18.04.2017 Schutz vor Cyber-Attacken

Wie smarte Algorithmen Malware aufspüren

Von: Ina Schlücker

Ohne entsprechend smarte Algorithmen und ohne Künstliche Intelligenz (KI) lassen sich die täglich bis zu 400.000 Malware-Samples kaum bewältigen, berichtet Thomas Uhlemann, IT-Sicherheitsspezialist bei Eset.

Thomas Uhlemann, Eset

Thomas Uhlemann, Security Specialist bei Eset

IT-DIRECTOR: Herr Uhlemann, welchen Stellenwert besitzt Künstliche Intelligenz (KI) derzeit bei der Entwicklung von Sicherheitslösungen?
T. Uhlemann:
Der Begriff „Künstliche Intelligenz“ ist sehr weit gefasst. Allerdings kann man sagen, dass ohne gewisse smarte Algorithmen, Verhaltenserkennungen und andere Automatismen, die Flut von täglich 200.000 bis 400.000 Malware-Samples nicht zu bewältigen wäre. Das heißt, dass bereits an der Quelle unserer Verarbeitung auf eine gewisse Künstliche Intelligenz gesetzt wird und natürlich auch verschiedenste Erkenntnisse aus der Verarbeitung wieder Rückfluss in die angewandten Automatismen finden. Entsprechende Funktionalitäten finden sich dann auch in unseren Produkten wieder, so etwa eine Verhaltenserkennung und andere automatisierte Erkennungsmethoden.

IT-DIRECTOR: In welchen Bereichen der Cyber-Sicherheit greifen die Anbieter am häufigsten auf Künstliche Intelligenz oder maschinelles Lernen (Machine Learning) zurück?
T. Uhlemann:
Das ist im Feld der Datenerhebung definitiv ein Schwerpunkt. Das heißt, die tägliche Flut neuer Malware-Samples ist nur mit einem intelligenten Big-Data-Ansatz zu bewältigen, wozu auch Künstliche Intelligenz und Machine Learning (ML) einen großen Beitrag leisten. Hier ist es auch nicht von so großem Gewicht, wenn Fehlalarme erzeugt werden, da immer noch menschliche Mitarbeiter die Qualitätskontrolle innehaben. Beim alleinigen KI- oder Machine-Learning-Einsatz am Endpunkt wäre die Gefahr von Fehlalarmen und somit negativem Benutzererlebnis aktuell noch zu groß. Trotzdem werden entsprechende Automatismen natürlich längst, sofern von geprüfter Qualität und Zuverlässigkeit, neben anderen – auch statischen – Erkennungsmethoden am Endpunkt eingesetzt.

IT-DIRECTOR: Wie schaffen es die Sicherheitsanbieter hier, mittels KI mögliche Cyber-Attacken zu prognostizieren, zu verhindern oder zu bekämpfen?
T. Uhlemann:
Ohne zu sehr ins Detail zu gehen, gibt es verschiedene Ansätze, automatisierte Ergebnisse zu verwenden. Die Implementierung sinnvoller KI- und ML-Methoden in der „Threat Intelligence“, also bei den zusammengefassten Informationen, die unsere Labors erreichen, lässt uns Anomalien im (internationalen) Datenverkehr erkennen. Darüber hinaus konzentrieren wir uns auf eventuelle Verbreitungswege von Malware oder anderer Angriffsvektoren, die gegebenenfalls automatisierte Alarme oder andere Aktionen auslösen. Hier können wir unser Cloud-System „Eset Live Grid“ nutzen, um die Anwendersysteme entsprechend zu informieren und vorzubereiten, bzw. innerhalb kürzester Zeit Updates für Module und Regelwerke bereitzustellen.

IT-DIRECTOR: Ein Blick auf die Hacker-Seite: Wie nutzen Cyber-Kriminelle die Technologien der Künstlichen Intelligenz für ihre Attacken?
T. Uhlemann:
Ich denke, dass die hochprofessionalisierten Angreifer mit entsprechend großem Budget, egal ob Mafia oder staatlich finanziert, zumindest grundlegend das Thema Künstliche Intelligenz und Machine Learning für sich anwenden. Das beginnt bereits bei automatisierten Auswertungsverfahren. Dabei werden Angriffe automatisch umgeleitet, abgebrochen oder umgestaltet, sobald die KI feststellt, dass es Anzeichen dafür gibt, dass der Angriff in irgendeiner Weise erkannt oder gar blockiert wurde. Außerdem können automatisierte Script-Attacken stattfinden, wobei die Erkenntnisse aus dem Rückfluss an Informationen wieder automatisch in neue Angriffsalgorithmen einfließen. Das sind nur einige Beispiele, da auch hier die Möglichkeiten enorm groß sind.

IT-DIRECTOR: Wie könnten KI-basierte Attacken in der Praxis ablaufen?
T. Uhlemann:
Das kann man, ob der vielen Möglichkeiten, nur beispielhaft beantworten. Denkbar ist ein Angriff, der mit einem automatischen Script startet. Dieses sucht im Netz nach Webcams eines speziellen Herstellers, bei dem bekannt ist, dass die Admin-Zugangsdaten fest in der Firmware der Geräte hinterlegt und unveränderbar sind – so bereits geschehen. Die Webcams werden übernommen und melden sich beim sogenannten Command & Control Server (C&C), welcher dann automatisiert das weitere Vorgehen bestimmt. Das könnte so aussehen, dass anhand der Zahl der Rückmeldungen und verschiedener anderer Kriterien wie Geolocation – dem Standort der Geräte – und Routing von der KI „entschieden“ wird, welches Ziel per DDoS-Attacke lohnenswert ist. Die KI startet dann auch automatisch den Angriff. Wie bei jeder anderen Art von KI und Machine Learning müssen jedoch immer noch Programmierer zumindest die grundlegenden Regeln und Verhaltensweisen festlegen, um die Kontrolle über ihre Werkzeuge zu behalten. Die „künstliche Hyperintelligenz“, die alles selbst entscheidet, gibt es derzeit noch nicht und kann auch nicht im Interesse der Cyber-Kriminellen liegen. Die Gefahr, die Kontrolle und somit am Ende das Geld zu verlieren, wäre viel zu groß.

IT-DIRECTOR: Was wäre im Gegensatz zu bisherigen, altbekannten Attacken das Besondere daran? Welche großen Schäden könnten sie anrichten?
T. Uhlemann:
Neu an KI-gestützten Angriffen ist u.a. die Geschwindigkeit, mit der Angriffe ablaufen, gestartet werden und wieder „verschwinden“ oder eben auf mögliche Erkennung reagieren. Da hier keine Menschen im laufenden Prozess „auf Knöpfe drücken“ müssen, reden wir hier möglicherweise von Millisekunden, in denen automatisch Entscheidungen getroffen werden. Dies gilt allerdings auch für die KI- und ML-Implementierungen auf unserer Seite. Die Schäden lassen sich natürlich im Einzelnen nicht direkt beziffern, da das Feld zu groß ist. Generell wird sich die Art der Schäden jedoch nicht oder nur kaum ändern: dazu zählen u.a. Reputationsverlust, physischer Schaden durch Zugriff auf Anlagensteuerungen, finanzielle Verluste durch Diebstahl, Lösegelderpressung, Produktions- und Verdienstausfall sowie der Verlust von Daten.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH