Suchen

IT-Sicherheitslösungen

KI allein schafft noch keine perfekte Cybersicherheit

| Redakteur: Jürgen Schreier

Viele IT-Sicherheitslösungen schmücken sich damit, Künstliche Intelligenz zur Erkennung bisher unbekannter Bedrohungen einzusetzen. Allerdings sind solche NextGen Endpoint Security Lösungen nur bedingt echte "Allrounder". Mehrstufige IT-Security-Konzepte (inklusive KI) machen deshalb auch weiterhin Sinn.

Firmen zum Thema

Es gibt gute und schlechte Modelle der Künstlichen Intelligenz. Ein gutes KI-Modell zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann.
Es gibt gute und schlechte Modelle der Künstlichen Intelligenz. Ein gutes KI-Modell zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann.
( Bild: Pexels / CC0 )

Kaum ein Thema wird derzeit so stark diskutiert und vorangetrieben wie Künstliche Intelligenz. Fast jede IT-Sicherheitslösung schmückt sich damit, dass sie „Methoden der Künstlichen Intelligenz“ zur Erkennung bisher unbekannter Bedrohungen einsetzt. Manch einer verkündet gar das Ende aller anderen Sicherheitskomponenten. Plausibel? Oder gefährlicher Übereifer? Sophos Security Spezialist Michael Veit ordnet die bisherigen Erkenntnisse zu Künstlicher Intelligenz in Security-Systemen ein und stellt das Postulat für eine moderne, sichere IT-Struktur auf:

„Es stimmt, dass traditionelle signaturbasierte Anti-Virenprogramme keinen zuverlässigen Schutz gegen moderne Malware bieten. Die Cyberkriminellen haben mittlerweile dazugelernt und betreiben Qualitätssicherung, indem sie bei der Schadsoftware-Entwicklung überprüfen, ob die bekannten Virenscanner ihre neue Malware erkennen. Sie verändern diese dann so lange, bis kein Virenscanner mehr anschlägt. Dann haben die Kriminellen ein Zeitfenster von ein paar Minuten bis Stunden, in dem sie die Schadsoftware erfolgreich verbreiten können.

Algorithmen analysieren Eigenschaften von Dateien

Abhilfe sollen sogenannte NextGen Endpoint Security Lösungen mit Machine Learning Technologien schaffen, die Malware nicht mehr aufgrund der Ähnlichkeit mit bekannten Malwaresignaturen erkennt, sondern durch die Analyse der Eigenschaften einer Datei.

Nur – niemand hindert die Cyberkriminellen daran, sich auch Lizenzen der NextGen-Endpoint-Lösungen mit Machine Learning zu kaufen und die Malware solange zu manipulieren, bis die neue Malware auch von diesen Lösungen nicht mehr erkannt wird. Genau das haben beispielsweise die Entwickler von NotPetya gemacht, einer hochentwickelten Schadsoftware, die über den Update-Mechanismus eines ukrainischen Steuerprogramms auf Rechner aller Unternehmen gelangte, die mit der Ukraine Geschäfte machen. Weder die traditionellen Anti-Malware-Lösungen noch Machine Learning basierte Lösungen haben die Schadsoftware initial zuverlässig erkannt.

Fortgeschrittene NextGen-Endpoint Lösungen wie Intercept X von Sophos, die Dateien nicht nur vor der Ausführung untersuchen sondern Software auch während der Ausführung überwachen, haben die bösartigen Absichten von NotPetya über die Verhaltenserkennung identifiziert und aufgehalten – in diesem Fall fiel der Versuch der  bösartigen Verschlüsselung der Festplatte auf und wurde von Intercept X verhindert.

Deep Learning - performanter als signaturbasierte Programme

Trotzdem kann der Einsatz von Machine Learning – am besten in der sehr schnellen und effektiven Variante Deep Learning – die Sicherheit in Unternehmen verbessern. Ein gutes Deep-Learning-Modell ist sehr viel schneller als ein traditioneller signaturbasierter Anti-Virus, reduziert also die Systembelastung spürbar. Gleichzeitig werden viele auch unbekannte Bedrohungen erkannt. Grundvoraussetzung für eine hohe Erkennungsrate auf der einen Seite und eine niedrige False-Positive-Rate auf der anderen Seite sind neben einem leistungsfähigen KI-Modell (am besten eignen sich in der Praxis Deep Learning Modelle) auch eine große Menge an Trainingsdaten.

Sophos trainiert sein Deep Learning Modell mit praktisch allen Exemplaren von Malware sowie auch unbedenklicher Software der letzten 30 Jahre, um False-Positives zu minimieren. Neue Player im NextGen Endpoint Security Markt nutzen teils auch Machine Learning Modelle, haben jedoch wesentlich weniger Trainingsdaten zur Verfügung, was sich negativ auf die False-Positives auswirken kann.

Es gibt auch schlechte KI-Modelle

Ein schlechtes KI-Modell kann man leicht identifizieren, wenn der Hersteller ein Testszenario vorschlägt, bei dem entweder vom Hersteller vorgegebene „Malware-Samples“ genutzt werden sollen oder wenn das Modell erst auf die Kundenumgebung trainiert werden muss. Dies ist ein Indiz für ein nicht allgemein einsetzbares KI-Modell, das praktisch erst Ausnahmen (de facto Signaturen) für eine spezielle Kundenumgebung generieren muss – was den Ansatz einer signaturlosen Technik ad absurdum führt. Zudem gibt es KI-Modelle, die schlecht skalieren und über die Zeit sehr groß und performancehungrig werden, sodass sie auf eine eigene Scan-Umgebung in der Cloud oder eine Scan-Appliance ausgelagert werden müssen.

Ein gutes Modell Künstlicher Intelligenz zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann.

Die bessere Lösung: mehrschichtige Security-Systeme (mit KI)

Wichtig ist jedoch, dass die Untersuchung bestimmter Dateitypen vor der Ausführung – ob mit oder ohne Methoden der Künstlichen Intelligenz – nur ein Baustein in einer mehrschichtigen Endpoint-Security ist. Nur etwa die Hälfte aller Schadsoftware kommt heute als ausführbare Datei ins Unternehmen (und kann somit mit Methoden der Künstlichen Intelligenz untersucht werden), die andere Hälfte der Bedrohungen kommt heute in Form von Dokumenten- und Medien-Malware sowie komplett dateilos durch infizierte Webseiten oder per Exploit.

Deshalb ist es wichtig, dass man mehrere Schichten der Security implementiert:

  • 1. Schicht – Kontrolle der Einfallswege von Malware: Dazu zählen Webfilterung, Device Control, Applikationskontrolle und Desktop/Gateway Firewall mit Netzwerk Intrusion Prevention.
  • 2. Schicht – Untersuchung vor der Ausführung: Hier werden Dateien mit Signaturen, Machine Learning oder Heuristiken untersucht.
  • 3. Schicht – Verhaltenserkennung: Hier wird bösartiges Verhalten erkannt, z.B. Ransomware/Verschlüsselungserkennung, Exploit Prevention, Schutz vor Hackertechnologien wie Schutz vor Passwortdiebstahl.
  • 4. Schicht – Automatische Reaktion: Neben der traditionellen Quarantäne und Bereinigung von Bedrohungen zählt hierzu heute auch die automatische Wiederherstellung von durch Ransomware verschlüsselten Dateien sowie die Kommunikation mit anderen Komponenten zur automatischen Eindämmung von Bedrohungen.
  • 5. Schicht – Analyse: Durch eine nachgelagerte Ursachenanalyse kann identifiziert werden, wie der Schädling eingedrungen ist, wie/ob/wohin er sich ausgebreitet hat und welche Unternehmensressourcen eventuell noch betroffen sind und bereinigt werden müssen.

Angreifer werden es immer schaffen, einzelne Mechanismen zu überwinden, dieser Aufwand steigt jedoch exponentiell bei mehreren Schutzschichten.

Deshalb sind ein Mehrschichtenansatz bei der IT-Security sowie die Kommunikation von Sicherheitskomponenten mit der Möglichkeit der automatischen Reaktion auf Bedrohungen (indem beispielsweise die Firewall oder der WLAN-Accesspoint einen infizierten Endpoint automatisch im Netzwerk isoliert) der Schlüssel zu einer modernen und wirkungsvollen IT-Sicherheit.“

Algorithmische Ansätze bei Antivirensoftware

Antivirenprogramm mit KI basieren vielfach auf Deep Learning, einer besonderen Ausprägung künstlicher neuronaler Netzwerke. Zahlreiche Zwischenlagen (sogenannte hidden layers) zwischen Eingabe- und Ausgabeschicht sorgen für ein sehr komplexe innere Struktur. Solche Systeme werden in der Regel zunächst in einer "Laborumgebung" trainiert, sprich mit allen relevanten Daten und Informationen gefüttert. Die Künstliche Intelligenz wird dabei mit allen bisher bekannten Malware-Samples vertraut gemacht. Als Antivirenprogramm beginnt die Künstliche Intelligenz dann direkt eingehende Bedrohungen zu analysieren und erweitert ihre Leistungsfähigkeit kontinuierlich. Dadurch ist eine KI-basiertes Cybersecurity-Lösung in der Lage, auch ohne Updates vom Hersteller neue Bedrohungen zu erkennen. Somit können solche Lösungen oftmals auch Zero-Day-Exploits finden und melden.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45463691)

Screenshot / Trend Micro; gemeinfrei; Pixabay; Pexels; Fraunhofer IWM; Fraunhofer-IOSB; ©strichfiguren.de - stock.adobe.com; gemeinfrei - Pete Linforth/Pixabay; Moleskine; Siemens Healthineers; Palo Alto Networks