Besserer Schutz durch KI und Machine Learning

Im Gespräch mit Maik Morgenstern, CTO bei AV-Test

Maik Morgenstern
Maik Morgenstern: CTO bei AV-Test
Quelle: AV-Test
Das Antiviren-Labor AV-Test in Magdeburg prüft täglich viele Sicherheitslösungen. CTO Maik Morgenstern erklärt, was hinter Next-Gen-Sicherheitslösungen steckt und was sie wirklich an Nutzwert bringen.
Computerworld: Was verstehen Sie unter Next-Gen-Sicherheitslösungen?
Maik Morgenstern: Seit etwa 2012 drängen neue Unternehmen unter dem Begriff «Next Generation Endpoint Security» auf den Markt. Vertreter sind unter anderem Cylance, Crowd­Strike, SentinelOne, Invincea, Ensilo, Deep­Instinct, Carbon Black, Palo Alto und FireEye. Ihr Anspruch: Sie wollen es besser machen als altbekannte Antiviren-Produkt-Hersteller wie Bitdefender, Kaspersky und Co.
Die Neuen geben an, dass sie auch für Malware keine Signatur-Updates für die Erkennung benötigen, die Systemlast für Client und Server geringer ist und sie die Angreifer sogar ohne Internetzugriff sicher erkennen.
Computerworld: Wie arbeiten Next-Gen-Sicherheitsprodukte?
Morgenstern: Die Hersteller setzen verschiedenste Techniken ein. Next-Gen-Firmen nutzen dabei gern Begriffe wie Künstliche Intelligenz und Machine Learning. Sie sollen Dateien allein anhand ihres «Aussehens» schon vor der Ausführung als gefährliche Malware erkennen. Vereinfacht gesagt lernt ein Algorithmus anhand von Trainingsmengen: Er wird ständig mit eindeutig bestätigter Malware und gutartige Software gefüttert und lernt so, diese zu unterscheiden.
Das Lernen geht ständig weiter und wird schliesslich mit Dateien gegengeprüft, die nicht Bestandteil der Trainingsmenge waren. Die genutzten Algorithmen können verschiedenster Natur sein: neuronale Netzwerke, Deep Learning oder etwa Clustering.
Computerworld: Ist Machine Learning denn die versprochene Allzweckwaffe?
Morgenstern: Die Vorteile des Next-Gen-Ansatzes liegen auf der Hand. Hat der Algorithmus einmal gelernt, Malware zu erkennen, die so aussieht wie in der Trainingsmenge, und ein Modell zu erstellen, dann wird er auch alle neuen Varianten problemlos und ohne Updates erkennen können – im Gegensatz zu Signaturen, die immer nur eine Datei oder einzelne eng verwandte Varianten einer Schad-Software erkennen können.
In unseren Tests bei AV-Test haben wir grundsätzlich bestätigen können, dass Next-Gen-Produkte in der Lage sind, einen gleichwertigen Schutz wie traditionelle Antiviren-Software zu bieten. In der Regel sehen wir dabei höhere Fehlalarmraten und einen geringen Einfluss auf die System-Performance.
Aber: Machine-Learning-Algorithmen sind immer nur so gut wie ihre Trainingsmenge. In Tests fiel uns auf, dass Next-Gen-Produkte bösartige 32-Bit-Dateien von Windows-Programmen sehr gut erkannt haben, aber 64-Bit-Versionen teils gar nicht. Das liegt daran, dass aktuell 99 Prozent der Malware 32-Bit-Dateien sind und der Algorithmus gar keine Chance hat, 64-Bit-Malware zu erlernen. Dies können sich Angreifer für gezielte Angriffe zunutze machen.
Computerworld: Bedeuten die Next-Gen-Lösungen denn das Ende der klassischen Signaturen?
Morgenstern: Nein, das Erkennen und Klassifizieren von Schadcode via Machine Learning kann lange Zeit dauern, eine Signatur dagegen ist automatisiert in Sekunden erstellt und sofort verteilt. Zusammenfassend kann man feststellen, dass Machine Learning nicht die Lösung aller Probleme ist, aber unbedingt ein Teil der Strategie eines AV-Produkt-Herstellers sein sollte.



Das könnte Sie auch interessieren