Endgeräte-Sicherheit für Unternehmen

Machine Learning und KI in der Endpoint Security

| Autor / Redakteur: Stefan Mutschler / Peter Schmitz

Neue Ansätze nutzen maschinelles Lernen und selbsttrainierende KI-Modelle, um das Schadrisiko von ausführbarem Code zu berechnen und zu entscheiden, ob eine Datei gefährlich ist.
Neue Ansätze nutzen maschinelles Lernen und selbsttrainierende KI-Modelle, um das Schadrisiko von ausführbarem Code zu berechnen und zu entscheiden, ob eine Datei gefährlich ist. (© TippaPatt - stock.adobe.com)

Herkömmliche Endpoint-Security-Lösungen sind Mangels Gedächtnis und Fähigkeit zur Zu­sam­men­arbeit mit anderen Elementen der Security gegenüber vielschichtigen, langfristig an­ge­setz­ten Angriffen machtlos. Kooperative Lösungen mit Gedächtnis sollen im Verbund mit Tech­no­lo­gien wie Big-Data-Analysen, Machine Learning (ML) und Künstlicher Intelligenz (KI) eine wirkungsvolle Verteidigung bilden.

Das Grundprinzip der meisten Security-Lösungen für Endpoints beziehungsweise der gesamten IT beruht auf der Erkennung bereits bekannter Angriffsmuster beziehungsweise Angriffs-Codes oder der Überschreitung definierter Schwellwerte. Ein Angreifer muss also mindestens einmal erfolgreich zugeschlagen haben, bevor die entsprechende Signatur in die Datenbanken der Security-Anbieter einfließen und dort erfolgreiche Abwehr leisten kann. Die Praxis zeigt, dass beispielsweise Malware bis heute regelmäßig sehr viele Geräte infiziert – trotz Updates von Signaturen und Virendefinitionen im Minutentakt, wie inzwischen oft üblich.

Konventionelle Abwehrmethoden

Schon lange gibt es den Gedanken, Angreifer auf Basis einer Verhaltensanalyse ihres Codes zu überführen. Entsprechende „Heuristik“-Optionen in den Endpoint-Lösungen für Privatanwender bieten hier jedoch nur sehr begrenzte Möglichkeiten mit geringem Wirkungsgrad. Professionelle Unternehmenslösungen schleusen jeglichen Code oft durch eine isolierte Ausführungsumgebung (Demilitarisierte Zone, kurz DMZ), um verdächtiges Verhalten gründlich zu untersuchen. Tatsächlich kann dieses „Sandboxing“ die Erfolgsrate bei der Identifikation von Schadsoftware deutlich verbessern, gegen moderne Mehrkanalangriffe etwa, deren einzelne Komponenten für sich genommen harmlos daher kommen, ist jedoch auch dieses Verfahren machtlos. Eine Sandbox hat keine Mittel, um zu erkennen, dass eine gerade für unschädlich befundene Software im Verbund mit einem oder mehreren schon früher als unbedenklich eingestuften Codes sehr wohl massiven Schaden anrichten kann.

Neue technologische Ansätze

Aktuelle Angriffswellen mit solchen mehrstufigen, auf einen langen Zeitraum ausgelegten APTs (Advanced Persistant Threats) und hochentwickelter Malware wie Ransomware, Backdoors und Remote-Access-Trojanern beweisen, dass trotz hohem technischen Aufwand viele Angriffe erfolgreich sind und damit konventionelle Abwehrmethoden überfordert sind. Neue technologische Ansätze gehen einen anderen Weg auf Basis von Algorithmen und vorhersagenden, statistischen Methoden. Sie nutzen maschinelles Lernen und selbsttrainierende KI (künstliche Intelligenz), um das Schadrisiko von ausführbarem Code zu berechnen und dann zu entscheiden, ob eine Datei sicher ist und ausgeführt werden kann oder in Quarantäne gestellt werden muss. Die Algorithmen werden befähigt, Verhalten nicht nur auf Basis eines Status Quo zu analysieren, sondern auch aus den Ergebnissen zu lernen.

Die Idee ist zwar auch nicht neu, aber es gab in den letzten Jahren große Entwicklungsschübe, die nicht zuletzt durch die breite Verfügbarkeit elastischer Clouds möglich wurden. Die bedarfsgerechte Bereitstellung zum Teil extrem hoher Rechenleistung ist eine der Grundanforderungen für die praktische Umsetzung der moderneren KI-Lösungen. Die entsprechenden Anbieter zerlegen ausführbare Dateien zunächst in eine große Zahl einzelner Merkmale in der Größenordnung von bis zu mehreren Millionen. Das ist soweit auch bei signaturbasierten Lösungen üblich und die Security-Anbieter sind oft ganz stolz auf ihre über die Jahre gesammelte und extrahierte „Malware-DNA“.

Lernfähige Algorithmen

Die Verarbeitung dieser Merkmale geschieht nun jedoch nicht mehr über einen statischen 1:1-Vergleich mit den schon gesammelten, einschlägigen Signaturen, sondern über bestimmte, maschinenlernfähige Algorithmen, also mathematische Modelle, die eine Prozedur geeigneter Vorgehensweisen beschreiben (vergleichbar einer Formel). Hier entsteht der enorme Bedarf an Rechenleistung, denn der Untersuchungsaufwand ist hier um ein Vielfaches höher als beim simplem 1:1-Abgleich. Der Lohn dafür ist allerdings eine im Vergleich zu signaturbasierten Lösungen erheblich höhere Erkennungsquote von Malware und das - so behaupten zumindest die einschlägigen Anbieter solcher Verfahren – auch bei bisher noch nicht bekannten Angriffsformen. Zudem gäbe es auch erheblich weniger Fehlalarme.

Ganz ohne Updates kommen jedoch aber auch solche KI-Lösungen nicht aus. Anstelle der Signaturen müssen die mathematischen Modelle regelmäßig erneuert werden, der Zyklus betrage aber den Angaben zufolge nicht Minuten, sondern eher Monate. Erst dann soll sich allmählich die Wirksamkeit der mathematischen Modelle abbauen. In dieser Zeit lassen die Hersteller ihre Modelle auf Basis der inzwischen neu gefundenen Merkmale „dazulernen“. Die aktualisierten Algorithmen kommen dann per Update-Prozess.

Schwachstellen und Risiken mit KI-Lösungen

Sicher bedeuten die nun vermehrt angebotenen, modernen KI-Lösungen einen enormen Schub für die Wirksamkeit von Schutzsoftware. Ein paar Probleme bleiben aber ohne weitere technische Maßnahmen weiterhin bestehen. So ist beispielsweise die Schutzfunktion solcher KI-Lösungen bei langfristig angelegten Mehrkanal-APTs fraglich, denn eine Korrelation mit früheren Ereignissen und Vorfällen an anderen Stellen (beispielsweise IPS- oder Firewall-Instanz) findet bisher noch kaum statt. Ohne ein entsprechendes Langzeitgedächtnis für IT-Security über alle Funktionen und Verfahren hinweg mit entsprechender Big-Data-Analyse dürften auch KI-Lösungen hier nur bedingt erfolgreich sein.

Ein weiteres Problem sind verschlüsselte und komprimierte Dateien. Werden diese für die algorithmenbasierte Analyse nicht vollständig entpackt, bleibt die Analyse weitgehend wertlos. Erst wenige Lösungen beherrschen das vollständige Entpacken und Entschlüsseln.

Eine bisher noch kaum einschätzbare Gefahr mit KI-bezogenen Schutzlösungen ist die Tatsache, dass auch die Angreifer KI-Techniken nutzen. Sicher ist nur: Sie werden es tun. Dann würde also KI gegen KI kämpfen. Was bei einem solchen Krieg der Algorithmen herauskommt, weiß heute niemand.

Dieser Text stammt aus dem Security-Insider Kompendium „Endpoint & Mobile Device Security“.

Kompendium „Endpoint & Mobile Device Security“

Endpoint & Mobile Device SecurityDie kontinuierlich fortschreitende Digitalisierung der deutschen Wirtschaft fordert die IT-Sicherheit zunehmend heraus. Der einzelne Endpunkt – egal ob PC, Notebook, mobiles Gerät oder IoT-Device – steht weiter im Fokus der Angriffe durch Cyberkriminelle, so lange es sich lohnt, diese Systeme anzugreifen. Eine gut funktionierende und moderne Endpoint Security ist deshalb heute mehr denn je unverzichtbar! (PDF | ET 29.06.2018)

Kompendium herunterladen »

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45376783 / Endpoint)