Deep Instinct

Mit Deep Learning gegen alle Angriffsformen

| Autor / Redakteur: Ariane Rüdiger / Peter Schmitz

Künstliche Intelligenz (KI) und maschinelles Lernen (ML) sollen die Zukunft vieler Technologien sein. Mit Deep Learning kommt jetzt ein neuer Kandidat hinzu.
Künstliche Intelligenz (KI) und maschinelles Lernen (ML) sollen die Zukunft vieler Technologien sein. Mit Deep Learning kommt jetzt ein neuer Kandidat hinzu. (Bild: gemeinfrei / Pixabay)

Künstliche Intelligenz (KI) und maschinelles Lernen (ML) scheinen im Kampf gegen Cyberschädlinge noch immer nicht genug zu sein. Der nächste Schritt führt zum sogenannten Deep Learning. Die ersten Unternehmen haben sich bereits auf diesen Weg begeben.

Als Blackberry im Februar 2019 für 1,4 Milliarden Dollar die Softwareschmiede Cylance kaufte, griff das Unternehmen nach einem der ersten Startups, das seine Sicherheitssoftware umfassend auf KI und maschinellem Lernen aufbaut. Cylance enthüllte als erster Sicherheitsanbieter Operation Cleaver, mutmaßlich eine weltweite Cyberattacke des iranischen Regimes. Heute findet sich das Produkt im Endanwender-Portfolio des Herstellers. Ebenfalls eine lernfähige Lösung, allerdings mit einem Fokus auf Deep Learning, verwendet auch das israelische Startup Deep Instinct. Es unterhält eine enge Kooperation mit HPE. Der Hersteller stattet seine Enterprise-Laptops mit der jungen Sicherheitstechnologie aus.

Doch was sind überhaupt die Unterschiede zwischen „konventionellem“ KI/ML und Deep Learning, wenn man bei so jungen Technologien überhaupt schon in derartigen Begriffen reden kann? Laut Jonathan Kaftzan, CMO bei Deep Instinct, unterscheiden sich die bisher meist angewandten KI/ML-Technologien vor allem dadurch von Deep-Learning-Algorithmen, dass sie gezielt mit einem sehr begrenzten klassifizierten Datenfundus angelernt werden. Das birgt gleich mehrere Risiken: Die vergleichsweise geringen Lerndatenmengen bedeuten, dass möglicherweise nicht alle denkbaren Schadformen, die aktuell existieren, berücksichtigt werden. Und gegen gänzlich neue oder gut getarnte, modifizierte Angriffsformen ist diese Art von Lernen meistens wirkungslos. Und es gibt laut Kaftzahn rund 350.000 neue Angriffsformen täglich.

Was echte KI-Security von Katzenbildern lernen kann

Künstliche Intelligenz im Sicherheitskontext

Was echte KI-Security von Katzenbildern lernen kann

13.06.19 - Hacker finden meist schnell einen Weg, neue Technologien zu ihrem Vorteil zu nutzen und KI ist da keine Ausnahme. Um intelligenten Cyberangriffen die Stirn zu bieten, müssen Security-Anbieter schon heute Wege finden, das Potenzial der neuen Technologie tatsächlich auszuschöpfen. Ein möglicher Schlüssel hierzu findet sich an unerwarteter Stelle: in der Bilderkennung. lesen

Betriebsstörungen durch False Positives

Zudem verfehlen viele der KI/ML- Algorithmen nicht nur die Hälfte bis zwei Drittel der Bedrohungen. Zeitraubend, verwirrend und teuer sind auch falsch-positive Ergebnisse – laut Deep Instinct, das hier allerdings nicht preisgibt, woher diese Daten stammen, werden in 1 bis 2 Prozent der Fälle harmlose Daten als Threats enttarnt – bei täglich Millionen Angriffen sind das viele Betriebsstörungen.

Denn falsch-positive Befunde bedeuten in der Regel, dass der Betrieb durch die Quarantänisierung der betroffenen Daten gestoppt wird. Dann muss erst festgestellt werden, dass es sich um einen blinden Alarm gehandelt hat, um schließlich die Ressourcen wieder freizugeben. Hat man besonders viel Pech, schleicht sich, während mit der Bewältigung von auf falsch-positiven Quarantänemaßnahmen beschäftigt ist, unerkannt an anderer Stelle ein wirklicher Schädling in die Netzwerke ein.

Lernen wie das Gehirn

Deep Learning lernt an Rohdaten, übliche KI/ML an spezifischen Datensätzen und selektierten Merkmalen.
Deep Learning lernt an Rohdaten, übliche KI/ML an spezifischen Datensätzen und selektierten Merkmalen. (Bild: Deep Instinct)

Vorwiegend auf Deep Learning bauende Algorithmen, wie sie die 2015 gegründete Deep Instinct verwendet, nutzen zum Lernen alle verfügbaren Rohdaten und nicht von Menschen möglicherweise falsch ausgewählte Merkmale in begrenzten Datenmengen. Sie arbeiten mit neuronalen Netzen, deren Aufbau entfernt an das Gehirn erinnert: Das Lernen findet durch Signalübertragung zwischen „Synapsen“ und „Neuronen“ statt. Die Mechanismen, die sie verknüpfen, versuchen, den Lernmechanismus des Gehirns nachzubilden. Im Hirn werden häufig genutzte Verbindungen verstärkt, wenig angesprochene dagegen schwächen sich ab oder verschwinden sogar ganz. So ähnlich arbeitet auch ein Deep-Learning-Neural-Network.

Die Wissenschaft bewertet diese Technologien als vielversprechend, aber noch in einem frühen Entwicklungsstadium befindlich. Ein Vortag mehrerer hochrangiger Wissenschaftler auf einer 2018 durchgeführten NATO-Konferenz zum Thema Cyber-Konflikte verglich unterschiedliche KI/ML-Technologien und kam zu dem Schluss, dass wissenschaftlich noch keine eindeutigen Aussagen zur Effektivität von Deep Learning getroffen werden können.

Künstliche Intelligenz ist angreifbar

Data poisoning und KI

Künstliche Intelligenz ist angreifbar

19.07.19 - KI gilt als treibende Kraft der digitalen Transformation, die in wenigen Jahren alle Bereiche der Gesellschaft durchdringen soll. Mit der Sicherheit der KI steht es allerdings nicht zum Besten. Das zeigt ein von Deutschland und Frankreich erstellter Sicherheitsbericht. Sowohl der Dateninput als auch die Datenbasis des Deep Learnings sind verwundbar sagen Experten. lesen

Adversial Learning: Noch ganz am Anfang

Doch berge gerade das Thema Adversial Learning, bei dem sich, angewandt afu das Thema Cyberschädlinge, Angriffsalgorithmen an den Eigenheiten des Sicherheitssystems „weiterbilden“ um effektiver zu werden, Potential für die neue Algorithmenklasse. Dieses Thema sieht allerdings auch Deep Instinct derzeit als „akademisch“ (Kaftzan) an.

Der Lernfundus seiner Lösung umfasst bei Deep Instinct eine Datenbasis mit derzeit bereits drei Milliarden Files und wird stetig erweitert. Sie speist sich aus vielen zugänglichen Quellen. Zusätzlich unterhält Deep Instinct ein Team, das eigene Malware erfindet. Dessen „Produkte“ werden ebenfalls in die Datenbank eingespeist. Der neuronale Algorithmus wird zweimal jährlich aktualisiert und in Tel Aviv auf GUPs neu angelernt.

Client entscheidet alleine

Auf den Geräten, die mit der Lösung arbeiten, landet ein Client, der dann seine Entscheidung unabhängig von der Zentrale treffen kann und ebenfalls zweimal jährlich aktualisiert wird. Von einer funktionierenden Online-Verbindung ist also niemand abhängig, um ein Stück Malware abzufangen. Das kann sich besonders dann als vorteilhaft entpuppen, wenn beispielsweise der Schädling als erstes Netzwerkverbindungen korrumpiert.

Das Unternehmen gibt an, 99 Prozent der Angriffe, auch der mit unbekannter Malware zu erkennen und nur in einem von zehntausend Fällen etwas als Schädling zu qualifizieren, das sich später als harmlos entpuppt. Seine ungewöhnlich hohe Erkennungsrate begründet der Hersteller unter anderem damit, dass die Software aufgrund der Deep-Learning-Algorithmen besser als andere Modifikationen bereits bekannter Schädlinge erkennt. „Manche Bot-Abkömmlinge machen schon jahrelang Ärger, und noch immer können neue Abwandlungen, weil sie niemand erkennt, ernsthaften Schaden anrichten“, sagt Kaftzan.

Ein Beispiel: Deep Instinct habe, so der Manager, eine aktuelle Variante der Ransomware Dharma 2019 schon am 13. Oktober 2019 innerhalb einer Produktionsumgebung erkannt und unschädlich gemacht - zwei Tage vor ihrer Einspeisung in die ersten großen Schädlings-Datenbanken.

Was ist die richtige KI für die IT-Sicherheit?

Weiterentwicklung von künstlicher Intelligenz

Was ist die richtige KI für die IT-Sicherheit?

18.09.19 - Künstliche Intelligenz (KI) oder maschinelles Lernen (ML) spielen in der der IT-Sicherheit eine immer wichtigere Rolle. KI kann jedoch ein verwirrender Begriff sein, denn er wird häufig in Verbindung mit einer ganzen Reihe von Methoden und Technologien genutzt. lesen

Detektion in wenigen Millisekunden

Bei der Angriffsabwehr kommt es auf schnelle Detektion ab: Je länger die Entdeckung dauert, desto teurer wird es für die betroffenen Unternehmen.
Bei der Angriffsabwehr kommt es auf schnelle Detektion ab: Je länger die Entdeckung dauert, desto teurer wird es für die betroffenen Unternehmen. (Bild: Deep Instinct)

Die von Deep Instinct beanspruchten Detektionszeiten auf akute Attacken sind extrem kurz: bis ein potentieller Schädling gefunden ist, dauert es meist nur 20 ms, bis eine Entscheidung darüber getroffen ist, ob es sich tatsächlich um digitales Ungeziefer handelt, lediglich 50 ms, und bis zur Eingrenzung des Angriffs und seiner Reparatur meist unter einer Minute.

Wie immer die wissenschaftliche Bewertung ausfällt, in der Praxis scheint Deep Instinct zu überzeugen. Neben HPE hat auch Samsung schon in das Unternehmen investiert. Im Februar kamen weitere 43 Millionen Dollar von einem Venture-Capital-Fonds, LG und Nvidia in Runde C hinzu.

Auch die Liste der übrigen Kooperationspartner liest sich ansehnlich. Dazu gehören Splunk, IBM, AWS, Google, VMware und Citrix. Aufkaufversuchen habe man sich aber bislang stets abgeneigt gezeigt, beteuert Kaftzan.

Bereits 500 Kunden aus allen sicherheitsrelevanten Bereichen vertrauen der Lösung, so das Management. Den Vertrieb lässt Deep Instinct über alle denkbaren Kanäle fließen: direkt, über Reseller und Distributoren. Weil Deep Instincts Software Multi-Tenant- und Multi-Tier-fähig ist, können sie MSSPs ebenfalls in ihr Angebot integrieren. Endkunden zahlen nach der Zahl der Endpunkt-Agenten, bezogen wird die Lösung ausschließlich im Abomodell. Die Kosten vergleichbar mit anderen Nex-Gen-Sicherheitslösungen wie etwa Sentinel One oder Carbon Black. Die Expansion nach Europa hat gerade erst begonnen. Vorläufig gibt es dort ein kleines Team.

Sollte sich die Deep-Learning-Technologie tatsächlich als so erfolgreich entpuppen, wie Deep Instinct es nahelegt, werden wohl bald weitere Anbieter in dieses Thema einsteigen. Raum dafür gibt es. Denn während Deep Learning bei der Bilderkennung heute bereits gang und gäbe ist, beruhen derzeit erst zwei Prozent der Algorithmen für Cybersecurity auf dieser Technologie.

KI und ML in der Cybersecurity

Künstliche Intelligenz und maschinelles Lernen

KI und ML in der Cybersecurity

08.04.20 - Künstliche Intelligenz (KI), maschinelles Lernen (ML) und Deep Learning (DL) haben das Potenzial, die Produktivität in vielen Branchen zu steigern. Die drei Begriffe werden oft synonym verwendet, aber worin unterscheiden sie sich wirklich? Wo werden sie gegenwärtig und wahrscheinlich zukünftig eingesetzt? Wie funktionieren sie und welche Vor- und Nachteile gibt es? lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46545526 / Monitoring und KI)