Der offensichtlichste Anwendungsfall für zusätzliche Informationen ist die Erkennung von Netzwerkverkehrsmustern, um festzustellen, ob diese harmlos oder schädlich sind. Nehmen wir beispielsweise das Versenden von Dateien als E-Mail-Anhänge. Enthalten diese Viren, Trojaner oder andere Schadsoftware? Herkömmliche Technologien würden die Dateien auf Signaturen untersuchen – Codefragmente, die bei früheren Angriffen gefunden oder in anderen mit Schadsoftware infizierten Dateien dokumentiert wurden.

Signaturdatenbanken, die von Forschern und Antiviren-/Malware-Unternehmen bereitgestellt werden, sind aus mehreren Gründen unvollkommen. Mit der zunehmenden Anzahl an Malware-Varianten steigt auch die Anzahl der Signaturen, deren Verarbeitung mehr Zeit in Anspruch nimmt. Zudem sind Signaturen nur bedingt wirksam gegen Zero-Day-Angriffe, die bisher unbekannt sind.

Notwendig sind selbstlernende Systeme, die Schadsoftware anhand ihrer schädlichen Eigenschaften erkennen können, unabhängig davon, ob sie eine Signatur besitzt oder bereits bekannt ist. Solche Systeme, auch bekannt als maschinelles Lernen, nutzen KI-Techniken, um Muster schnell und effizient zu erkennen.

Ein weiterer Bereich, in dem KI die Cybersicherheit beeinflusst, ist die Erkennung von Hackerangriffen auf Passwörter und Berechtigungen. Bei sogenannten „Authentifizierungsangriffen“ scannen Cyberkriminelle Netzwerke nach Schwachstellen, beispielsweise nach Geräten oder Servern ohne definiertes Passwort oder mit einem bekannten Standardpasswort. KI-basierte Systeme können den Netzwerkverkehr überwachen und erkennen, wenn eine schädliche Anwendung das Netzwerk nach solchen Schwachstellen durchsucht. Sie lösen dann automatisch eine Warnung aus oder leiten Gegenmaßnahmen ein. Wie erkennt die KI das? Weil diese Art von Netzwerkverkehr nicht dem normalen Nutzungsverhalten von Endbenutzern oder der Kommunikation zwischen Maschinen entspricht. Schnelle Mustererkennung ist eine Stärke vieler KI-Softwarearten.

In diesen und anderen Fällen löst KI das Problem, indem sie mathematische Prinzipien anwendet. Tatsächlich lassen sich alle Arten künstlicher Intelligenz (und es gibt viele) als fortgeschrittene Mathematik charakterisieren. Es geht nicht um den Vergleich von Dateien oder die Prüfung von Signaturen; die Herausforderung besteht darin, das mathematische Problem zu lösen. KI bietet leistungsstarke Techniken und Algorithmen, um genau das zu leisten.

Ist es eine Katze? Ist es ein Virus?

Wir alle kennen die Software im Internet, die Bilder sehr gut erkennen kann. Facebook erkennt unsere Freunde auf Fotos oft automatisch und bietet an, sie zu markieren. Googles Algorithmen identifizieren Katzenvideos nahezu perfekt. Diese Bilderkennungsalgorithmen werden zwar üblicherweise nicht als KI bezeichnet, nutzen aber dieselben Techniken des maschinellen Lernens und neuronaler Netze, um dieselbe Aufgabe zu erfüllen, die ein KI-basierter Malware-Scanner beispielsweise zur Erkennung beschädigter Dateien oder Authentifizierungsangriffe verwendet.

Die Frage für KI-basierte Malware- und Netzwerkscanner ist denkbar einfach: Ist das Objekt (was auch immer es ist) sicher oder unsicher? Diese Scanner werden trainiert, indem neuronalen Netzen oder anderen selbstlernenden Systemen zahlreiche Beispiele für sichere und unsichere Objekte präsentiert werden. Sobald die Algorithmen trainiert sind, können sie in der Praxis eingesetzt werden und eine sehr schnelle und effiziente Bewertung vornehmen: Die Datei wird mit 99 % Wahrscheinlichkeit als sicher und nur mit 1 % Wahrscheinlichkeit als unsicher eingestuft und darf daher den Endbenutzer erreichen. Die Zugriffsanfrage der Anwendung wird mit 20 % Wahrscheinlichkeit als sicher und mit 80 % Wahrscheinlichkeit als unsicher eingestuft und daher blockiert.

Warum ist es kein Bild einer Katze?

Sicher. Unsicher. Das lässt sich leicht entscheiden, doch manchmal benötigen Administratoren oder Endnutzer mehr Informationen. Warum stuft die KI eine Excel-Tabelle als wahrscheinlich unsicher ein? Warum blockiert sie den Zugriff auf die Anwendung? Warum wirkte der JavaScript-Code auf der Webseite mit ziemlicher Sicherheit schädlich? Systeme des maschinellen Lernens liefern darauf nur schwer Antworten.

Stellen Sie sich das wie ein Bilderkennungssystem vor, das sagt: „Dieses Bild zeigt keine Katze.“ Warum wird es nicht als Katze erkannt? Nun, es sah nicht wie eine aus. Mehr lässt sich nicht herausfinden. Für ein Katzenfoto mag das ausreichen, aber in einem Unternehmensnetzwerk benötigen wir mehr Informationen: Warum wird diese Datei als Schadsoftware eingestuft? In solchen Fällen markiert das KI-System die Datei, und weitere Systeme führen forensische Analysen durch, um die ursprüngliche Entscheidung nicht nur zu überprüfen, sondern die Schadsoftware auch zu analysieren und so weitere Erkenntnisse zu gewinnen, die bei der Erkennung und Abwehr zukünftiger Angriffe hilfreich sein können.

Nahezu alle Cybersicherheitsunternehmen forschen in gewissem Umfang im Bereich der künstlichen Intelligenz (KI); sie können es sich nicht leisten, dies nicht zu tun. Drei Unternehmen haben einen deutlichen Vorsprung im Bereich der KI und setzen darauf, führend in deren Einsatz zur Erkennung und Abwehr von Angriffen zu werden: Cylance, Javelin Networks und Wedge Networks.

Cylance ist ein echter Geheimtipp.
Das in Irvine, Kalifornien, ansässige Unternehmen Cylance hat ein KI-basiertes Antivirenprogramm der nächsten Generation entwickelt. Cylance ist auf Endpunktschutz spezialisiert: Das Unternehmen erkennt und blockiert bekannte und unbekannte Malware, Viren und Bots und macht so zukünftige Angriffe wirkungslos.

Laut Cylance bildet eine revolutionäre Forschungsplattform für maschinelles Lernen, die auf Algorithmen und künstlicher Intelligenz basiert, das Herzstück der Malware-Erkennung. Sie analysiert und klassifiziert Hunderttausende von Merkmalen pro Datei und zerlegt diese bis ins kleinste Detail, um in Echtzeit zu erkennen, ob ein Objekt „gut“ oder „schädlich“ ist. Diese Merkmale sind nicht mit Signaturen zu verwechseln: Es handelt sich um Datenpunkte, die für jede Datei einzeln untersucht werden müssen.

Stuart-McClure-wDenken Sie noch einmal über die Katzenidentifizierung nach: Katzen haben Augen, Ohren, Nasen, eine bestimmte Kopfform und Hautstruktur. Aber das haben Hunde, Mäuse und Pferde auch. Es bedarf zehntausender Datenpunkte, um etwas, das mit hoher Wahrscheinlichkeit eine Katze ist, von etwas zu unterscheiden, das mit hoher Wahrscheinlichkeit keine Katze ist. Dasselbe gilt für die Unterscheidung zwischen einer sicheren und einer schädlichen PDF-Datei: Es gibt keinen einzelnen Indikator. Künstliche Intelligenz muss riesige Datenmengen analysieren, um eine sichere Entscheidung treffen zu können.

Stuart McClure, CEO, Präsident und Gründer von Cylance, erklärt: „Wir haben den Schlüssel gefunden. Wir haben einen Weg entdeckt, eine äußerst robuste Reihe von Algorithmen erstmals im Bereich der Cybersicherheit anzuwenden. Diese Algorithmen werden bereits seit über 30 Jahren in anderen Branchen wie dem Hochfrequenzhandel und dem Versicherungswesen, ja sogar in der Genomkartierung und -sequenzierung, getestet. Sie verarbeiten Daten und trainieren den Computer, Muster zu erkennen und die Zukunft vorherzusagen. Dies bot uns eine seltene Gelegenheit, diese neue KI-Anwendung optimal zu nutzen, da die Anwender mit den bestehenden Antivirenlösungen unzufrieden waren.“.

Cylances mathematischer Ansatz verhindert die Ausführung von Schadcode ohne vorherige Kenntnis oder mithilfe unbekannter Verschleierungstechniken. Laut Unternehmen erreicht kein anderes Anti-Malware-Produkt diese Genauigkeit, Benutzerfreundlichkeit und Effektivität, insbesondere solche, die auf dem herkömmlichen Vergleich von Signaturdateien basieren.

 

Speerwerfen

Javelin Networks mit Sitz in Palo Alto, Kalifornien, hat sich auf Authentifizierungsangriffe spezialisiert. Dabei dringt ein Cyberkrimineller in ein Unternehmensnetzwerk ein und versucht, seine Position auszunutzen, um Unternehmenswerte zu stehlen. Javelin nutzt KI-basierte Mustererkennung, um eine Kompromittierung des Netzwerks sofort zu erkennen. Typischerweise erkennt das Unternehmen Aktivitäten, die ausschließlich von Angreifern durchgeführt werden, wie das Scannen des Netzwerks nach Schwachstellen sowie das Aufspüren leicht verständlicher Benutzerkonten, Anwendungen und Server.

Greg FitzgeraldWird ein Angriff erkannt, schreitet Javelin sofort ein und führt mehrere Aktionen gleichzeitig aus.

• Es wird eine Warnung ausgegeben, die die Unternehmenssicherheit und IT-Experten darüber informiert, dass der Angriff stattfindet.

• Es isoliert den kompromittierten Endpunkt (z. B. den Laptop eines Endbenutzers) heimlich vom Zugriff auf reale Unternehmensressourcen, jedoch auf eine Weise, die der Angreifer nicht bemerkt.

• Und dann erschafft es für den Angreifer ein fiktives, aber reales Netzwerkuniversum, in dem er in einem Labyrinth aus Hunderten oder Tausenden attraktiver, aber simulierter Ressourcen gefangen ist.

Während der Cyberkriminelle versucht, tiefer in diese simulierten Ressourcen einzudringen und nach geistigem Eigentum, Netzwerkpasswörtern und anderen Wertgegenständen zu suchen, spielt Javelin mit dem Hacker wie ein Lachs im Fischernetz. Javelin hält den Angreifer auf, während forensische Tools versuchen, Informationen über die Cyberkriminellen selbst zu sammeln.

Greg Fitzgerald, COO und CMO von Javelin, erklärt: „Javelin ist eine Intrusion-Detection-Technologie der nächsten Generation. Sie ermöglicht es Angreifern, sich durch ihre Aktionen – also durch das, was sie auf einem kompromittierten System tun – zu offenbaren. Javelin revolutioniert die Art und Weise, wie Angreifer in Unternehmen aufgespürt und gestoppt werden. Das System geht davon aus, dass ein Angriff stattfindet und ein System kompromittiert wird, unabhängig davon, ob es sich um Malware handelt oder nicht. Dadurch werden enorme Ressourcen – sowohl finanzieller als auch personeller Art – bei der Datenerfassung und -analyse eingespart und die Zeit bis zur Identifizierung eines Angreifers deutlich verkürzt. Aktuelle Standarduntersuchungen dauern laut Berichten 150 bis 200 Tage, um einen Angreifer zu identifizieren. Javelin konnte zeigen, dass sich diese Zeit von Monaten auf Minuten reduzieren lässt.“.

Javelin Networks erklärt, dass gezielte Angriffe auf dem Wissen der Angreifer über die interne Netzwerktopologie der Opfer beruhen. Javelin entzieht ihnen dieses Wissen, indem es die gesamte Topologie maskiert. Sobald Angreifer auf die maskierte Topologie zugreifen, werden sie von einer KI-basierten Mustererkennungssoftware erfasst, und ihr Vorhaben ist gescheitert.

Einen "Keil" in den Cyberangriff treiben

Wedge Networks mit Hauptsitz in Calgary, Alberta, konzentriert sich auf die Abwehr von Malware und Cyberangriffen in Unternehmensnetzwerken (oder Privathaushalten) durch die Überwachung des Internet- und Cloud-Verkehrs. Das Unternehmen nutzt verschiedene mathematische Verfahren, um Netzwerkbenutzer vor Viren und anderer Schadsoftware, einschließlich Ransomware, zu schützen. Da Kunden signaturbasierter Sicherheit vertrauen, verwendet die Cloud-basierte Sicherheitsplattform von Wedge Hochgeschwindigkeits-Signaturscanner. Wedge setzt zudem KI-Technologie ein, um die Malware-Erkennung zu beschleunigen, und arbeitet mit Cylance zusammen, um dessen KI-gestütztes Endpoint-Security-System in die netzwerkbasierte Sicherheitslösung zu integrieren.

Wedge Advanced Malware Blocker nutzt die KI-Technologie von Cylance und weitere Technologien, um Viren und hochentwickelte Malware auf Netzwerkebene zu erkennen und zu blockieren und so deren Eindringen in Unternehmensnetzwerke zu verhindern. Durch die Kombination der Hyper-Inspection-Technologie von Wedge mit der Machine-Learning-Engine von Cylance und der Bedrohungsanalyse WedgeAMB bietet Wedge Advanced Malware Blocker laut Hersteller einen bahnbrechenden neuen Ansatz zur Malware-Prävention.

James HamiltonWie Wedge erklärt, werden Bedrohungen in Echtzeit blockiert, wodurch Kosten, Störungen, Aufwand und die mit der Bekämpfung von Bedrohungen nach deren Eindringen in das Netzwerk verbundenen Peinlichkeiten entfallen. Zudem bietet es Echtzeit-Einblicke in die Bedrohungslandschaft des gesamten Netzwerks und ermöglicht es dem Sicherheitspersonal, die kritischsten Risiken zu identifizieren und sich zunächst auf deren Behebung zu konzentrieren.

James Hamilton, CEO von Wedge Networks, erklärt: „Wir haben ein neues Produkt entwickelt, das traditionelle Cybersicherheitsrichtlinien – meist signatur- oder heuristikbasiert – mit modernen Anwendungen des maschinellen Lernens kombiniert. Diese Kombination hat sich als äußerst beliebt und leistungsstark erwiesen. Mithilfe von maschinellem Lernen lassen sich die Motivation von Malware, ihr Erscheinungsbild und ihr Verhalten analysieren. Man muss nicht genau wissen, um welche Malware es sich handelt, sondern kennt ihre Eigenschaften. Wenn man die Vorgänge am Endpunkt versteht, kann man das Verhalten der Malware nachvollziehen und sie blockieren.“

WedgeAMB umfasst WedgeIQ, eine automatisierte Threat-Intelligence-Engine, die Bedrohungsdaten aus unternehmensweiten AMB-Systemen sammelt, um die Bedrohungslandschaft im gesamten Netzwerk zu charakterisieren, zu korrelieren, zu analysieren und zu visualisieren. Dieses umfassende Tool zur Bedrohungsanalyse liefert Informationen, um sich entwickelnde Bedrohungen in Echtzeit abzuwehren.

 

Öffne die Netzwerkschranken, Hal

Die Anzahl der Bedrohungen nimmt alarmierend schnell zu. Laut PandaLabs wurden 2015 über 84 Millionen neue Malware-Proben gesammelt – das sind 230.000 neue Malware-Proben pro Tag. Unglaublich, oder? Jeden Tag werden eine Viertelmillion neuer Malware-Varianten entdeckt. Und die Zahl steigt stetig. Ältere Technologien wie die signaturbasierte Analyse können da nicht mithalten. Der Kampf gegen Malware und Cyberkriminalität erfordert Intelligenz – künstliche Intelligenz. Jedes Cybersicherheitsunternehmen untersucht KI als unverzichtbares Werkzeug, um Kunden beim Schutz ihrer Netzwerke und Endgeräte zu unterstützen; Cylance, Javelin Networks und Wedge Networks sind hier Vorreiter. Das sind gute Nachrichten für ihre Kunden und schlechte Nachrichten für Cyberkriminelle.

Sehen Sie sich das Dokumentarvideo an (Englisch): Video

Autor: Alan Zeichick, NetEvents