vchalup - stock.adobe.com
Mit KI und Machine Learning Bedrohungen erkennen
Machine Learning und KI stehen bei Marketing-Strategen im Security-Bereich derzeit hoch im Kurs. Aber wie sorgen die Technologien in der Praxis tatsächlich für mehr Sicherheit?
Der Einsatz von künstlichen Intelligenzen (KI) und insbesondere von Maschinellem Lernen in der Netzwerksicherheit helfen Unternehmen zunehmend, sich vor APTs (Advanced Persistent Threats) und anderen ausgefeilten modernen Angriffen zu schützen.
Im Laufe der vergangenen Jahre hat sich der Kampf zwischen den IT-Abteilungen in Unternehmen und Cyberkriminellen deutlich verschärft. So verwenden die Angreifer jetzt viele neue Methoden. Ein typisches Beispiel dafür ist sich kontinuierlich anpassender Code, außerdem verändern sie fortlaufend den Standort ihrer C&C-Server (Command and Control) und nutzen vermehrt evasive Methoden, um nicht entdeckt zu werden. Mit diesen und anderen innovativen Wegen versuchen sie, weiterhin erfolgreich Endpoints in Unternehmen zu verseuchen.
Das hat dazu geführt, dass die früher bewährte Methode der signaturbasierten Erkennung von Schädlingen eine geringere Rolle als in der Vergangenheit spielt. Viele Unternehmen gehen aber trotzdem immer noch davon aus, dass die von ihnen eingesetzten Lösungen zum Schutz der Endpoints auch bislang unbekannte Malware und selbst neue Schädlinge identifizieren und blockieren können. Das ist aber nicht in mehr in jedem Fall so, wenn die Malware zum Beispiel extra so entwickelt wurde, dass sie nicht entdeckt werden kann. Security-Anbieter müssen deswegen neue Wege finden, um moderne Angriffe zu stoppen.
Schon früher gab es immer wieder Fortschritte und Weiterentwicklungen wie etwa von einer rein signaturbasierten Identifikation von Schädlingen zu einer Erkennung auf Basis von heuristischen Methoden. Dabei wird keine exakte Deckungsgleichheit mit einem schon früher entdeckten Malware-Sample mehr benötigt, sondern nur noch eine ungefähre Übereinstimmung bestimmter Eigenarten. Weil aber auch Malware-Entwickler Zugriff auf alle aktuell verfügbaren Produkte zum Schutz der Endpoints haben, bleiben sie im Vorteil: Sie können ihre aktuellen Erzeugnisse jederzeit gegen die in Unternehmen eingesetzten Verteidigungsmaßnahmen testen. So ist es ihnen immer wieder gelungen, ihre Erzeugnisse so weiterzuentwickeln, dass sie jedes Mal anders aussieht und heuristische Methoden sie kaum noch erkennen können.
Bisher übliche Verfahren zur Identifizierung neuer Malware, die auf der Arbeit Hunderter Spezialisten in den Labors der Antiviren-Hersteller basieren, reichen nicht mehr aus, um aktuelle Angriffe zu identifizieren, da sie nahezu jedes Mal komplett anders aussehen.
Hier kommen nun künstliche Intelligenz und Maschinelles Lernen ins Spiel, die eine Möglichkeit bieten, die Lage wieder zu Gunsten der Unternehmen zu verändern.
Wie Machine Learning die Sicherheit von Netzwerken verbessert
Beide Begriffe, also sowohl Künstliche Intelligenz als auch Maschinelles Lernen, klingen ein wenig wie Marketing-Phrasen, die nur dazu entwickelt wurden, um die Aufmerksamkeit der Kunden zu gewinnen. In Wahrheit haben sie aber tatsächlich die Fähigkeiten der Produkte verbessert, bei denen sie in den vergangenen Jahren hinzugefügt wurden.
Sehen wir uns doch einmal an, was Maschinelles Lernen genau ist und wie die Technik im Umfeld der Endpoint-Security eingesetzt werden kann: Machine Learning gehört zum großen Feld der künstlichen Intelligenz. Die Technik soll es einem Computer ermöglichen, selbst die Antworten auf bestimmte Fragen zu finden, ohne dass dazu ein Mensch eingreifen muss. Im Bereich der Endpoint-Sicherheit ist die Frage, die es zu beantworten gilt, sehr einfach: „Ist dies schädlich?“
Vor dem Einsatz von Machine Learning zur Verbesserung der Sicherheit in Netzwerken mussten Menschen definieren, auf was geachtet werden soll, welche Verbindungen als schädlich eingestuft werden, wie die Daten analysiert werden und welche Daten überhaupt dazu genutzt werden sollen. Erschwerend kam hinzu, dass diese Definitionen laufend angepasst werden mussten. Beim Einsatz von Maschinellem Lernen in der Netzwerksicherheit kann dagegen ein einzelner Computer viel größere Datensätze untersuchen, als es einem Menschen möglich wäre. Dabei kann er relevante Daten herausfiltern, Verhaltensweisen, Angriffsmethoden und andere wichtige Informationen analysieren und sich gleichzeitig dabei selbst beibringen, was harmlos und was schädlich ist.
Im Großen und Ganzen gibt es zwei Bereiche, auf die sich Machine Learning bei der Absicherung der Endpoints in Unternehmen konzentriert:
- Artefakte: Dabei handelt es sich um wesentliche Elemente und Bestandteile, die bei einem Angriff eingesetzt werden. Beispiele für diese Artefakte sind etwa ein Attachment bei einer Phishing-Mail oder nachträglich heruntergeladener Code.
- Verhalten: Damit sind häufiger anzutreffende Vorgehensweisen bei einem Angriff gemeint. Aktuelle Malware wird zwar so konstruiert, dass keine zwei Dateien sich ähneln. Auf der anderen Seite gibt es aber bestimmte Aktionen, die zur Infektion eines Systems verwendet werden müssen. Das liegt daran, dass es nur eine begrenze Zahl an Möglichkeiten gibt, um ein System zu infizieren. Zu diesen wiederkehrenden Aktionen zählen zum Beispiel die Kontaktaufnahme mit einem C&C-Server, das Nachladen von weiterem Schadcode und das Abspeichern von Dateien in bestimmten Verzeichnissen sowie Versuche, sie auszuführen.
Maschinelles Lernen in der Netzwerksicherheit: Ein neuer mächtiger Schutz
Einer der wichtigsten Gründe für den Einsatz von Machine Learning zum Schutz der Endpunkte ist jedoch, dass damit dem Client selbst ermöglicht wird, Angriffe mit so minimaler Unterstützung wie möglich zu identifizieren. Die Technik mag zwar noch nicht perfekt sein, Sie werden jedoch nachts deutlich ruhiger schlafen, wenn Sie über einen intelligenten Schutz für Ihre IT-Umgebung verfügen, der nicht nur beobachtet, sondern auch noch laufend dazulernt.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!