Smarte Helfer für die Cyberabwehr
Machine Learning in Security-Lösungen
Die Hersteller verwenden Machine Learning an verschiedenen Stellen ihrer Lösungen, unter anderem:
- Direkt in der Client-Software, etwa beim Lesen von E-Mails. Der Nutzer kann Spam markieren und die Software lernt mit bei der Auswertung von E-Mails und Daten in der Cloud.
- Beim Errechnen von Modellen, um Malware-Familien zu erkennen.
- Im eigenen Labor beim Erstellen von Signaturen.
- Bei der Analyse von Datenströmen, etwa von und zu IoT-Geräten.
Nun stellt sich die Frage, ob bestens trainierte Machine- Learning-Algorithmen nicht bereits eine KI sind? Nein, sind sie nicht, denn bei ML gibt es kein Ende des manuellen Trainings. Eine richtige KI würde selbstständig lernen, entscheiden und sich verbessern – so wie die KI AlphaGo, die im Go und im Schach für Furore sorgte, da sie dank selbstständigen Lernens die weltbesten menschlichen Spieler beziehungsweise Programme bezwingen konnte. Aber der Lernbereich ist bei beiden Spielen eingegrenzt und hat im Vergleich zu Sicherheitsrisiken weniger Parameter und keine sich ständig verändernde grosse Datenmenge zur Analyse.
Endpoint Detection and Response
Machine-Learning-Modelle werden aber nicht nur in der Malware-Erkennung verwendet. Sie helfen auch in anderen Werkzeugen bei Auswertungen, etwa bei der von einigen Herstellern angebotenen Technik Endpoint Detection and Response (EDR). Diese soll eine umfassende Abwehr von Cyberattacken ermöglichen, indem verschiedene Werkzeuge in einer Schutzlösung ineinandergreifen, zum Beispiel Black- und Whitelisting, Verhaltensanalyse und Auswertung von Prozessaufrufen und Netzwerkverbindungen.
Auf Basis von ML-Modellen werden Attacken bewertet und mit Risikoparametern versehen. Wird ein definierter Level überstiegen, werden weitere Mechanismen ausgelöst, etwa eine Account- oder Workstation-Sperrung oder eine Quarantäne. Der Vorgang wird zudem visualisiert und lässt sich so zurückverfolgen. Als Sensoren dienen dabei entweder Software-Clients, die Analyse von Datenströmen oder die Auswertung von Log-Dateien in Echtzeit.