Cyberangriffe haben sich zu einem großen Risiko für Unternehmen und andere Organisationen entwickelt. Um Datendiebstahl, Sabotage und Erpressung vorzubeugen, nutzen viele Firmen und Behörden deshalb Sicherheitsinformations- und Ereignismanagement-Systeme (SIEM), die Cyberattacken mithilfe von Detektionsregeln bzw. Signaturen entdecken können. Forschende des Fraunhofer FKIE haben jedoch in umfangreichen Tests nachgewiesen, dass Angreifende viele solcher Signaturen leicht umgehen können. Ein neues Open-Source-System des Fraunhofer FKIE soll hier Abhilfe schaffen: Auf Basis von KI erkennt AMIDES (Adaptive Misuse Detection System) Angriffe, die klassische Signaturen übersehen. Die frei verfügbare Open-Source-Software wendet sich vor allem an größere Organisationen, die bereits über ein zentrales Sicherheitsmonitoring verfügen und dieses verbessern möchten.
Die Software führt eine Merkmalsextraktion auf Daten sicherheitsrelevanter Ereignisse durch, zum Beispiel auf der Befehlszeile neu gestarteter Programme. Mithilfe von Machine Learning werden dann Befehlszeilen erkannt, die denen ähneln, auf die die Detektionsregeln anschlagen, die aber nicht genau diese Signaturen treffen. In diesem Fall würde AMIDES einen Alarm auslösen. Der Ansatz wird als adaptive Missbrauchserkennung bezeichnet, da er sich an die Zielumgebung anpasst, indem er auf ihr Normalverhalten trainiert wird, um potenzielle Angriffe von harmlosen Ereignissen richtig zu unterscheiden. Im Rahmen eines umfangreichen Tests mit Echtdaten einer deutschen Behörde konnte AMIDES bereits evaluiert werden. Mit seiner Standardempfindlichkeit erkannte AMIDES erfolgreich 70 Prozent der Umgehungsversuche ohne Fehlalarme. In puncto Geschwindigkeit zeigten die Messungen, dass das System schnell genug für den Livebetrieb auch in sehr großen Unternehmensnetzen ist.
Download von AMIDES:
https://github.com/fkie-cad/amides
Webcode
20241203_001