Warum brauchen Sie statische Analyse, dynamische Analyse und maschinelles Lernen?

Nachfolgend finden Sie die drei Methoden zur Identifizierung von Bedrohungen, die im Zusammenspiel erfolgreiche Cyberangriffe verhindern können:

Dynamische Analyse

Das einzige Tool, das eine Zero-Day-Bedrohung erkennen kann

Bei der dynamischen Analyse wird eine verdächtige Datei in einer virtuellen Maschine, z. B. einer Malware-Analyseumgebung, explodiert und analysiert, um zu sehen, was sie tut. Die Datei wird danach bewertet, was sie bei der Ausführung tut, anstatt sich auf Signaturen zur Identifizierung von Bedrohungen zu verlassen. Dies ermöglicht eine dynamische Analyse zur Identifizierung von Bedrohungen, die es so noch nie gegeben hat.

Um möglichst genaue Ergebnisse zu erzielen, sollte die Probe vollen Zugriff auf das Internet haben, genau wie ein durchschnittlicher Endpunkt in einem Unternehmensnetzwerk, da Bedrohungen oft Befehl und Kontrolle benötigen, um sich vollständig zu entfalten. Als Präventionsmechanismus kann die Malware-Analyse die Verbindung zum Internet unterbinden und Antwortanrufe vortäuschen, um zu versuchen, die Bedrohung zu enttarnen.

Malware-Analyseumgebungen sind erkennbar und der Prozess ist zeitaufwendig

Um der Entdeckung zu entgehen, versuchen die Angreifer zu erkennen, ob der Angriff in einer Malware-Analyseumgebung ausgeführt wird, indem sie ein Profil des Netzwerks erstellen. Sie suchen nach Anzeichen dafür, dass sich die Malware in einer virtuellen Umgebung befindet, z. B. wenn sie zu ähnlichen Zeiten oder von denselben IP-Adressen gestartet wird, wenn es keine gültigen Benutzeraktivitäten wie Tastaturanschläge oder Mausbewegungen gibt oder wenn Virtualisierungstechnologien wie ungewöhnlich großer Speicherplatz verwendet werden. Wenn festgestellt wird, dass der Angriff in einer Malware-Analyseumgebung ausgeführt wird, wird der Angreifer die Ausführung des Angriffs einstellen. Das bedeutet, dass die Ergebnisse anfällig für jegliche Fehler in der Analyse sind. Wenn die Probe beispielsweise während der Detonation nach Hause telefoniert, der Betrieb aber unterbrochen ist, weil der Angreifer die Malware-Analyse identifiziert hat, wird die Probe nichts Böses tun und die Analyse wird keine Bedrohung identifizieren. Wenn die Bedrohung eine bestimmte Version einer bestimmten Software benötigt, um ausgeführt werden zu können, wird sie in der Malware-Analyseumgebung keine erkennbaren bösartigen Aktionen ausführen.

Es kann mehrere Minuten dauern, eine virtuelle Maschine hochzufahren, die Datei darin abzulegen, zu sehen, was sie bewirkt, die Maschine herunterzufahren und die Ergebnisse zu analysieren. Die dynamische Analyse ist zwar die teuerste und zeitaufwändigste Methode, aber sie ist auch das einzige Tool, das unbekannte oder Zero-Day-Bedrohungen effektiv aufspüren kann.

Statische Analyse

Schnelle Ergebnisse und keine Anforderungen an die Analyse

Im Gegensatz zur dynamischen Analyse wird bei der statischen Analyse der Inhalt einer bestimmten Datei untersucht, so wie er auf der Festplatte vorhanden ist, und nicht, wie er explodiert ist. Es analysiert Daten, extrahiert Muster, Attribute und Artefakte und kennzeichnet Anomalien.

Die statische Analyse ist unempfindlich gegenüber den Problemen, die die dynamische Analyse mit sich bringt. Es ist extrem effizient - es dauert nur den Bruchteil einer Sekunde - und viel kostengünstiger. Die statische Analyse kann auch für jede beliebige Datei durchgeführt werden, da es keine spezifischen Anforderungen, Umgebungen, die angepasst werden müssen, oder ausgehende Kommunikationen gibt, die von der Datei benötigt werden, damit die Analyse stattfinden kann.

Gepackte Dateien führen zu einem Verlust an Sichtbarkeit

Die statische Analyse kann jedoch relativ leicht umgangen werden, wenn die Datei gepackt ist. Während gepackte Dateien bei der dynamischen Analyse gut funktionieren, geht bei der statischen Analyse der Einblick in die eigentliche Datei verloren, da das Umpacken der Probe die gesamte Datei in Rauschen verwandelt. Was statisch extrahiert werden kann, ist so gut wie nichts.

Maschinelles Lernen

Neue Versionen von Bedrohungen, die aufgrund ihres Verhaltens mit bekannten Bedrohungen geclustert werden

Anstatt ein spezifisches Pattern-Matching durchzuführen oder eine Datei zu sprengen, analysiert maschinelles Lernen die Datei und extrahiert Tausende von Merkmalen. Diese Merkmale durchlaufen einen Klassifikator, der auch als Merkmalsvektor bezeichnet wird, um anhand der bekannten Identifikatoren zu erkennen, ob die Datei gut oder schlecht ist. Anstatt nach etwas Bestimmtem zu suchen, wird der Rechner die Datei als Teil des Clusters markieren, wenn sich ein Merkmal der Datei so verhält wie jede zuvor bewertete Gruppe von Dateien. Für gutes maschinelles Lernen sind Trainingssätze mit guten und schlechten Urteilen erforderlich, und das Hinzufügen neuer Daten oder Merkmale verbessert den Prozess und reduziert die Falsch-Positiv-Raten.

Maschinelles Lernen kompensiert das, was dynamische und statische Analysen nicht können. Eine Probe, die inert ist, nicht detoniert, durch einen Packer verkrüppelt ist, keine Befehls- und Kontrollfunktionen hat oder nicht zuverlässig ist, kann mit maschinellem Lernen dennoch als bösartig identifiziert werden. Wenn zahlreiche Versionen einer bestimmten Bedrohung gesichtet und in Clustern zusammengefasst wurden und eine Probe Merkmale aufweist, die denen des Clusters ähneln, geht der Rechner davon aus, dass die Probe zu dem Cluster gehört und markiert sie innerhalb von Sekunden als bösartig.

Nur in der Lage, mehr von dem zu finden, was bereits bekannt ist

Wie die beiden anderen Methoden sollte auch das maschinelle Lernen als ein Werkzeug mit vielen Vorteilen, aber auch einigen Nachteilen betrachtet werden. Das maschinelle Lernen trainiert das Modell nämlich nur auf der Grundlage bekannter Identifikatoren. Im Gegensatz zur dynamischen Analyse wird das maschinelle Lernen nie etwas wirklich Originelles oder Unbekanntes finden. Wenn die Maschine auf eine Bedrohung stößt, die so gar nicht nach etwas aussieht, was sie schon einmal gesehen hat, wird sie sie nicht kennzeichnen, da sie nur darauf trainiert ist, mehr von dem zu finden, was bereits bekannt ist.

Mehrschichtige Techniken in einer Plattform

Um alles zu vereiteln, was fortschrittliche Gegner Ihnen vorwerfen, brauchen Sie mehr als nur ein Teil des Puzzles. Sie brauchen mehrschichtige Techniken - ein Konzept, das früher eine Multivendor-Lösung war. Defense in Depth ist zwar nach wie vor sinnvoll und relevant, muss aber über herstellerübergreifende Einzellösungen hinausgehen und zu einer Plattform weiterentwickelt werden, die statische Analyse, dynamische Analyse und maschinelles Lernen integriert. Wenn alle drei zusammenarbeiten, kann Defense in Depth durch integrierte Lösungen realisiert werden.

Palo Alto Networks Next-Generation Security Platform ist mit dem Cloud-basierten Bedrohungsanalysedienst WildFire^® integriert, um Komponenten mit kontextbezogener, umsetzbarer Threat Intelligence zu versorgen und so die Sicherheit im Netzwerk, am Endpunkt und in der Cloud zu erhöhen. WildFire kombiniert eine maßgeschneiderte dynamische Analyse-Engine, statische Analyse, maschinelles Lernen und Bare-Metal-Analyse für fortschrittliche Techniken zur Bedrohungsprävention. Während viele Malware-Analyseumgebungen auf Open-Source-Technologie zurückgreifen, hat WildFire die gesamte Open-Source-Virtualisierung innerhalb der dynamischen Analyse-Engine entfernt und durch eine von Grund auf neu entwickelte virtuelle Umgebung ersetzt. Angreifer müssen ganz eigene Bedrohungen entwickeln, um die Erkennung in WildFire zu umgehen, unabhängig von den Techniken, die gegen andere Anbieter von Cybersicherheitslösungen eingesetzt werden. Für den geringen Prozentsatz der Angriffe, die die ersten drei Verteidigungsschichten von WildFire - dynamische Analyse, statische Analyse und maschinelles Lernen - umgehen könnten, werden Dateien, die ein ausweichendes Verhalten zeigen, dynamisch in eine Bare-Metal-Umgebung zur vollständigen Hardware-Ausführung geleitet.

Innerhalb der Plattform arbeiten diese Techniken nichtlinear zusammen. Wenn eine Technik eine Datei als bösartig identifiziert, wird sie auf der gesamten Plattform als solche vermerkt. So entsteht ein mehrschichtiger Ansatz, der die Sicherheit aller anderen Funktionen verbessert.