Was ist KI-basierte Analyse von verschlüsseltem Datenverkehr?

Die KI-basierte Analyse von verschlüsseltem Datenverkehr nutzt KI, um verdächtige oder bösartige verschlüsselte Netzwerkströme zu identifizieren. Dies wird in der Regel erreicht, indem unverschlüsselte Attribute des verschlüsselten Netzwerkverkehrs analysiert werden, mit minimaler oder keiner Entschlüsselung des Inhalts.

Verschlüsselter Netzwerkverkehr ist zunehmend verbreitet, um die Online-Privatsphäre und Sicherheit zu verbessern. Google und andere Organisationen haben sich stark für die Verwendung von verschlüsselten Netzwerkprotokollen eingesetzt, was dazu geführt hat, dass heute über 95 % des Netzwerkverkehrs verschlüsselt sind, laut Googles Transparenzbericht. Obwohl dies positiv für die Netzprivatsphäre ist, schränkt es die Sicherheitsüberwachung dieser Netzwerkströme ein, was Organisationen potenziell anfällig für Malware und andere Bedrohungen macht.

KI-Modelle können Metadaten, Verhalten und Flussmuster des verschlüsselten Verkehrs untersuchen, um das wahrscheinliche Risiko dieser Ströme zu analysieren. Im Rahmen einer integrierten SSE- oder SASE-Architektur kann die KI-basierte Analyse von verschlüsseltem Datenverkehr die Netzwerkleistung und Sicherheit verbessern, indem sie die Notwendigkeit verringert, ressourcenintensive Entschlüsselungen des Netzwerkverkehrs durchzuführen.

Warum verschlüsselter Verkehr Sicherheitsblinde Flecken schafft

Transport Layer Security (TLS) ist ein Netzwerkprotokoll, das unsichere Protokolle in eine verschlüsselte Hülle für Vertraulichkeit und Authentifizierung einwickelt. Die Verwendung von TLS für Webverkehr ist alltäglich geworden und verbessert die Online-Privatsphäre. Diese wachsende Akzeptanz der Verkehrverschlüsselung kommt jedoch auch Angreifern zugute, die versuchen, bösartige Inhalte innerhalb verschlüsselter Verkehrsströme zu verbergen. Netzwerkverkehr, der Malware, Kommando- und Kontrollverkehr sowie Datenexfiltration enthält, kann für Sicherheitswerkzeuge undurchsichtig sein und sich unter legitimen Verkehr verbergen.

Viele Sicherheitswerkzeuge sind auf die Fähigkeit angewiesen, den Inhalt des Netzwerkverkehrs zu analysieren, den TLS verschlüsselt. Infolgedessen schafft die zunehmende Nutzung der Verkehrverschlüsselung erhebliche Sicherheitsblinde Flecken.

Wie funktionieren traditionelle, entschlüsselungszentrierte Ansätze?

Traditionell gehen Unternehmen die Herausforderung an, die durch die Verschlüsselung des Netzwerkverkehrs entsteht, indem sie den Verkehr entschlüsseln und inspizieren. Dies kann auf verschiedene Weise erfolgen, beispielsweise durch die Verwendung von Netzwerkproxies, lokalen Geräten oder Cloud-Gateways. Dieser Ansatz zur Verwaltung von verschlüsseltem Netzwerkverkehr bietet eine tiefgehende Sicht auf den Netzwerkverkehr. Durch die Entschlüsselung des gesamten Inhalts kann ein Sicherheitsgerät diesen vollständig auf potenziell bösartige Inhalte scannen.

Die vollständige Entschlüsselung des Datenverkehrs hat jedoch auch ihre Nachteile. Die vollständige Entschlüsselung des Datenverkehrs ist rechenintensiv und kann zusätzliche Latenz in die Verbindung einführen. Darüber hinaus erfordert sie, dass die Organisation das traditionelle TLS-Paradigma mit Unternehmens-SSL-Zertifikaten durchbricht, was Sicherheitsrisiken und Bedenken hinsichtlich des Datenschutzes mit sich bringt.

Was ist KI-basierte Analyse von verschlüsseltem Datenverkehr?

Die KI-basierte Analyse von verschlüsseltem Datenverkehr geht die Herausforderungen des verschlüsselten Netzwerkverkehrs an, indem sie sich auf die unverschlüsselten Aspekte des Datenverkehrs konzentriert. Paketmetadaten, wie IP-Adressen und Paketgrößen, sowie Merkmale von Verkehrsflüssen können Hinweise liefern, die bei der Unterscheidung zwischen legitimen und bösartigen Netzwerkverkehr helfen. Je mehr qualitativ hochwertige Telemetrie von diesen Systemen gesammelt und analysiert wird, desto genauer sind ihre Schlussfolgerungen.

KI-basierte Systeme zur Analyse von verschlüsseltem Datenverkehr können verschiedene Modelle verwenden, um potenziell bösartigen Datenverkehr zu erkennen. Überwachtes maschinelles Lernen (ML) kann verwendet werden, um bekannte Muster bösartigen Datenverkehrs zu erkennen, während unüberwachtes ML und Anomalieerkennung helfen, neuartige Verhaltensweisen zu identifizieren.

Da die Analyse von verschlüsseltem Datenverkehr keine Nutzlasten entschlüsselt, schützt sie die Privatsphäre der Benutzer, während sie dennoch wahrscheinlich riskante und verdächtige Verbindungen identifiziert. Dies ermöglicht es Sicherheitsgeräten, TLS-Sitzungen selektiv zu entschlüsseln und zu inspizieren, die als die riskantesten identifiziert werden.

Wie die Analyse von verschlüsseltem Datenverkehr die Privatsphäre schützt

Die Analyse von verschlüsseltem Datenverkehr konzentriert sich auf die Analyse von Metadaten, einschließlich Flussdauer, Paketgrößen, Timing, Merkmale des TLS-Handshakes, SNI und Zertifikatsattribute. Diese Informationen sind in TLS-Sitzungen nicht verschlüsselt, da sie weniger sensibel sind als die Paketnutzlasten. Durch das Vermeiden der Entschlüsselung von Paketnutzlasten, in denen sich die Benutzersitzungsdaten befinden, schützen diese Tools die Privatsphäre der Benutzer.

Wie erkennt KI Bedrohungen im verschlüsselten Datenverkehr ohne Entschlüsselung?

KI kann Verkehrsdaten analysieren, um häufige Formen von bösartigem Netzwerkverkehr zu erkennen, wie z.B. Kommando- und Kontrollverkehr, Datenexfiltration und laterale Bewegung. Einige wichtige Muster, die KI im verschlüsselten Datenverkehr erkennen kann, sind:

• Beaconing
• Verwendung ungewöhnlicher TLS-Verschlüsselungen
• Ungewöhnliche Verkehrsziele
• Nicht übereinstimmende SNI und Zertifikate

Diese Indikatoren können verwendet werden, um wahrscheinlich bösartigen Datenverkehr in einer Unternehmensumgebung zu identifizieren. Diese Netzwerkströme können von Intrusion Prevention Systemen (IPS) und Anti-Malware-Engines zur Entschlüsselung markiert werden, um Sicherheit, Datenschutz und Leistung auszubalancieren.

Beispiele für KI-Funktionen und -Modelle in Verwendung

KI-basierte Lösungen zur Analyse von verschlüsseltem Datenverkehr können verschiedene Funktionen nutzen, um bösartigen Datenverkehr zu identifizieren. Dazu gehören:

• TLS-Handshake-Fingerabdrücke
• Flussstatistiken
• Server-Reputationswerte
• Protokollanomalien
• Verhaltensbaselines

KI-basierte Werkzeuge können überwachtes oder unüberwachtes Lernen einsetzen, um Bedrohungen zu identifizieren. Überwachte Modelle werden mit gekennzeichnetem bösartigem/gutartigem Datenverkehr trainiert, um bekannte Bedrohungen zu identifizieren, und unüberwachte Modelle erkennen Abweichungen vom „normalen“ Verhalten zur Erkennung neuer Bedrohungen. Darüber hinaus integrieren einige Plattformen Bedrohungsdatenfeeds und regelbasierte Logik neben KI.

Welche TLS-Handshake- und Flussattribute sind am wichtigsten?

Der TLS-Handshake wird verwendet, um eine TLS-Sitzung auszuhandeln und enthält eine Fülle nützlicher Informationen, die verwendet werden können, um legitimen und bösartigen Datenverkehr zu unterscheiden. Einige wichtige Felder, die KI-basierte Lösungen zur Analyse von verschlüsseltem Datenverkehr untersuchen, umfassen:

• Verschlüsselungen
• Versions
• Zertifikatfelder
• SNI
• Verhalten bei der Sitzungswiederherstellung
• JA3-Stil-Fingerabdrücke

Legitimer Verkehr aus Benutzersitzungen in Webbrowsern wird bestimmte Werte für diese Attribute aufweisen. Daher können Abweichungen oder Anomalien auf gefälschte Dienste, Malware-Frameworks oder verdeckte Kanäle hinweisen. Durch die Suche nach diesen Warnsignalen können KI-gestützte Werkzeuge zur Analyse von verschlüsseltem Datenverkehr potenziell C2-Verkehr und andere bösartige Datenströme unterscheiden.

Wie TLS-Inspektion mit KI-gestützter Analyse von verschlüsseltem Datenverkehr zusammenpasst

TLS-Inspektion und KI-gestützte Inspektion von verschlüsseltem Datenverkehr sind komplementäre Lösungen. KI kann unverschlüsselte Metadaten effizient analysieren, um die Netzwerkströme zu identifizieren, die entschlüsselt und eingehender analysiert werden müssen.

Um Leistungs- und Sicherheitsüberlegungen in Einklang zu bringen, sollte eine TLS-Inspektionsmethodik beste Praktiken folgen und Richtlinien definieren, um zu bestimmen, wann eine Entschlüsselung durchgeführt werden sollte und wann sie übersprungen werden kann. Ein System kann beispielsweise vorschreiben, dass ein Netzwerkstrom mit einem von KI generierten Risikowert über einem bestimmten Schwellenwert entschlüsselt werden muss. Darüber hinaus können Richtlinien die Entschlüsselung für bestimmte Arten von Verkehr, wie Verbindungen zu Banken und Gesundheitswebseiten, vorschreiben oder verbieten.

Vorteile und Grenzen der KI-gestützten Analyse von verschlüsseltem Datenverkehr

Die Hinzufügung von KI-gestützter Analyse von verschlüsseltem Datenverkehr neben selektiver, sicherer TLS-Inspektion bietet der Organisation und ihren Nutzern mehrere Vorteile, darunter:

• Verbesserte Leistung: Die KI-Analyse unverschlüsselter Metadaten kann die Notwendigkeit für rechenintensive Entschlüsselung beseitigen und die Netzwerkleistung verbessern.
• Erhöhte Privatsphäre: Die selektive Entschlüsselung beseitigt die Notwendigkeit, niedrigriskante Netzwerkströme zu entschlüsseln und zu analysieren.
• Reduzierter Overhead: Selektive Entschlüsselung erfordert weniger Rechenleistung als die vollständige Entschlüsselung, wodurch Kosten und Ressourcenanforderungen gesenkt werden.

Allerdings ist KI-gestützte Entschlüsselung, obwohl sie ein nützliches Werkzeug ist, nicht ohne ihre Grenzen. Ohne gute Daten und Modelle können KI-Systeme kritische Fehler machen. Darüber hinaus können Systeme falsche Positiv- oder Negativmeldungen aufweisen, was zu unnötiger Entschlüsselung oder verpassten Bedrohungen führt.

Wie sollten Sicherheitsteams diese Fähigkeiten operationalisieren?

Die KI-gestützte Analyse verschlüsselter Datenströme sollte sorgfältig eingeführt werden, um die potenziellen Auswirkungen auf die Sicherheit und die Benutzererfahrung zu minimieren. Best Practices umfassen:

• Aktivierung der verfügbaren Funktionen zur Analyse verschlüsselter Datenströme auf bestehenden Plattformen und sorgfältige Anpassung der Richtlinien.
• Erstellung von Handbüchern zur Bearbeitung von Warnmeldungen über hochriskante verschlüsselte Datenströme und deren Korrelation mit Protokollen von Endpunkten, Identitäten und Anwendungen.
• Durchführung fortlaufender Modellanpassungen, indem bestätigte Vorfälle und harmlose Fälle in das System zurückgeführt werden, um die Modelle zu verbessern.
• Klare Definition der Zuständigkeiten zwischen Netzwerk-, Sicherheits- und Compliance-Teams, wenn es um verschlüsselte Datenströme und Datenschutz geht.

Häufig gestellte Fragen zur KI-gestützten Analyse verschlüsselter Datenströme

Wie unterscheidet sich die KI-gestützte Analyse verschlüsselter Datenströme von der SSL-Dekodierung?

Die KI-gestützte Analyse verschlüsselter Datenströme versucht, bösartigen Datenverkehr ohne Dekodierung zu identifizieren, indem sie Sitzungsmetadaten und andere unverschlüsselte Informationen in einer verschlüsselten Sitzung betrachtet. Dies kann weniger rechenintensiv und invasiv sein als die vollständige SSL-Dekodierung, was es zu einer guten Option macht, um jene Sitzungen zu identifizieren, die eine tiefere Analyse des dekodierten Datenverkehrs rechtfertigen.

Ersetzt die Analyse verschlüsselter Datenströme die TLS-Inspektion?

Nein, die Analyse verschlüsselter Datenströme und die TLS-Inspektion sind komplementäre Lösungen. Durch die Identifizierung wahrscheinlich bösartiger Sitzungen ermöglicht die Analyse verschlüsselter Datenströme den Organisationen, die Notwendigkeit zu vermeiden, den gesamten Datenverkehr zu dekodieren, und sich stattdessen auf riskante Sitzungen zu konzentrieren. Dies kann die Leistung verbessern, indem der Einsatz ressourcenintensiver Dekodierung reduziert wird, und die Privatsphäre der Benutzer verbessern, ohne die Sicherheit zu gefährden.

Welche Arten von Bedrohungen lassen sich am besten mit der Analyse verschlüsselter Datenströme erkennen?

Die Analyse verschlüsselter Datenströme eignet sich am besten zur Identifizierung bösartigen Netzwerkverkehrs mit häufigen strukturellen Mustern. Häufige Anwendungsfälle umfassen die Identifizierung von Command-and-Control (C2)-Datenverkehr, Datenexfiltration, Botnet-Kommunikation und Malware.

Wie wirkt sich die KI-gestützte Analyse verschlüsselter Datenströme auf die Privatsphäre der Benutzer aus?

Die KI-gestützte Analyse verschlüsselter Datenströme beseitigt die Notwendigkeit, jede Netzwerksitzung zu dekodieren und zu inspizieren. Dies verbessert die Privatsphäre, da die in Netzwerkpaketen enthaltenen Daten, die nicht zur weiteren Überprüfung gekennzeichnet sind, niemals vom Sicherheitsgerät inspiziert werden.

Worauf sollten Organisationen bei der Evaluierung von Lösungen achten?

Die Lösungen zur Analyse von verschlüsseltem Datenverkehr sind nur so gut wie die Telemetrie, die sie sammeln und analysieren, sowie die Modelle, die sie zur Bewertung verwenden. Weitere kritische Funktionen umfassen die Abdeckung der gesamten IT-Umgebung einer Organisation und die Integration mit anderen Sicherheitswerkzeugen, idealerweise als Teil eines integrierten SSE/SASE-Einsatzes.

Wie wirken sich Sicherheitsanfälligkeiten von KI auf die Analyse von verschlüsseltem Datenverkehr aus?

KI-basierte Analysen von verschlüsseltem Datenverkehr können ein leistungsstarkes Werkzeug sein, sind jedoch auch potenziell anfällig für dieselben Bedrohungen wie andere KI-Systeme. Angreifer können Trainingsdaten vergiften oder Wege finden, um der Erkennung durch ein KI-Modell zu entkommen. Zusätzlich können blinde Flecken in der Telemetrie, die dem System zugeführt wird, und eine übermäßige Abhängigkeit von KI-Signalen zur Erkennung von bösartigem Datenverkehr dazu führen, dass Angriffe durch die Maschen schlüpfen.

Um diese Bedrohungen zu bewältigen, müssen Organisationen starke Governance-Modelle für die Analyse von verschlüsseltem Datenverkehr implementieren. Laufende Überwachung, Feedback-Schleifen und klare Richtlinien sind entscheidend, um potenzielle Risiken für das System und die Gefahr verpasster Erkennungen zu managen.

Letztendlich ist die KI-basierte Analyse von verschlüsseltem Datenverkehr ein ergänzendes Werkzeug zur TLS-Inspektion, das fundierte Hinweise zu den Netzwerkströmen gibt, die entschlüsselt werden müssen. Ein gut gestaltetes Netzwerk-Sicherheitsprogramm kombiniert TLS-Inspektion, Analysen von verschlüsseltem Datenverkehr und starke Governance.