Security-Trends 2017

Maschinelles Lernen zur Malware-Erkennung

| Autor / Redakteur: Thorsten Henning* / Peter Schmitz

Intelligenter Endpunktschutz wird durch maschinelles Lernen noch intelligenter.
Intelligenter Endpunktschutz wird durch maschinelles Lernen noch intelligenter. (Bild: Pixabay / CC0)

Angesichts moderner Malware-Bedrohungen stoßen klassische, signaturbasierte AV-Lösungen an ihre Grenzen. 2017 werden sich wesentlich effektivere und intelligente Endpunktschutz-Lösungen hier durchsetzen. Dies gilt insbesondere für Systeme, die mit End-of-Life-Betriebssystemen betrieben werden. Und das ist gar nicht einmal so selten der Fall: etwa bei industriellen Steuerungen (ICS/SCADA), POS-Systemen (Point-of-Sale) wie Kassenterminals und bei ATM-Systemen (Automated Teller Machines), also Geldautomaten.

Generell geht es bei dieser neuen Generation von Endpunktschutz um eine proaktiv agierende Alternative zu herkömmlicher, reaktiver Malware-Erkennung. Vermarktet werden derartige „Endpoint Protection“-Lösungen, je nachdem, wie das von einschlägigen Anbietern propagierte Attribut „Advanced“ interpretiert wird, als fortschrittlicher, intelligenter, erweiterter Endpunktschutz. Am ehesten trifft eine Mischung dieser Adjektive zu, die klar macht, dass der neue Ansatz über das Schutzniveau traditioneller Antivirus-Lösungen deutlich hinausgeht.

Der neuartige Endpunktschutz versucht nicht, bestimmte (bekannte) Angriffe zu erkennen, sondern konzentriert sich vielmehr auf die typischen und überschaubaren Exploit-Kerntechniken, die bei jedem Angriff zum Einsatz kommen. Diese müssen von den Angreifern kombiniert und allesamt ausgeführt werden, damit der Angriff erfolgreich ist. Greift man bei diesen Techniken auch nur an einer Stelle effektiv ein, können Malwareangriffe abgewehrt werden, noch bevor eine bösartige Aktivität ausgeführt werden kann.

Unterstützt wird der Endpunktschutz meist durch eine Cloud-basierte Malware-Analyse-Plattform, die neueste Bedrohungsinformationen anonymisiert zur Verfügung stellt. Mithilfe der Anbindung an die Analyse-Cloud kann die Endpunktschutz-Lösung durch maschinelles Lernen die statische Exploit-Analyse eigenständig trainieren. Sie kann sich automatisch neu programmieren auf der Grundlage aktuell einfließender Informationen über Bedrohungen. Manuelle und automatisierte Ausführungsrichtlinien sollen ebenfalls für Sicherheit sorgen. So können Unternehmen beispielsweise durch sogenannte „Trusted Publisher Execution Restrictions“ unbekannte aber legitime ausführbare Dateien identifizieren.

Zur Verwaltung des Endpunktschutzes wird zunächst einmal ein Endpoint Security Manager (ESM) im Netzwerk installiert. Auf den Endgeräten kommt ein Agent zum Einsatz, der über den ESM seine Updates erhält. Der Agent ist vor Manipulation durch Malware geschützt, ebenso können Benutzer die Schutzwirkung nicht deaktivieren. Von Vorteil bei diesem zeitgemäßen Konzept ist, dass der Endpunktschutz nur geringe Rechen- und Speicherressourcen erfordert und den Produktivbetrieb der Endpunkte so gut wie gar nicht beeinträchtigt.

Punktuelle Antivirus‐Software gibt Unternehmen ein falsches Gefühl der Sicherheit. Obwohl sie regulatorische und Corporate‐Governance‐Anforderungen erfüllen mögen, schützen sie nicht vor fortschrittlichen, zunehmend raffinierteren Cyberbedrohungen und hartnäckigen Advanced Persistent Threats (APTs). Intelligenter Endpunktschutz spielt dabei eine wesentliche Rolle, als Komponente einer integrierten „Next Generation“-Sicherheitsplattform. Das Zusammenspiel präventiv agierender Komponenten verhindert, dass Malware an irgendeiner Stelle, insbesondere an den besonders gefährdeten Endpunkten, in das Unternehmen gelangen kann.

In der Cybersicherheit stößt der Mensch an seine Grenzen – und das wird 2017 noch deutlicher zutage treten. Der Mensch bremst Prozesse aus und macht manchmal auch Fehler. Immer mehr Bedrohungsdaten aus immer mehr Quellen lassen sich manuell ohnehin nicht mehr bewältigen und sinnvoll auswerten. Da die Angreifer zunehmend automatisiert agieren, muss auch die Cybersicherheit weitgehend automatisiert erfolgen. Dies ist essentiell, um die heutigen Netzwerke mit vertretbarem Aufwand verteidigungsfähig zu machen. Dabei wird maschinelles Lernen immer wichtiger.

* Dipl.-Ing. Thorsten Henning beschäftigt sich seit über 20 Jahren mit Netzwerken und IT-Sicherheit. Er leitet bei Palo Alto Networks das Systems Engineering für Zentral- und Osteuropa und berät Großkunden zu Netzwerksicherheitslösungen der nächsten Generation. Zuvor war Thorsten Henning für namhafte Hersteller wie 3Com, Ascend Communications, Lucent Technologies und Juniper Networks tätig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44436278 / Monitoring und KI)