KI-basierte Firewalls

Den genetischen Code von Malware erkennen

| Autor / Redakteur: Heiko Frank / Peter Schmitz

Weil Viren immer raffinierter werden, muss man Malware daran erkennen wo sie sich nicht verändern kann – anhand ihrer DNA.
Weil Viren immer raffinierter werden, muss man Malware daran erkennen wo sie sich nicht verändern kann – anhand ihrer DNA. (Bild: Pixabay / CC0)

Firewalls werden schon seit vielen Jahren zur Absicherung von Netzwerken eingesetzt. Durch immer intelligentere und sich stetig weiterentwickelnde Angriffsmethoden müssen aber auch Firewalls sich weiterentwickeln um den Cyberkriminellen Paroli bieten zu können. Das Ziel ist dabei intelligente Systeme zu entwickeln, die mit Hilfe von KI auch versteckte Angriffe erkennen können.

Die Winterzeit ist die Hauptzeit von Infektionen und Krankheiten auf den deutschen Straßen. Besonders wenn die Ansteckungsgefahr groß ist, überlegt man es sich dann auch zweimal, ob man seinem Gegenüber zur Begrüßung die Hand gibt oder auf diese Höflichkeit lieber verzichtet. Die Wahrscheinlichkeit sich mit einem Virus zu infizieren ist oftmals hoch und Gefahrensituationen sind dabei für die meisten sehr einfach zu erkennen. Durch unsere bisherige Erfahrung von zurückliegenden Grippewellen und dem Umgang mit Erkälteten wissen wir, wie eine kranke Person aussieht und welche Symptome diese Person hat.

Die Krankheitsvorsorge und Abwehr von unbeabsichtigten Infektionen im zwischenmenschlichen Raum funktioniert dabei zwar nicht immer mit 100 prozentiger Sicherheit, aber wenn man auf die natürlichen Impulse verzichten würde und Hygienevorschriften komplett ignoriert, dann wären die meisten wohl einen Großteil ihrer Zeit krank. Prävention ist also auf jeden Fall besser als reaktiv mit Problemen umzugehen und das gilt nicht nur für die persönliche Gesundheit, sondern auch und gerade bei Netzwerken und in IT-Systemen.

Bei Firmennetzwerken gliedert sich die klassische Abwehr von Malware und Angriffen von außerhalb normalerweise in einen zweistufigen Schutz von Systemen durch eine Firewall und altbewährte Virenprogramme. Vereinfacht und bildlich gesprochen handelt es sich um einen Schutzwall und einen Polizisten, der jeden, der den Schutzwall umgehen kann abführt und vom System fernhält. In Zeiten von Digitalisierung, Industrie 4.0, vernetzten Industrieanlagen und hochkomplexen Interaktionsmustern innerhalb des Netzwerks auf der einen Seite und unterschiedlichsten Bedrohungen und ausgeklügelten Angriffsszenarien auf der anderen Seite ist dieser Schutz allerdings in vielen Fällen mehr als dürftig.

Undurchdringbare Kuppel anstatt überwindbarer Mauern

Dieses Problem wird gezielt mit einer konvergenten Firewall und mit modernen Mitteln hoch technologisierter Software gelöst. Wenn man das vereinfachte Bild des überwindbaren Schutzwalls und des Polizisten weiterführen will, benötigt man für einen besseren Schutz eine rundum undurchdringbare Kuppel, die intelligent erkennt wer das zu schützende System angreifen möchte und wer nur ungefährliche Informationen und regulären Datenaustausch anstrebt.

Neben der umfassenden Schutzwirkung bietet eine derartige Lösung dabei einen weiteren Vorteil, der von bisherigen Schutzsystemen nicht erfüllt werden kann. In bisher üblichen Sandboxen werden beispielsweise eingehende E-Mails zunächst in einer Quarantäneumgebung untersucht und erst dann an den tatsächlichen Empfänger weitergeleitet, wenn für das System klar ist, dass es sich bei den eingehenden Datenströmen um keine versteckten Angriffe handelt. Dieses Prinzip bietet zwar Schutz, nimmt aber viel Zeit in Anspruch, weil die Daten logischerweise während des Untersuchungszeitraums nicht weitergeleitet werden können. Zudem sind Angreifer und Schadsoftware auf Systeme spezialisiert und greifen gezielt einzelne Betriebssysteme an. Ein Virus, der dem ersten Empfänger nicht schadet, kann bei einer ersten Prüfung so vielleicht in das gesamte System gelangen und dann gezielt nach möglichen Opfern suchen.

Damit ein umfassender Schutz gewährleistet werden kann, sammeln intelligente System bereits über mehrere Jahre hinweg eine umfangreiche Menge an Daten und Dateien, die dann in die Firewall eingespeist und auf jedes einzelne Bit und Byte heruntergebrochen werden. Hierbei handelt es sich um bekannte Malware, Viren aber auch reguläre Dateien aus dem täglichen Datenaustausch. Die gigantische Menge an Daten wurde daraufhin bereits in über 3 Millionen Kategorien überprüft und in kleinste Bruchstücke und Codefragmente zerlegt, um herauszufinden welche Kriterien eine schadhafte Datei ausmachen. Durch diese genaue Analyse ist es möglich Malware in Echtzeit anhand der digitalen DNA zu erkennen und Angriffe in über 90 Prozent der Fälle zu verhindern.

Um diese Wirkungsweise verständlicher zu machen hilft es, wieder an die nahende Grippesaison zu denken. Ein Mediziner hat jahrelange Erfahrung im Umgang mit kranken Menschen. Durch fundiertes Fachwissen und genaues Hintergrundwissen zu jeder einzelnen Krankheit weiß ein Mediziner schon beim bloßen Anblick einer anderen Personen mit hoher Wahrscheinlichkeit genau, ob es angebracht ist jemandem bei der ersten Begegnung die Hand zu schütteln oder doch lieber einen Mundschutz zu tragen. Bei der undurchdringbaren Daten-Schutzkuppel handelt es sich aber weniger um einen herkömmlichen Arzt als eher um eine Art Supermediziner, der Personen bis auf molekulare Ebene scannen kann, um dann genau beurteilen zu können, ob eine Krankheit vorliegt, welche Symptome zu erwarten sind und wie die Krankheit am besten kuriert werden kann.

Intelligente Firewalls sind dabei keineswegs statisch konzipiert. Durch die zugrundeliegende KI sind diese in der Lage, aufgrund der bestehenden Datenbank und der eingespeisten Bedrohungen, jedes Programm zu analysieren und zu einem validen Ergebnis zu kommen. Neue Malware und Viren bauen auf bestehenden Systemen auf und ändern sich oft nur in einzelnen Angriffsvektoren. Selbst von Grund auf neu entwickelte Bedrohungen teilen einen gewissen Prozentsatz an DNA mit ihren Vorgängern. Da die KI-Systeme einerseits alle bestehenden Gefahren kennen und zugleich aufgrund der künstlichen Intelligenz stetig dazulernt, erkennen sie neue Malware bereits viele Monate bevor diese tatsächlich zu einem umgreifenden und gefährlichen Trend werden. Ein entsprechender Arzt müsste also eine Krankheit erkennen, die es noch nie gegeben hat und die noch keine Symptome verursacht, alleine aufgrund ihrer genetischen Präsenz im Patienten.

Vor allem im Umfeld der Industrie 4.0 sind KI-Firewalls dabei wegweisend und bietet den perfekten Schutz für Unternehmen. Die oftmals heterogene Landschaft an vernetzten Geräten innerhalb eines Unternehmens, die eine Vielzahl von Betriebssystemen und unterschiedlichen Geräten beinhaltet, lässt für Angreifer viel Spielraum und verletzliche Pforten. Wie beschrieben haben Sicherheitstools die auf Sandboxes basieren Schwierigkeiten hier einen effektiven Schutz zu bieten, da nicht immer jedes Betriebssystem und jede verwendete Oberfläche eines Unternehmens abgedeckt werden kann, vor allem, wenn es sich um eilige Kommunikation handelt, wie sie zum Beispiel beim Aufrufen einer Website vorkommt.

Doch worin unterscheiden sich die herkömmlichen und die auf KI-basierten Lösungen? Bei herkömmlichen Systemen kann man von Notärzten sprechen, die zu Unfällen fahren und Verletzte versorgen wo dies überhaupt noch möglich ist. Systeme mit künstlicher Intelligenz sorgen durch ihre hochintelligente und vernetzte Struktur, den Wissensvorsprung durch die tiefschürfende Analyse von Drohpotentialen und ihre lernende KI dafür, dass es gar nicht erst zu Unfällen kommt.

Über den Autor: Heiko Frank ist Senior System Engineer bei A10 Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45738845 / Firewalls)