KI und Security

„Die Angreifer werden immer raffinierter“

Künstliche Intelligenz wird auch von Cyberkriminellen genutzt, betont Vectra-CTO Oliver Tavakoli. Machine Learning soll den Unternehmen Waffengleichheit bringen.

Vectra-CTO Oliver Tavakoli

Vectra-CTO Oliver Tavakoli

Cybersecurity ist ein Wettlauf um die beste Technologie, um den jeweiligen Gegner austricksen. Die Angriffe werden immer raffinierter, denn die Cyberkriminellen setzen ebenso wie die Verteidiger in den Unternehmen auf Hightech. Im Interview mit it-zoom.de beleuchtet Oliver Tavakoli, CTO des Sicherheitsanbieters Vectra, die aktuelle Entwicklung.

Viele KI-Tools wie Bibliotheken für Deep Learning sind frei verfügbar und können auch von Cyberkriminellen eingesetzt werden. Auf welche Weise nutzen sie diese Möglichkeiten?

Künstliche Intelligenz maschinelles Lernen sind Werkzeuge, die bei der Automatisierung von Prozessen helfen. Diese Technologie kann stehen allen offen, Cyberkriminellen also auch. Sie können KI nutzen, um viele Aspekte bei der Suche nach Schwachstellen in vorhandenen Systemen zu automatisieren. Darüber hinaus können KI-Technologien auch beim Social Engineering helfen.

Wir wissen aus unserer praktischen Erfahrung, dass Daten aus Facebook und Twitter ausgelesen werden können, um Phishing-Attacken glaubwürdiger zu machen. Bis vor kurzem waren das ein erheblicher manueller Aufwand. Doch mit KI-Algorithmen lassen sich Angaben aus den sozialen Netzwerken deutlich einfacher und schneller als Rohmaterial für Phishing-Mails einsetzen.

Im Grunde sind das dieselben Vorgehensweisen und Technologien, die für zahlreiche Marketing-Kampagnen eingesetzt werden. Es geht in beiden Fällen darum, die Wahrscheinlichkeit für das Anklicken eines bestimmten Links zu erhöhen - der im Falle von Cyberkriminalität dann beispielsweise zur Installation eines Schadprogramms führt.

Nun zur Gegenseite: Auf welche Weise setzen Security-Anbieter KI-Verfahren ein?

Anbieter und Hersteller in der IT-Security nutzen KI für eine ganze Reihe unterschiedlicher Aufgaben. Erstens ist es möglich, damit die Tests von Malware zu automatisieren, sodass die Signatur Datenbanken schneller aktualisiert werden können. Zweitens ist es möglich, mit maschinellem Lernen die Vorgehensweise von Security-Teams zu beobachten und in einem zweiten Schritt bestimmte Aufgaben zu automatisieren. Drittens können Verfahren des maschinellen Lernens eingesetzt werden, um Verhaltensmodelle aufzubauen. Mit ihnen werden Anomalien im Nutzerverhalten oder das spezielle Verhalten von Angreifern schnell aufgedeckt.

Was sind die Vorteile dieser KI-Verfahren und was können sie besser als bisherige Security-Tools?

Dieses Verfahren können eine ganze Reihe von Problemen lösen, deren manuelle Behebung durch den großen Zeitaufwand oder die hohen Kosten normalerweise nicht sinnvoll ist. Denn sie können sich besser und schneller als bisherige Security-Tools an die Variabilität der Umgebung anpassen. Dadurch wirken sie im Gegensatz zu traditionellen Verfahren wie eine Art beweglicher Schutzschild.

Welche Angriffsarten kann KI besonders gut entdecken? Wie sieht das im Vergleich zu herkömmlichen Methoden wie Signatur-Datenbanken aus?

Signaturen ermöglichen eine sehr präzise Erkennung von bekannten Angriffen, scheitern aber bei neuen und ungewöhnlichen Angriffen. Die sind die Domäne von KI-Verfahren, die über Muster- und Verhaltenserkennung eine sehr große Bandbreite an Angriffen erkennen.

Bedeutet das, dass Unternehmen in Zukunft alleine auf KI-Verfahren setzen sollten?

Nein, das Scannen nach bestimmten digitalen Signaturen ist auch in Zukunft die erste Verteidigungslinie. Etwas vereinfacht gesagt, bestehen 99 Prozent aller Angriffe auf Unternehmen aus bekannten Vorgehensweisen und Schadprogrammen. Sie werden zuverlässig von den signaturbasierten Verfahren erkannt. Es geht um das eine Prozent, das neuartige Vorgehensweisen und beispielsweise unbekannte oder veränderte Tools für das Scannen von Netzwerken auf Exploits einsetzt.

Welche Voraussetzungen müssen Unternehmen erfüllen, wenn sie KI nutzen wollen? Müssen erst einmal Trainingsdaten generiert werden oder es gibt es vortrainierte Modelle?

Das hängt von den KI-Verfahren ab, die ein Unternehmen einsetzen will. Die Anomalie-Erkennung in einem größeren Unternehmensnetzwerk muss zunächst anhand des dort üblichen „Normalverhaltens“ trainiert werden, um Abweichungen präzise zu erkennen. Das liegt daran, dass jedes Unternehmen seine eigene, ganz individuelle Mischung aus typischen Arbeitsweisen, häufig genutzten Tools und IT-Verfahren einsetzt. Ein Beispiel: In einem Unternehmen sind Remote-Logins die Ausnahme, im anderen aber Alltag. Die KI-Anwendung muss zunächst „lernen“, was in einer bestimmten Umgebung als Anomalie gilt.

Es gibt allerdings auch vortrainierte Modelle, die typische Verhaltensweisen von Hacker-Tools und Eindringlingen erkennen. Sie werden vom Anbieter vortrainiert und sind direkt nach der Installation beim Kunden einsatzbereit.

Die Analyse von aktuellen Bedrohungen und tatsächlichen Cyberangriffen ist bisher die Aufgabe von menschlichen Security-Experten. Was macht KI besser? Müssen die Experten jetzt um ihre Arbeitsplätze fürchten?

Künstliche Intelligenz beschleunigt die Analyse von Angriffen und Schwachstellen. KI-Verfahren sind deutlich besser als Menschen darin, große Mengen von Daten zu verarbeiten und langweilige Routineaufgaben zu erledigen - um ein Vielfaches schneller, als Menschen dies jemals könnten. Zudem reduziert KI das Risiko von Fehlern durch Unachtsamkeiten oder Überlastung - sie arbeitet rund um die Uhr in gleicher Qualität und Geschwindigkeit.

Allerdings werden menschliche Sicherheitsexperten nicht von KI abgelöst, denn auch die Angreifer entwickeln ihre Verfahren weiter und reagieren dabei auf die in den Unternehmen eingesetzten Abwehrmechanismen. Im Grunde handelt es sich hierbei um ein Spiel, dessen Regeln von den Menschen permanent geändert werden. Deshalb ist die Urteilsfähigkeit von Menschen bei der Abwehr von Cyberangriffen in Unternehmen immer noch gefragt.

Bildquelle: Vectra

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok