SIEM: Herausforderungen bei der Detektion von Bedrohungen in verschlüsseltem Datenverkehr

Da Unternehmen immer mehr mobile und IoT-Geräte einsetzen und zunehmend komplexe Cloud-Architekturen einführen, sind Daten und Workflows nicht mehr auf ein statisches und sicheres Netzwerksegment beschränkt. Zudem erhöht sich der Anteil des web- und anwendungsbasierten Datenverkehrs. Ein Großteil dieses Datenverkehrs enthält vertrauliche Daten. Um dieser Änderung Rechnung zu tragen, verlassen sich Unternehmen zunehmend auf Verschlüsselung, hauptsächlich Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS), um ihre Daten während der Übertragung zu schützen.

Verschlüsselung kommt jedoch nicht nur auf Seite der Verteidiger zum Einsatz. Cyberkriminelle nutzen aktiv Verschlüsselung, um die Sicherheitserkennung zu umgehen und so der Entdeckung zu entgehen. Gartner prognostizierte im Jahr 2017, dass mehr als 70 % der Malware-Kampagnen im Jahr 2020 irgendeine Art von Verschlüsselung verwenden würden, um Malware zu verbergen (vgl. Gartner). Das WatchGuard Threat Lab hat in einem Report aus Q2 2021 veröffentlicht, dass sogar 91,5% der Malware Verschlüsselung einsetzten (vgl. WatchGuard).

Verschlüsselung auf Seiten der Angreifer kommt dabei in verschiedenen Cyber Kill Chain Phasen (vgl. Lockheed Martin Cyber-Kill-Chain) zum Einsatz. So wird beispielsweise SSL/TLS-Verschlüsselung bei der Auslieferung von Malware verwendet, indem die Malware verschlüsselt und über einen genehmigten Port gesendet wird. In der Command and Control Phase wird Verschlüsselung ebenfalls zur Tarnung der Aktivitäten eingesetzt.

Die Analyse von verschlüsseltem Datenverkehr geht jedoch mit einigen Herausforderungen einher. Der offensichtlichste Ansatz, das Entschlüsseln des Datenverkehrs, steht in Teilen im Widerspruch mit Datenschutz- und Performanzanforderungen. Der Vortrag betrachtet alternative Ansätze zur Detektion von Bedrohungen in verschlüsseltem Datenverkehr anhand konkreter Beispiele.