliche Arten: Supervised und Unsupervised Learning.

Beim Supervised Learning wird das Entscheidungsmodell des Systems mit bereits bekannten und klassifizierten Daten trainiert. Im Endeffekt wird hier vorgegeben, was normale und verdächtige Kommunikation zwischen den Systemen ist.

Beim Unsupervised Learning geht es um das Verstehen von noch nicht klassifizierten Daten. Hier erfolgt dann eine Anpassung des Entscheidungsmodells an die konkrete Anwendungsumgebung auf Basis der dort gesammelten Kommunikationsdaten.

Werden Daten exfiltriert, kann die Appliance von Vectra dieses anhand des abnormalen Verhaltens erkennen und wichtige Informationen zu solch einem Security Incident bereitstellen, die eine schnelle Incident Response ermöglichen. Ein Beispiel zeigt folgender Screenshot.

datasmuggling2

Es zeigt deutlich, dass ein Client von verschiedenen internen Systemen zu unterschiedlichen Zeiten über Port 443 Daten erhalten hat und diese gesammelt an eine externe Adresse weitergesendet hat. Verwendet wurde hierfür ein Protokoll auf UDP Basis.

Dies ist nur ein Beispiel für die Indikatoren, die nahelegen, dass ein Netzwerk infiltriert ist. Es gibt noch viele andere Hinweise denen nachgegangen werden sollte (Stichwort: Infiltration Test). Viele IT-Landschaften sind bereits von Malware, Bots und APTs befallen, wissen aber nichts davon. Dieser Zustand ist mehr als bedenklich.

Nur wer den eigenen Infiltrationsgrad realistisch einschätzen kann, ist in der Lage, fundierte Entscheidungen zu treffen um sich künftig effektiver zu schützen und Data Smuggling effektiv zu unterbinden.


Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar