Besserer Schutz durch KI und Machine Learning

Endpoint Detection and Response

Nicht nur Segen: Viele Unternehmen fürchten, dass auch Cyberkriminelle KI und ML für ihre Zwecke nutzen werden.
Quelle: ESET (n=900)
Machine-Learning-Modelle werden aber nicht nur in der Malware-Erkennung verwendet. Sie helfen auch in anderen Werkzeugen bei Auswertungen, etwa bei der von einigen Herstellern angebotenen Technik Endpoint Detection and Response (EDR). Diese soll eine umfassende Abwehr von Cyberattacken ermöglichen, indem verschiedene Werkzeuge in einer Schutzlösung ineinandergreifen, zum Beispiel Black- und Whitelisting, Verhaltensanalyse und Auswertung von Prozessaufrufen und Netzwerkverbindungen.
Auf Basis von ML-Modellen werden Attacken bewertet und mit Risikoparametern versehen. Wird ein definierter Level überstiegen, werden weitere Mechanismen ausgelöst, etwa eine Account- oder Workstation-Sperrung oder eine Quarantäne. Der Vorgang wird zudem visualisiert und lässt sich so zurückverfolgen. Als Sensoren dienen dabei entweder Software-Clients, die Analyse von Datenströmen oder die Auswertung von Log-Dateien in Echtzeit.

Hersteller im Überblick

Eine Umfrage von Computerworld bei wichtigen Hersteller zu ihrem Einsatz von KI und ML zeigte: Keiner dieser grossen klassischen Anbieter setzt ausschliesslich auf KI und ML. Alle haben sie zwar mehr oder weniger intensiv in ihren Produkten und Labors im Einsatz, doch sehen sie die neuen Techniken nicht als Allheilmittel an, sondern als zusätzliches Rüstzeug, um kommende Gefahren besser abzuwehren.
KI ist für Bitdefender derzeit nur eine Sache der Forschung, während ML schon seit Jahren fester Bestandteil all seiner Sicherheitslösungen ist. Laut Bitdefender ist das notwendig, weil die zunehmende Verbreitung und Verfeinerung von Bedrohungen, die auf Verschlüsselung, Verschleierung und Polymorphismus beruhen, dazu geführt hätten, dass eindimensionale Erkennungsmethoden bei der Bewältigung der riesigen Anzahl von Bedrohungen wirkungslos geworden seien. ML könne dazu beitragen, alle Angriffsvektoren abzudecken – von dateibasierter oder dateiloser Malware bis hin zu Spam und Online-Betrug. Auch moderne Sicherheitsmechanismen wie Sandboxing, Prozessüberwachung und RAM-Schutz werden laut Bitdefender durch Machine Learning optimiert.
Symantec wiederum hat in seine Produkte mit Advanced Threat Protection (ATP) die gleiche Technologie zur Erkennung von Bedrohungen integriert, die auch seine Sicherheitsexperten zur Aufdeckung von Cyberattacken nutzen. Und eine von Symantec als Targeted Attack Analytics bezeichnete Technologie (TAA) soll mit Machine-Learning-Methoden gezielte Attacken auf Unternehmensnetzwerke automatisiert erkennen und dann an IT-Security-Teams melden. Im Gegensatz zu traditionellen Lösungen verwendet TAA also die Prozesse, das Wissen und die Fähigkeiten von Sicherheitsexperten.
Ernüchternd: Noch besteht grosse Unsicherheit darüber, was KI und ML unterscheidet.
Quelle: ESET (n=900)
Sophos setzt besonders auf eine spezifische Form von Machine Learning, das Deep Learning, um auf Basis riesiger Datenmengen ein Modell zu generieren, das die Daten präzise beschreiben kann. Neuronale Netze sollen zu einer höheren Erkennungsleistung von Schadcode führen, indem sie automatisch lernen, Eigenschaften der Daten zu identifizieren. Ein weiterer Vorteil des Deep Learnings ist laut Sophos, dass es sich pro­blemlos auf Hunderte Millionen Training-Samples skalieren lässt. Das ist wichtig, weil die SophosLabs wöchentlich 2,8 Millionen neue Malware-Samples analysieren müssen.
Auch bei den Business-Produkten von Trend Micro undG-Data sind ML-Techniken ein fester Bestandteil der aktuellen Programm-Generationen. Doch auch bei ihnen stärken weiterhin Virensignaturen die äusseren Verteidigungsringe der Schutzlösung.

Fazit & Ausblick

Blickt man hinter den Hype um Künstliche Intelligenz in der Cybersecurity, dann fällt das Urteil ernüchternd aus: KI als Heilsversprechen einer automatisierten Abwehr aller künftigen Cyberattacken ist noch weit von jeder Realität entfernt. Doch legt man die Messlatte nicht so hoch, dann zeigt sich, dass ein Teilbereich der KI längst einen wichtigen Beitrag zu einem akzeptablen Sicherheitsniveau leistet – Machine Learning. Klingt nicht so sexy wie KI, wirkt aber tatsächlich schon. Denn mit signaturbasierten Ansätzen allein käme man heutzutage nicht mehr weit angesichts einer immer professionelleren Cybercrime-Industrie. «Machine Learning plus Signaturen» lautet deshalb derzeit noch die Erfolgsformel der besten Sicherheitslösungen.
Ob KI und ML am Ende des Tages zu einem entscheidenden Übergewicht der Verteidigung über den Angriff führen werden, ist eine offene Frage. Denn auch die Kriminellen werden sich KI- und ML-Techniken bedienen, um ihre Angriffe weiterzuentwickeln. Offen ist auch noch, welche Rolle künftig ein Risikofaktor jeder Sicherheitsarchitektur spielen wird, der meist weniger lautstark thematisiert wird als technische Schwachstellen: der menschliche Faktor. KI und ML tragen dazu bei, Mitarbeiter vor sich selbst zu schützen und sie vor Fehlern zu bewahren, sie geben den Kriminellen aber auch neue Möglichkeiten des Täuschens und Betrügens an die Hand.



Das könnte Sie auch interessieren