IT-Sicherheitslösungen

KI allein schafft noch keine perfekte Cybersicherheit

| Autor / Redakteur: Jürgen Schreier / Peter Schmitz

Es gibt gute und schlechte Modelle der Künstlichen Intelligenz. Ein gutes KI-Modell zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann.
Es gibt gute und schlechte Modelle der Künstlichen Intelligenz. Ein gutes KI-Modell zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann. (Bild: Pexels / CC0)

Viele IT-Sicherheitslösungen schmücken sich damit, Künstliche Intelligenz zur Erkennung bisher unbekannter Bedrohungen einzusetzen. Allerdings sind solche NextGen Endpoint Security Lösungen nur bedingt echte "Allrounder". Mehrstufige IT-Security-Konzepte (inklusive KI) machen deshalb auch weiterhin Sinn.

Kaum ein Thema wird derzeit so stark diskutiert und vorangetrieben wie Künstliche Intelligenz. Fast jede IT-Sicherheitslösung schmückt sich damit, dass sie „Methoden der Künstlichen Intelligenz“ zur Erkennung bisher unbekannter Bedrohungen einsetzt. Manch einer verkündet gar das Ende aller anderen Sicherheitskomponenten. Plausibel? Oder gefährlicher Übereifer? Sophos Security Spezialist Michael Veit ordnet die bisherigen Erkenntnisse zu Künstlicher Intelligenz in Security-Systemen ein und stellt das Postulat für eine moderne, sichere IT-Struktur auf:

„Es stimmt, dass traditionelle signaturbasierte Anti-Virenprogramme keinen zuverlässigen Schutz gegen moderne Malware bieten. Die Cyberkriminellen haben mittlerweile dazugelernt und betreiben Qualitätssicherung, indem sie bei der Schadsoftware-Entwicklung überprüfen, ob die bekannten Virenscanner ihre neue Malware erkennen. Sie verändern diese dann so lange, bis kein Virenscanner mehr anschlägt. Dann haben die Kriminellen ein Zeitfenster von ein paar Minuten bis Stunden, in dem sie die Schadsoftware erfolgreich verbreiten können.

Algorithmen analysieren Eigenschaften von Dateien

Abhilfe sollen sogenannte NextGen Endpoint Security Lösungen mit Machine Learning Technologien schaffen, die Malware nicht mehr aufgrund der Ähnlichkeit mit bekannten Malwaresignaturen erkennt, sondern durch die Analyse der Eigenschaften einer Datei.

Nur – niemand hindert die Cyberkriminellen daran, sich auch Lizenzen der NextGen-Endpoint-Lösungen mit Machine Learning zu kaufen und die Malware solange zu manipulieren, bis die neue Malware auch von diesen Lösungen nicht mehr erkannt wird. Genau das haben beispielsweise die Entwickler von NotPetya gemacht, einer hochentwickelten Schadsoftware, die über den Update-Mechanismus eines ukrainischen Steuerprogramms auf Rechner aller Unternehmen gelangte, die mit der Ukraine Geschäfte machen. Weder die traditionellen Anti-Malware-Lösungen noch Machine Learning basierte Lösungen haben die Schadsoftware initial zuverlässig erkannt.

Fortgeschrittene NextGen-Endpoint Lösungen wie Intercept X von Sophos, die Dateien nicht nur vor der Ausführung untersuchen sondern Software auch während der Ausführung überwachen, haben die bösartigen Absichten von NotPetya über die Verhaltenserkennung identifiziert und aufgehalten – in diesem Fall fiel der Versuch der  bösartigen Verschlüsselung der Festplatte auf und wurde von Intercept X verhindert.

Deep Learning - performanter als signaturbasierte Programme

Trotzdem kann der Einsatz von Machine Learning – am besten in der sehr schnellen und effektiven Variante Deep Learning – die Sicherheit in Unternehmen verbessern. Ein gutes Deep-Learning-Modell ist sehr viel schneller als ein traditioneller signaturbasierter Anti-Virus, reduziert also die Systembelastung spürbar. Gleichzeitig werden viele auch unbekannte Bedrohungen erkannt. Grundvoraussetzung für eine hohe Erkennungsrate auf der einen Seite und eine niedrige False-Positive-Rate auf der anderen Seite sind neben einem leistungsfähigen KI-Modell (am besten eignen sich in der Praxis Deep Learning Modelle) auch eine große Menge an Trainingsdaten.

Sophos trainiert sein Deep Learning Modell mit praktisch allen Exemplaren von Malware sowie auch unbedenklicher Software der letzten 30 Jahre, um False-Positives zu minimieren. Neue Player im NextGen Endpoint Security Markt nutzen teils auch Machine Learning Modelle, haben jedoch wesentlich weniger Trainingsdaten zur Verfügung, was sich negativ auf die False-Positives auswirken kann.

Unternehmen vernachlässigen IoT-Sicherheit

Kundenvertrauen verspielt

Unternehmen vernachlässigen IoT-Sicherheit

23.08.18 - Eine aktuelle Studie von Trend Micro zeigt, dass Unternehmen häufig die Sicherheit ihrer IoT-Systeme vernachlässigen. Damit setzen sie vor allem das Vertrauen ihrer Kunden aufs Spiel. lesen

Es gibt auch schlechte KI-Modelle

Ein schlechtes KI-Modell kann man leicht identifizieren, wenn der Hersteller ein Testszenario vorschlägt, bei dem entweder vom Hersteller vorgegebene „Malware-Samples“ genutzt werden sollen oder wenn das Modell erst auf die Kundenumgebung trainiert werden muss. Dies ist ein Indiz für ein nicht allgemein einsetzbares KI-Modell, das praktisch erst Ausnahmen (de facto Signaturen) für eine spezielle Kundenumgebung generieren muss – was den Ansatz einer signaturlosen Technik ad absurdum führt. Zudem gibt es KI-Modelle, die schlecht skalieren und über die Zeit sehr groß und performancehungrig werden, sodass sie auf eine eigene Scan-Umgebung in der Cloud oder eine Scan-Appliance ausgelagert werden müssen.

Ein gutes Modell Künstlicher Intelligenz zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann.

Die bessere Lösung: mehrschichtige Security-Systeme (mit KI)

Wichtig ist jedoch, dass die Untersuchung bestimmter Dateitypen vor der Ausführung – ob mit oder ohne Methoden der Künstlichen Intelligenz – nur ein Baustein in einer mehrschichtigen Endpoint-Security ist. Nur etwa die Hälfte aller Schadsoftware kommt heute als ausführbare Datei ins Unternehmen (und kann somit mit Methoden der Künstlichen Intelligenz untersucht werden), die andere Hälfte der Bedrohungen kommt heute in Form von Dokumenten- und Medien-Malware sowie komplett dateilos durch infizierte Webseiten oder per Exploit.

Deshalb ist es wichtig, dass man mehrere Schichten der Security implementiert:

  • 1. Schicht – Kontrolle der Einfallswege von Malware: Dazu zählen Webfilterung, Device Control, Applikationskontrolle und Desktop/Gateway Firewall mit Netzwerk Intrusion Prevention.
  • 2. Schicht – Untersuchung vor der Ausführung: Hier werden Dateien mit Signaturen, Machine Learning oder Heuristiken untersucht.
  • 3. Schicht – Verhaltenserkennung: Hier wird bösartiges Verhalten erkannt, z.B. Ransomware/Verschlüsselungserkennung, Exploit Prevention, Schutz vor Hackertechnologien wie Schutz vor Passwortdiebstahl.
  • 4. Schicht – Automatische Reaktion: Neben der traditionellen Quarantäne und Bereinigung von Bedrohungen zählt hierzu heute auch die automatische Wiederherstellung von durch Ransomware verschlüsselten Dateien sowie die Kommunikation mit anderen Komponenten zur automatischen Eindämmung von Bedrohungen.
  • 5. Schicht – Analyse: Durch eine nachgelagerte Ursachenanalyse kann identifiziert werden, wie der Schädling eingedrungen ist, wie/ob/wohin er sich ausgebreitet hat und welche Unternehmensressourcen eventuell noch betroffen sind und bereinigt werden müssen.

Angreifer werden es immer schaffen, einzelne Mechanismen zu überwinden, dieser Aufwand steigt jedoch exponentiell bei mehreren Schutzschichten.

Deshalb sind ein Mehrschichtenansatz bei der IT-Security sowie die Kommunikation von Sicherheitskomponenten mit der Möglichkeit der automatischen Reaktion auf Bedrohungen (indem beispielsweise die Firewall oder der WLAN-Accesspoint einen infizierten Endpoint automatisch im Netzwerk isoliert) der Schlüssel zu einer modernen und wirkungsvollen IT-Sicherheit.“

Ergänzendes zum Thema
 
Algorithmische Ansätze bei Antivirensoftware

Dieser Artikel stammt von unserem Partnerportal Industry of Things.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45465927 / Monitoring und KI)