„KI sollte kein Solist sein, sondern Teil eines mehrschichtigen Ensembles“, Michael Veit, Security Spezialist bei Sophos

Kaum ein Thema wird derzeit so stark diskutiert und vorangetrieben wie Künstliche Intelligenz. Fast jede IT-Sicherheitslösung schmückt sich damit, dass sie „Methoden der Künstlichen Intelligenz“ zur Erkennung bisher unbekannter Bedrohungen einsetzt. Manch einer verkündet gar das Ende aller anderen Sicherheitskomponenten. Plausibel? Oder gefährlicher Übereifer? Sophos Security Spezialist Michael Veit ordnet die bisherigen Erkenntnisse zu Künstlicher Intelligenz in Security-Systemen ein und stellt das Postulat für eine moderne, sichere IT-Struktur auf:

„Es stimmt, dass traditionelle signaturbasierte Anti-Virenprogramme keinen zuverlässigen Schutz gegen moderne Malware bieten. Die Cyberkriminellen haben mittlerweile dazugelernt und betreiben Qualitätssicherung, indem sie bei der Schadsoftware-Entwicklung überprüfen, ob die bekannten Virenscanner ihre neue Malware erkennen. Sie verändern diese dann so lange, bis kein Virenscanner mehr anschlägt. Dann haben die Kriminellen ein Zeitfenster von ein paar Minuten bis Stunden, in dem sie die Schadsoftware erfolgreich verbreiten können.

Abhilfe sollen sogenannte NextGen Endpoint Security Lösungen mit Machine Learning Technologien schaffen, die Malware nicht mehr aufgrund der Ähnlichkeit mit bekannten Malwaresignaturen erkennt, sondern durch die Analyse der Eigenschaften einer Datei.

Nur – niemand hindert die Cyberkriminellen daran, sich auch Lizenzen der NextGen-Endpoint-Lösungen mit Machine Learning zu kaufen und die Malware solange zu manipulieren, bis die neue Malware auch von diesen Lösungen nicht mehr erkannt wird. Genau das haben beispielsweise die Entwickler von NotPetya gemacht, einer hochentwickelten Schadsoftware, die über den Update-Mechanismus eines ukrainischen Steuerprogramms auf Rechner aller Unternehmen gelangte, die mit der Ukraine Geschäfte machen. Weder die traditionellen Anti-Malware-Lösungen noch Machine Learning basierte Lösungen haben die Schadsoftware initial zuverlässig erkannt.

Fortgeschrittene NextGen-Endpoint Lösungen wie Intercept X von Sophos, die Dateien nicht nur vor der Ausführung untersuchen sondern Software auch während der Ausführung überwachen, haben die bösartigen Absichten von NotPetya über die Verhaltenserkennung identifiziert und aufgehalten – in diesem Fall fiel der Versuch der  bösartigen Verschlüsselung der Festplatte auf und wurde von Intercept X verhindert.

DeepLearning ist performanter

Trotzdem kann der Einsatz von Machine Learning – am besten in der sehr schnellen und effektiven Variante Deep Learning – die Sicherheit in Unternehmen verbessern. Ein gutes Deep-Learning-Modell ist sehr viel schneller als ein traditioneller signaturbasierter Anti-Virus, reduziert also die Systembelastung spürbar. Gleichzeitig werden viele auch unbekannte Bedrohungen erkannt. Grundvoraussetzung für eine hohe Erkennungsrate auf der einen Seite und eine niedrige False-Positive-Rate auf der anderen Seite sind neben einem leistungsfähigen KI-Modell (am besten eignen sich in der Praxis Deep Learning Modelle) auch eine große Menge an Trainingsdaten. Sophos trainiert sein Deep Learning Modell mit praktisch allen Exemplaren von Malware sowie auch unbedenklicher Software der letzten 30 Jahre, um False-Positives zu minimieren. Neue Player im NextGen Endpoint Security Markt nutzen teils auch Machine Learning Modelle, haben jedoch wesentlich weniger Trainingsdaten zur Verfügung, was sich negativ auf die False-Positives auswirken kann.

Es gibt auch schlechte KI-Modelle

Ein schlechtes KI-Modell kann man leicht identifizieren, wenn der Hersteller ein Testszenario vorschlägt, bei dem entweder vom Hersteller vorgegebene „Malware-Samples“ genutzt werden sollen oder wenn das Modell erst auf die Kundenumgebung trainiert werden muss. Dies ist ein Indiz für ein nicht allgemein einsatzbares KI-Modell, das praktisch erst Ausnahmen (de facto Signaturen) für eine spezielle Kundenumgebung generieren muss – was den Ansatz einer signaturlosen Technik ad absurdum führt. Zudem gibt es KI-Modelle, die schlecht skalieren und über die Zeit sehr groß und performancehungrig werden, sodass sie auf eine eigene Scan-Umgebung in der Cloud oder eine Scan-Appliance ausgelagert werden müssen.

Ein gutes KI-Modell zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann.

KI als Baustein in modernen mehrschichtigen Sicherheitssystemen

Wichtig ist jedoch, dass die Untersuchung bestimmter Dateitypen vor der Ausführung – ob mit oder ohne Methoden der Künstlichen Intelligenz – nur ein Baustein in einer mehrschichtigen Endpoint-Security ist. Nur etwa die Hälfte aller Schadsoftware kommt heute als ausführbare Datei ins Unternehmen (und kann somit mit Methoden der Künstlichen Intelligenz untersucht werden), die andere Hälfte der Bedrohungen kommt heute in Form von Dokumenten- und Medien-Malware sowie komplett dateilos durch infizierte Webseiten oder per Exploit.

Deshalb ist es wichtig, dass man mehrere Schichten der Security implementiert:

1. Schicht – Kontrolle der Einfallswege von Malware: dazu zählt Webfilterung, Device Control, Applikationskontrolle und Desktop/Gateway Firewall mit Netzwerk Intrusion Prevention.

2. Schicht – Untersuchung vor der Ausführung: hier werden Dateien mit Signaturen, Machine Learning oder Heuristiken untersucht.

3. Schicht – Verhaltenserkennung: Hier wird bösartiges Verhalten erkannt wie z.B. Ransomware/Verschlüsselungserkennung, Exploit Prevention, Schutz vor Hacker-technologien wie Schutz vor Passwortdiebstahl.

4. Schicht – Automatische Reaktion: Neben der traditionellen Quarantäne und Bereinigung von Bedrohungen zählt hierzu heute auch die automatische Wiederherstellung von durch Ransomware verschlüsselten Dateien sowie die Kommunikation mit anderen Komponenten zur automatischen Eindämmung von Bedrohungen.

5. Schicht – Analyse: Durch eine nachgelagerte Ursachenanalyse kann identifiziert werden, wie der Schädling eingedrungen ist, wie/ob/wohin er sich ausgebreitet hat und welche Unternehmensressourcen eventuell noch betroffen sind und bereinigt werden müssen.

Angreifer werden es immer schaffen, einzelne Mechanismen zu überwinden, dieser Aufwand steigt jedoch exponentiell bei mehreren Schutzschichten. Deshalb sind ein Mehrschichtenansatz bei der IT-Security sowie die Kommunikation von Sicherheitskomponenten mit der Möglichkeit der automatischen Reaktion auf Bedrohungen (indem beispielsweise die Firewall oder der WLAN-Accesspoint einen infizierten Endpoint automatisch im Netzwerk isoliert) der Schlüssel zu einer modernen und wirkungsvollen IT-Sicherheit.“

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.