:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Künstliche Intelligenz Mit Machine Learning gegen Cyber-Bedrohungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Verteidigung von Unternehmen gegen Cyber-Bedrohungen wird immer anspruchsvoller. Der Branchenverband Bitkom ermittelte, dass digitale Angriffe in den vergangenen beiden Jahren bei 70 Prozent der deutschen Unternehmen einen Schaden versursacht haben.
Detaillierte Analysen schwerwiegender Datenschutzverletzungen haben gezeigt, dass Angreifer oft schon Monate im Voraus ihre Aktionen planen. Darüber hinaus haben sich mit der wachsenden Zahl von Geräten im „Internet der Dinge” die Angriffsflächen vervielfältigt. Organisationen müssen daher neue Wege zum Schutz ihrer Assets suchen.
Vor diesem Hintergrund verlagern sich die IT-Sicherheitsstrategien: Der reine Schutz vor Bedrohungen reicht nicht mehr aus, entscheidend ist vielmehr das rechtzeitige Erkennen und die entsprechende wirksame Reaktion darauf.
Bedrohungen mit Machine Learning identifizieren
Sicherheitsmechanismen zum Schutz vor und Erkennen von Bedrohungen haben in den vergangenen Jahrzehnten vor allem signaturbasierte Ansätze verwendet. Dieser Ansatz hat jedoch einige Nachteile:
- Es werden nur bereits bekannte Bedrohungsvektoren und -akteure erkannt;
- Lösungsansätze wie beispielsweise SIEM (Security Information and Event Management) können Informationen nur über einen kurzen Zeitraum prüfen und verarbeiten;
- Ausgereifte SIEM-Anwendungsfälle spiegeln zwar das kollektive Wissen der Organisation über zuvor bekannte (oder gut recherchierte) Bedrohungsszenarien wider. Solche Lösungen sind aber wirkungslos, wenn Indikatoren für einen niedrigschwelligen und langsamen Sicherheitsverstoß über einen langen Zeitraum gesammelt werden müssen.
Das Aufdecken solcher Bedrohungen erfordert die Fähigkeit, Daten aus einer Vielzahl von Quellen und über einen langen Zeitraum zu analysieren und anormales Verhalten herauszufiltern. In den vergangenen zwei Jahren entstanden zahlreiche kommerzielle Lösungen, bei denen Machine Learning zur Erkennung unbekannter Bedrohungen eingesetzt wird. Bei diesem maschinellen Lernen handelt es sich um eine Art künstlicher Intelligenz (KI), die Computern die Fähigkeit verleiht, zu lernen, ohne explizit programmiert zu werden. Dabei wird oft zwischen beaufsichtigten und unbeaufsichtigten (supervised/ unsupervised) Algorithmen unterschieden.
:quality(80)/images.vogel.de/vogelonline/bdb/1572200/1572213/original.jpg "Um schmerzhafte Angriffe und Attacken als Verteidigung geht es beim Thema Malware, das in Zukunft auch von KI und ML bestimmt sein könnte. (gemeinfrei)")
Security
Wie werden sich KI-basierte Angriffe durch Malware entwickeln?
Beaufsichtigte und unbeaufsichtigte Algorithmen für maschinelles Lernen
Beaufsichtigte Algorithmen können in der Vergangenheit Erlerntes auf neue Daten anwenden. Im Zusammenhang mit dem Erfassen von Bedrohungen bedeutet das zum einen, dass Cybersicherheitsexperten neue Schadsoftware, Angriffsmodelle, Techniken und Verfahren analysieren und mit den gewonnenen Erkenntnissen ihre Data-Science-Modelle trainieren. Auf der anderen Seite hilft die Analyse des Datenverkehrs dabei, Hauptmerkmale von Bedrohungen herauszuarbeiten. Beispielsweise kann ein beaufsichtigtes Machine-Learning-Modell anhand der Analyse von Werkzeugen für den Fernzugriff (Remote Access) lernen, wie sich der von diesen Tools verursachte Verkehr vom „Grundrauschen” unterscheidet.
Beaufsichtigte Lernalgorithmen unterstützen die Erkennung von Bedrohungen innerhalb des Netzwerks der Organisation ab dem ersten Tag ihres Einsatzes und ohne organisationsspezifische Lernphase. Unbeaufsichtigte Lernmodelle hingegen erweitern ihre Intelligenz speziell für die Umgebung des Kunden. Der Vorteil beaufsichtigter Lernmodelle liegt vor allem darin, dass sie vom ersten Tag an einsatzbereit sind. Allerdings können einige Bedrohungsszenarien nur spezifisch für jede Kundenumgebung gelernt werden.
Algorithmen für unbeaufsichtigtes Lernen konzentrieren sich darauf, zu verstehen, was das IT-Nutzungsmuster des Kunden einzigartig macht und erkennen Anomalien, wenn sie auftreten. Ihr Risiko besteht darin, dass sie falsches Verhalten als Normalität annehmen können, wenn sie einer solchen Nutzung ausgesetzt sind. Im Allgemeinen wird diese Kategorie von Algorithmen in höherem Maße mit falsch positiven Ergebnissen in Verbindung gebracht.
Übernahme von Fähigkeiten des maschinellen Lernens
Sicherheitsverstöße erfolgen in aller Regel an den sogenannten Endpunkten (Endpoints) über Benutzerdaten und verbreiten sich dann über das Netzwerk. Endpoints sind also der Dreh- und Angelpunkt bei der Einführung von Machine Learning zur Bedrohungserkennung. Besonders vielversprechend scheinen hier Lösungen im Bereich der „Endpoint Threat Detection and Response” (ETDR). Neben der Erkennung von Bedrohungen bieten diese Lösungen auch umfassende Möglichkeiten zu deren Eindämmung sowie forensische Fähigkeiten an den Endpunkten.
ETDR-Lösungen machen Bedrohungen am Endpoint granular sichtbar. Die Herausforderung für Organisationen besteht dann vor allem darin, Softwareagenten an den Endpunkten einzuführen und zu verwalten. Erschwerend kommt dabei hinzu, dass sich beispielsweise bei „Bring Your Own Device” (BYOD) oder dem Internet der Dinge der Formfaktor der Endpunkte ständig ändert und agentenbasierte Ansätze daher möglicherweise nicht schnell genug skalierbar sind.
In diesem Fall bietet das Netzwerk den besten Hebel zur Identifizierung von niedrigschwelligen und langsamen Bedrohungen. Es heißt, dass „das Netzwerk niemals lügt", eine interessante Lösungskategorie ist daher die Analyse des Netzwerkverkehrs (Network Traffic Analysis, kurz NTA). Mit NTA-Lösungen lassen sich beaufsichtigte und unbeaufsichtigte Lernalgorithmen in Verbindung mit dem Host- und Asset-Kontext einsetzen und der zeitliche Verlauf von Bedrohung verfolgen. Diese Maßnahmen helfen, die Sicherheitslage einer Organisation schnell und zuverlässig zu beurteilen. Die zum Einsatz von NTA-Lösungen nötigen Eingriffe in das Netzwerk fallen nicht groß ins Gewicht, daher ist die Schwelle zur Einführung recht gering.
Ein weiterer Ansatz zur Nutzung von maschinellen Lernfähigkeiten zur Erkennung dieser Bedrohungen ist die Verwendung der Zugangsdaten der Benutzer. Dieses Segment von Lösungen wird als User and Entity Behavior (UEBA) klassifiziert und bietet einen alternativen Ansatz zur Nutzung von Machine Learning, um Bedrohungen frühzeitig zu erkennen. UEBA setzt in erster Linie unbeaufsichtigte Lernalgorithmen zur Erkennung von Bedrohungen ein. Zu den wichtigsten Anwendungsfällen gehören die Analyse der Nutzung privilegierter Konten, Insider-Bedrohungen, Datenexfiltration oder die gemeinsame Nutzung von Konten.
:quality(80)/images.vogel.de/vogelonline/bdb/1633300/1633313/original.jpg "Bilder zu erkennen, die sie noch nie gesehene haben, für Maschinen heute eine schwierige Aufgabe. (Roberto Schirdewahn)")
Neuroinformatik
"Machine-Learning-Verfahren sind eigentlich strohdoof"
Die richtige Lösung entscheidet der Kontext
Welche Lösung in welchem Kontext empfehlenswert ist, hängt von vielen Faktoren ab. Die Grundvoraussetzung ist aber, dass die handelnden Personen die Mechanismen verstehen, um das Potential der unterschiedlichen Ansätze voll ausschöpfen zu können. Machine Learning eröffnet eine reelle Chance, die beschriebenen niedrigschwelligen und langsamen Bedrohungen besser aus den riesigen Datenmengen herauszufiltern als menschliche Spezialisten. Es gibt keinen Königsweg, um das Problem der Cybersicherheit zu lösen. Der Schlüssel liegt vielmehr darin, mehrschichtige Abwehrmechanismen mit den Fähigkeiten maschinellen Lernens zu verbinden, um das bestmögliche Ergebnis zu erzielen.
* Dirk Steiner ist Practice Director Cyber Security und Risk Services für Wipro (Continental Europe).
(ID:46687083)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945565/original.jpg "KI ist keine Wunderwaffe, um Unternehmensinfrastrukturen vollständig sicher zu halten. (ipopba - stock.adobe.com)")