Olivier Le Moal - stock.adobe.co
Cyberattacken: KI erhöht die Trefferquote beim Erkennen
Maschinelles Lernen macht Security-Lösungen bei der Anomalie-Erkennung schneller und treffsicherer. Der Einsatz von KI kann aber auch zum Risiko werden – und stößt noch an Grenzen.
Der Security-Anbieter Cylance nutzte die BlackHat-Konferenz 2017 für eine Umfrage. Bei der schätzten 62 der 100 befragten Sicherheitsexperten, dass Hacker künstliche Intelligenz (KI) künftig offensiv nutzen werden. Das Entwickeln und Anwenden von Algorithmen ist jedoch teuer, weshalb sich der Kreis der Verdächtigen auf große, gut organisierte Banden oder staatlich geförderte Cyberkriminelle beschränken sollte. Dennoch besteht kein Anlass, sich zurückzulehnen. Auch Unternehmen sollten sich mit KI beschäftigen, wenn sie ihre IT effizienter schützen wollen. Die Technologie liefert wertvolle Unterstützung in einer Zeit, in der Angriffsszenarien immer ausgefeiltere Züge annehmen.
So sind Schadcodes heute oft Unikate, die vor jedem Einsatz verändert werden, weshalb es schwieriger wird, Malware zu entdecken. Beim sogenannten Sandboxing wird die eingehende Datei zunächst in eine virtuelle Testumgebung – die Sandbox – umgeleitet und dort ausgeführt. Beobachtet das System verdächtige Aktionen, schlägt es Alarm und stellt die Datei gar nicht erst dem Benutzer zu.
Machine Learning (maschinelles Lernen, ML), eine Teildisziplin der KI, kann eine Sandbox effizienter machen und ihre Treffsicherheit erhöhen. ML errechnet anhand bestimmter Attribute, mit welcher Wahrscheinlichkeit eine Datei in die Kategorie Malware gehört. Dafür vergleicht sie die Kombination der Attribute mit der von bisher entdeckten Schädlingen. Gibt es eine hohe Übereinstimmung, widmet ML der Datei mehr Aufmerksamkeit und prüft diese genauer oder klassifiziert sie direkt als Malware.
KI gleich Maschinenlernen?
Sandboxing ist nur ein Beispiel, wie KI die Cybersicherheit erhöht. Allgemein definiert der Begriff KI Computersysteme, die selbstständig Probleme lösen, weil es ihnen gelingt, auf irgendeine Art und Weise menschliche Intelligenz abzubilden. Die Technologie liegt voll im Trend, wobei an ihr seit den 50er Jahren geforscht wird. Den KI-Durchbruch beschleunigten vor allem zwei Faktoren: Heute steht leistungsfähige Hardware bereit, die das immense Datenwachstum, den zweiten Antreiber, verarbeiten kann.
Im selben Atemzug wie KI werden oft die Begriffe Machine Learning und Deep Learning (DL) genannt. Richtig ist, dass KI auf ML aufbaut. Experten verwenden ML als Obergriff für mathematische Techniken, die es einem Computersystem ermöglichen, selbstständig aus Erfahrungen zu lernen.
Ein Algorithmus kann zum Beispiel anhand von Big-Data-Analysen Prognosen für die Zukunft erstellen. Deep Learning ist ein Teilbereich des maschinellen Lernens. Es verwendet künstliche neuronale Netze, die unserem Gehirn nachempfunden sind. Ein einfaches neuronales Netz besteht aus einer Eingabeschicht, einer Zwischenschicht und einer Ausgabeschicht. Je mehr Zwischenschichten es umfasst, desto komplexere Aufgaben kann es lösen. Neuronale Netze sind in der Lage, anhand der Eingabedaten selbstständig Muster zu erkennen, Regeln aufzustellen, Lösungen zu entwickeln und aus Fehlern zu lernen. Damit das funktioniert, müssen sie jedoch für ihre Aufgabe trainiert werden – mit Daten. Text- und Bilderkennung sind die heute gängigsten Einsatzszenarien für das Tiefenlernen.
Intelligent aufgerüstete Sicherheitslösungen
Sobald in der Cybersicherheit große Datenmengen ins Spiel kommen, ist es sinnvoll, über das Einbinden von ML oder DL nachzudenken. Genau das tun Hersteller wie Cisco, McAfee, IBM, Darktrace oder Vectra, die ihre Lösungen technisch aufrüsten. So haben sich intelligente Maschinen bei Anti-Spam-Lösungen etabliert, weil sie Daten effizienter als herkömmliche Spam-Filter auswerten.
Einen anderen bewährten Anwendungsfall stellt ein Security Information and Event Management (SIEM) dar. Ein ML-basiertes System clustert und analysiert aufgezeichnete Events und erkennt darin verdächtigte Muster. Zudem lassen sich Virenscanner, Web Application Firewall (WAF) sowie Intrusion Detection and Prevention Systems (IDS/IPS) in ihrer Wirksamkeit schärfen. IDS/IPS durchforsten den Netzwerkverkehr nach Anomalien. Eine solche wäre, wenn nachts große Datenmengen nach China geschickt werden, obwohl die Mitarbeiter nur von 9 bis 18 Uhr arbeiten. Neuronale Netze verwenden Attribute und ihre Kombination, um normales und anormales Verhalten zu unterscheiden. Die dabei gesammelten Erfahrungen machen die Systeme immer treffsicherer.
„Trotz des Risikos und der Manipulationsgefahr, die sich Unternehmen bewusst machen sollten, überwiegt eindeutig der Nutzen bei ML- und DL-Anwendungen in der Cybersicherheit.“
Ben Kröger, Axians IT Security
Allerdings ist ein vielschichtiges neuronales Netz intransparent. Es lässt sich nicht nachvollziehen, wie seine Entscheidung zustande kommt. Liegt das DL-System falsch, fällt das erst einmal niemandem auf. Dieses Dilemma stellt ein Risiko dar, das sich nicht ganz ausschalten lässt. Jedoch liegt im richtigen Training der Systeme der Schlüssel, um so einen Fehler wie er in der Krebsdiagnostik die Runde machte, zu vermeiden. Ein Algorithmus erkannte hierbei einen bösartigen Tumor nur, wenn ein Lineal in einer Röntgenaufnahme auftauchte. Er hatte beim Training gelernt, dass das Lineal, das Ärzte zum Messen des Tumors verwenden, mit einer Krebserkrankung gleichzusetzen ist – den Tumor selbst erkannte er jedoch nicht.
Den Endpunkt und die Firewall-Grenze im Blick
Trotz des Risikos und der Manipulationsgefahr, die sich Unternehmen bewusst machen sollten, überwiegt eindeutig der Nutzen bei ML- und DL-Anwendungen in der Cybersicherheit. Solange riesige Datenmengen anfallen, eignen sich intelligente Maschinen für das schnelle Analysieren und Erkennen von verdächtigen Mustern. Auf diese Weise arbeiten Spam-Filter, Malware-Erkennung oder Netzwerkverkehrsanalyse wesentlich effizienter – ein Administrator oder eine IT-Abteilung könnte das so nicht leisten, erst recht nicht in Echtzeit. KI wird sich daher zu einem festen Bestandteil von Sicherheitslösungen entwickeln.
Mit Endpoint Security, die direkt am Endgerät und nicht im Netzwerk ansetzt, rückt bereits das nächste Anwendungsgebiet in den Fokus. Denn immer mehr findet der Datentransfer verschlüsselt statt, so dass die Daten im Netz nicht analysiert werden können. ML- und DL-Systeme scheiden hingegen für Anwendungen aus, bei denen noch menschlicher Sachverstand gefragt ist. So ist die Technik in der Firewall-Administration derzeit nicht fähig zu entscheiden, welche Ports für welchen Traffic freizuschalten sind oder auch nicht.
Über den Autor:
Ben Kröger leitet den Professional Service bei Axians IT Security.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.