:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Endgeräte-Sicherheit für Unternehmen Machine Learning und KI in der Endpoint Security
Herkömmliche Endpoint-Security-Lösungen sind Mangels Gedächtnis und Fähigkeit zur Zusammenarbeit mit anderen Elementen der Security gegenüber vielschichtigen, langfristig angesetzten Angriffen machtlos. Kooperative Lösungen mit Gedächtnis sollen im Verbund mit Technologien wie Big-Data-Analysen, Machine Learning (ML) und Künstlicher Intelligenz (KI) eine wirkungsvolle Verteidigung bilden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Das Grundprinzip der meisten Security-Lösungen für Endpoints beziehungsweise der gesamten IT beruht auf der Erkennung bereits bekannter Angriffsmuster beziehungsweise Angriffs-Codes oder der Überschreitung definierter Schwellwerte. Ein Angreifer muss also mindestens einmal erfolgreich zugeschlagen haben, bevor die entsprechende Signatur in die Datenbanken der Security-Anbieter einfließen und dort erfolgreiche Abwehr leisten kann. Die Praxis zeigt, dass beispielsweise Malware bis heute regelmäßig sehr viele Geräte infiziert – trotz Updates von Signaturen und Virendefinitionen im Minutentakt, wie inzwischen oft üblich.
Konventionelle Abwehrmethoden
Schon lange gibt es den Gedanken, Angreifer auf Basis einer Verhaltensanalyse ihres Codes zu überführen. Entsprechende „Heuristik“-Optionen in den Endpoint-Lösungen für Privatanwender bieten hier jedoch nur sehr begrenzte Möglichkeiten mit geringem Wirkungsgrad. Professionelle Unternehmenslösungen schleusen jeglichen Code oft durch eine isolierte Ausführungsumgebung (Demilitarisierte Zone, kurz DMZ), um verdächtiges Verhalten gründlich zu untersuchen. Tatsächlich kann dieses „Sandboxing“ die Erfolgsrate bei der Identifikation von Schadsoftware deutlich verbessern, gegen moderne Mehrkanalangriffe etwa, deren einzelne Komponenten für sich genommen harmlos daher kommen, ist jedoch auch dieses Verfahren machtlos. Eine Sandbox hat keine Mittel, um zu erkennen, dass eine gerade für unschädlich befundene Software im Verbund mit einem oder mehreren schon früher als unbedenklich eingestuften Codes sehr wohl massiven Schaden anrichten kann.
Neue technologische Ansätze
Aktuelle Angriffswellen mit solchen mehrstufigen, auf einen langen Zeitraum ausgelegten APTs (Advanced Persistant Threats) und hochentwickelter Malware wie Ransomware, Backdoors und Remote-Access-Trojanern beweisen, dass trotz hohem technischen Aufwand viele Angriffe erfolgreich sind und damit konventionelle Abwehrmethoden überfordert sind. Neue technologische Ansätze gehen einen anderen Weg auf Basis von Algorithmen und vorhersagenden, statistischen Methoden. Sie nutzen maschinelles Lernen und selbsttrainierende KI (künstliche Intelligenz), um das Schadrisiko von ausführbarem Code zu berechnen und dann zu entscheiden, ob eine Datei sicher ist und ausgeführt werden kann oder in Quarantäne gestellt werden muss. Die Algorithmen werden befähigt, Verhalten nicht nur auf Basis eines Status Quo zu analysieren, sondern auch aus den Ergebnissen zu lernen.
Die Idee ist zwar auch nicht neu, aber es gab in den letzten Jahren große Entwicklungsschübe, die nicht zuletzt durch die breite Verfügbarkeit elastischer Clouds möglich wurden. Die bedarfsgerechte Bereitstellung zum Teil extrem hoher Rechenleistung ist eine der Grundanforderungen für die praktische Umsetzung der moderneren KI-Lösungen. Die entsprechenden Anbieter zerlegen ausführbare Dateien zunächst in eine große Zahl einzelner Merkmale in der Größenordnung von bis zu mehreren Millionen. Das ist soweit auch bei signaturbasierten Lösungen üblich und die Security-Anbieter sind oft ganz stolz auf ihre über die Jahre gesammelte und extrahierte „Malware-DNA“.
Lernfähige Algorithmen
Die Verarbeitung dieser Merkmale geschieht nun jedoch nicht mehr über einen statischen 1:1-Vergleich mit den schon gesammelten, einschlägigen Signaturen, sondern über bestimmte, maschinenlernfähige Algorithmen, also mathematische Modelle, die eine Prozedur geeigneter Vorgehensweisen beschreiben (vergleichbar einer Formel). Hier entsteht der enorme Bedarf an Rechenleistung, denn der Untersuchungsaufwand ist hier um ein Vielfaches höher als beim simplem 1:1-Abgleich. Der Lohn dafür ist allerdings eine im Vergleich zu signaturbasierten Lösungen erheblich höhere Erkennungsquote von Malware und das - so behaupten zumindest die einschlägigen Anbieter solcher Verfahren – auch bei bisher noch nicht bekannten Angriffsformen. Zudem gäbe es auch erheblich weniger Fehlalarme.
Ganz ohne Updates kommen jedoch aber auch solche KI-Lösungen nicht aus. Anstelle der Signaturen müssen die mathematischen Modelle regelmäßig erneuert werden, der Zyklus betrage aber den Angaben zufolge nicht Minuten, sondern eher Monate. Erst dann soll sich allmählich die Wirksamkeit der mathematischen Modelle abbauen. In dieser Zeit lassen die Hersteller ihre Modelle auf Basis der inzwischen neu gefundenen Merkmale „dazulernen“. Die aktualisierten Algorithmen kommen dann per Update-Prozess.
Schwachstellen und Risiken mit KI-Lösungen
Sicher bedeuten die nun vermehrt angebotenen, modernen KI-Lösungen einen enormen Schub für die Wirksamkeit von Schutzsoftware. Ein paar Probleme bleiben aber ohne weitere technische Maßnahmen weiterhin bestehen. So ist beispielsweise die Schutzfunktion solcher KI-Lösungen bei langfristig angelegten Mehrkanal-APTs fraglich, denn eine Korrelation mit früheren Ereignissen und Vorfällen an anderen Stellen (beispielsweise IPS- oder Firewall-Instanz) findet bisher noch kaum statt. Ohne ein entsprechendes Langzeitgedächtnis für IT-Security über alle Funktionen und Verfahren hinweg mit entsprechender Big-Data-Analyse dürften auch KI-Lösungen hier nur bedingt erfolgreich sein.
Ein weiteres Problem sind verschlüsselte und komprimierte Dateien. Werden diese für die algorithmenbasierte Analyse nicht vollständig entpackt, bleibt die Analyse weitgehend wertlos. Erst wenige Lösungen beherrschen das vollständige Entpacken und Entschlüsseln.
Eine bisher noch kaum einschätzbare Gefahr mit KI-bezogenen Schutzlösungen ist die Tatsache, dass auch die Angreifer KI-Techniken nutzen. Sicher ist nur: Sie werden es tun. Dann würde also KI gegen KI kämpfen. Was bei einem solchen Krieg der Algorithmen herauskommt, weiß heute niemand.
Dieser Text stammt aus dem Security-Insider Kompendium „Endpoint & Mobile Device Security“.
Die kontinuierlich fortschreitende Digitalisierung der deutschen Wirtschaft fordert die IT-Sicherheit zunehmend heraus. Der einzelne Endpunkt – egal ob PC, Notebook, mobiles Gerät oder IoT-Device – steht weiter im Fokus der Angriffe durch Cyberkriminelle, so lange es sich lohnt, diese Systeme anzugreifen. Eine gut funktionierende und moderne Endpoint Security ist deshalb heute mehr denn je unverzichtbar! (PDF | ET 29.06.2018)Kompendium herunterladen »
(ID:45376783)
:quality(80)/p7i.vogel.de/wcms/a2/17/a217acb60bea6b43214cd7509dbc981d/0100127717.jpeg "Im Podcast haken wir nach: Wie schnell werden wir das Passwort wirklich los? (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")