Im Kampf gegen Cyberattacken

Machine Learning als Wunderwaffe

Immer mehr Anbieter integrieren Machine Learning in ihre Sicherheitslösungen. Doch schafft man damit ­tatsächlich neue Wunderwaffen gegen Cyberattacken?

Wunderwaffen

Schafft man mit integriertem Machine Learning tatsächlich neue Wunderwaffen gegen Cyberattacken?

Viele Sicherheitsanbieter nutzen Technologien und Methoden rund um Machine Learning (ML) seit geraumer Zeit. So spielt das Thema bei Eset bereits seit 1998 eine entscheidende Rolle im Kampf gegen Malware. „Damals flossen erste Ergebnisse unserer Forschung im Bereich ‚Neuronale Netze‘ in die eigenen Produkte ein. Überdies hilft uns Machine Learning seit 2005, der Flut von täglich 200.000 bis 400.000 Malware-Codes Herr zu werden“, berichtet Thomas Uhlemann, Sicherheitsspezialist bei Eset Deutschland.

Auch bei Blackberry sind Algorithmen, die bei der Entwicklung von Sicherheitslösungen zum Einsatz kommen, ebenfalls keine Unbekannten. „Vielmehr hat sich Machine Learning in den letzten 20 Jahren Schritt für Schritt zum festen Bestandteil der Sicherheitslösungen entwickelt“, betont Chief Technology Officer Charles Eagan. Heutzutage findet man die Technologie am häufigsten in Endpoint-Protection-Plattformen mit Antivirus- und Identity-Access-Management-Funktionen der nächsten Generation vor. „Überdies sehen wir, dass Künstliche Intelligenz (KI) die Weiterentwicklung von Tools vorantreibt, die sich auf die Analyse von Nutzer- und Entitätsverhalten sowie  Security Information and Event Management (SIEM) konzentrieren“, ergänzt Eagan.

Wie wichtig Machine Learning und Künstliche Intelligenz mittlerweile für die Cybersicherheit geworden sind, bringt Hans-Peter Bauer, Vice President bei ­McAfee, wie folgt auf den Punkt: „Es geht nicht mehr um inkrementelle Effizienzsteigerungen, sondern um eine Überlebensstrategie in Zeiten wachsender Cyberbedrohungen. Wir sprechen in unserem aktuellen „Labs Threats Report“ von 480 neuen Bedrohungen pro Minute – diese Masse kann der Mensch alleine nicht mehr analysieren und abwehren.“ Ohne KI-Systeme, die wachsende Teile der Bedrohungsabwehr automatisiert erledigen, funktioniert es nicht mehr, betont Bauer.

Glaubt man den Sicherheitsexperten, dann liegen die Vorteile von Machine Learning und im nächsten Schritt von KI in der Cybersicherheit auf der Hand. Denn zum einen bringt deren Einsatz einen erheblichen Zeitvorteil mit sich. „Wir gehen davon aus, dass eine KI-basierte Analyse ca. 200 mal schneller arbeitet als ein Analyst“, glaubt Josef Meier, Director Sales Engineering bei Fortinet. Zum anderen können Muster und Zusammenhänge weitreichender erkannt werden. Wie dies in der Praxis aussehen kann, skizziert Meier wie folgt: „Die Zusammenführung, Bewertung und Interpretation verschiedener Informationen aus unterschiedlichen Systemen kann bei menschlicher Analyse relativ viel Zeit in Anspruch nehmen. Wird hierbei ein Angriff erkannt, ist dieser meist schon lange im Gange und man kann sich nur noch mit der Begrenzung bzw. Aufarbeitung der Auswirkungen beschäftigen. Ein KI-gesteuerter Verbund an Erkennungsmechanismen und automatisierter Abwehr hingegen kann in Mikrosekunden Entscheidungen treffen und einen Angriff sofort abwehren. Dies spielt vor allem bei komplexen Angriffen eine entscheidende Rolle.

Rob Pronk, Regional Director bei Logrhythm, betont ebenfalls, dass der Einsatz intelligenter Technologien mit einer deutlichen Entlastung der Mitarbeiter einhergeht. „Der große Vorteil liegt darin, menschliche kognitive Zyklen bei Sicherheitsoperationen zu sparen. Denn die meisten Organisationen sind ressourcenbeschränkt. Zum Beispiel besteht die Möglichkeit, die riesigen Mengen an Protokolldaten, die normalerweise in einem Unternehmen generiert werden, an eine ML-Engine zu übergeben, um anomale Muster zu analysieren und an die Oberfläche zu bringen oder die Priorisierung von Aktivitäten, die die meisten Sorgen bereiten“, erklärt Pronk. Dies könne bei den Analytikern wertvolle Zeit freisetzen. „Angesichts hoher Sicherheitsanforderungen und des weltweiten Mangels an Cybersicherheitsfachkräften, ist Automatisierung eine Voraussetzung für effektive Sicherheitsoperationen“, so Pronk weiter.

Damit sei das Ende der Fahnenstange noch längst nicht erreicht. Denn durch den Einsatz von Machine Learning und KI in Verbindung mit klassischen Methoden ist die Entwicklung neuer, benutzerfreundlicher Sicherheitskonzepte möglich, ergänzt Stephan Schweizer, CPO bei Nevis. So ist beispielsweise eine kontinuierliche Authentisierung von Nutzern während ihrer Online-Sitzung durch verhaltensbiometrische Attribute wie Schreibgeschwindigkeit, Touchscreen-Druck und Swiping-Verhalten möglich. „Mithilfe von Machine Learning kann in nur wenigen Online-Sitzungen ein umfangreiches Benutzerprofil erstellt werden, sodass die Sicherheit gegen Angriffe wie Session-Takeover oder ‚Microsoft-Fraud‘ enorm gesteigert werden kann, ohne dass die Benutzerfreundlichkeit darunter leidet“, erläutert Stephan Schweizer.

Trotz der stetigen Weiterentwicklung sind Machine Learning und KI an der einen oder anderen Stelle aber auch Grenzen gesetzt. Als eine bekannte Schwachstelle gelten etwa seit Jahren sogenannte False Positives. In diesem Zusammenhang betont Thomas Uhlemann, dass sich Fehlerkennungen nie ganz vermeiden lassen. Von daher sei wichtig, dass sich die eingesetzte Schutzlösung niemals auf nur eine Technologie verlässt. „Mehrschichtige Erkennungssysteme dämmen die Gefahr von Fehlalarmen ein, indem die Ergebnisse mehrerer Technologien kumuliert werden“, so Uhlemann weiter.

Wie Hacker Machine Learning nutzen

Was die Sicherheitsanbieter können, können Cyberkriminelle allemal: Glaubt man Branchenkennern, dann verbreitet sich die Nutzung von Machine Learning zunehmend auch in Hackerkreisen. Dabei wenden die Kriminellen die Techniken auf verschiedene Weise an. „Ein Schwerpunkt liegt in der Automatisierung, etwa beim Versand von Malware oder in der Auswertung von erhaltenen Informationen. Unsere Experten haben bereits Attacken entdeckt, die eigenständig reagieren, sobald es Anzeichen für eine Enttarnung oder Blockierung gibt. In diesem Moment greift die KI ein und leitet automatisch um, bricht ab oder gestaltet den Angriff anders“, weiß Uhlemann. Auf diese Weise sei es für Malware-Forscher oft schwer, Schadcode verbreitende Webseiten zu identifizieren. Denn diese würden „intelligent“ entscheiden, welchem Besucher Malware überhaupt „angeboten“ wird und wenn ja, welche.

Auf ein weiteres Anwendungsszenario verweist Josef Meier. Seiner Erfahrung nach gibt es im Darknet Angebote, die den Scan von Custom Malware durch eine Künstliche Intelligenz anbieten. „Hierbei werden Erkenntnisse aus verschiedenen Quellen – wie Virus Total oder Scan Engines verschiedener Anbieter – verwendet, um sicherzustellen, dass die Malware nicht erkannt wird“, so Meier. Der Preis für den Service liegt bei unter 50 US-Dollar pro File inklusive einer Geld-zurück-Garantie. Weiterhin beobachtet Meier, dass KI auch in Distributed-Denial-of-Service-Attacken eingesetzt wird. Dabei nutze man mittlerweile intelligente Swarm Bots, die untereinander kommunizieren, bewerten, adaptieren und völlig autark operieren.

Die Schäden, die solch aufgerüstete Hackerangriffe verursachen können, sollte man besser nicht auf die leichte Schulter nehmen. „Jeder IT-Ausfall kostet Geld. Je nach Branche und Lösung variiert zwar der Betrag pro Minute, aber das Bestreben, die Systeme den Kunden und Mitarbeitern schnellstmöglich wieder zur Verfügung zu stellen, ist branchenunabhängig“, betont Andreas Junck, Director of Sales bei Everbridge. In diesem Zusammenhang bestätigt Dr. Ralf S. Engelschall, Leiter Applied Technology Research bei Msg, dass sich die aus solchen Angriffen resultierenden Schäden nicht von denen herkömmlicher Attacken unterscheiden würden. „Weil die Attacken aber unauffälliger und effizienter geschehen, würden sie anfangs seltener entdeckt werden und hätten eine größere Chance auf Erfolg“, so Engelschall.

Dies ist ein Artikel aus unserer Print-Ausgabe 4/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Nicht alle Experten gehen davon aus, dass Machine Learning und KI in Hackerkreisen weit verbreitet sind.  Nach Ansicht von Stephan Schweizer spielen diese Technologien tendenziell noch keine große Rolle für die Angreifer, da die Datenbeschaffung möglichst unbemerkt geschehen soll und bisher auch ohne Machine Learning problemlos funktioniere. Vielmehr bedienen sich die Angreifer anderer Methoden. So werden bei ungezielten Angriffen, z.B. um ein Botnetz aufzubauen, Scanning-Techniken verwendet, um verwundbare Server zu finden. Bei gezielten Angriffen auf Banken, Firmen oder Staaten spielt über die Technik hinaus auch Social Engineering eine große Rolle.

Wie intelligent sind Cyberattacken?

Darüber, ob und wie Cyberkriminelle Machine-Learning-Ansätze heutzutage wirklich nutzen, lässt sich spekulieren. Theoretisch ist sehr viel denkbar. Realistisch betrachtet, sind Kriminelle jedoch noch weiter davon entfernt. Denn wie ihre Pendants auf der guten Seite sind die aktuellen ML-Lösungen vollkommene „Fachidioten“. Sprich: Sie können zwar ganz spezifische Probleme manchmal sehr gut lösen, sind aber weit davon entfernt, autarke Lösungen zu sein. Insofern ist es sehr wahrscheinlich, dass die ML-Ansätze der Cyberangreifer noch ein weiteres Problem haben: Konkrete erfolgreiche Angriffe benötigen meist hochindividuelle Herangehensweisen. Und diese Individualität zählt nicht zu den Stärken von ML-Lösungen. Eine statistische, verallgemeinernde Unschärfe stellt für sie zwar kein Problem dar. Allerdings können sie sich auf individuelle Ausreißer viel schlechter adaptieren, als man denkt.

Quelle: Ralf Engelschall, Leiter Applied Technology Research bei Msg

Bildquelle: Getty Images/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok