Künstliche Intelligenz in der IT-Sicherheit

Malware schneller klassifizieren

Künstliche Intelligenz (KI) hilft nicht nur bei der Identifizierung von Malware und Schadcode, sondern kommt auch ungewöhnlichem Nutzerverhalten im Netzwerk auf die Spur, erklärt Michael Kleist, Regional Director DACH bei Cyber Ark.

Michael Kleist, Cyber Ark

Michael Kleist, Regional Director DACH bei Cyber Ark in Düsseldorf

IT-DIRECTOR: Herr Kleist, welchen Stellenwert besitzt Künstliche Intelligenz (KI) derzeit bei der Entwicklung von Sicherheitslösungen?
M. Kleist:
Künstliche Intelligenz unterstützt Entwickler beispielsweise bei der Klassifizierung von Schadcode. Täglich landen Hunderttausende neuer Schädlinge in den Virenlabors. Sie alle eingehend zu analysieren und anschließend die Datenbasis für die künftigen Analysen mit den neuen Informationen zu aktualisieren, lässt sich manuell nicht mehr bewältigen. Um effektiv zu bleiben, müssen Prozesse automatisiert werden. Künstliche Intelligenz übernimmt diese Aufgabe. Sie ist in der Lage, aus gewonnenen Erkenntnissen zu lernen und dadurch neue verdächtige Dateien zu erkennen.

KI kommt aber auch im Bereich „User and Entity Behaviour Analytics (UEBA)“ zum Einsatz. Hier überwachen spezielle Algorithmen beispielsweise Nutzerprofile im Unternehmen. Entdecken sie ein Profil, das sich verdächtig verhält, alarmieren sie das Sicherheitsteam, das dann weitere Maßnahmen ergreift. In großen Unternehmen beobachten die Algorithmen Hundertausende von Nutzern, Endpunkten und anderen Geräten im Netzwerk. Aufgrund der bereits gelernten Informationen analysieren sie die Gefährlichkeit jeder neuen Aktivität. Die Ergebnisse fließen dann in künftige Analysen ein.

IT-DIRECTOR: In welchen Bereichen der Cyber-Sicherheit greifen die Anbieter am häufigsten auf Künstliche Intelligenz oder maschinelles Lernen zurück?
M. Kleist:
Malware-Klassifikation und "User and Entity Behaviour Analytics" sind die häufigsten Einsatzbereiche für Künstliche Intelligenz. In beiden Bereichen entlastet sie die Sicherheitsteams in Unternehmen deutlich bei ihrer täglichen Arbeit. So reduziert sich durch ihre Unterstützung beispielsweise die aufgewandte Zeit für die Nachjustierung von Sicherheitsregeln und Schwellenwerten. Die Spezialisten können sich nun den wirklich verdächtigen Aktivitäten im Unternehmen widmen. Außerdem reduziert sich dadurch die Rate der Fehlalarme, so genannte „False Positives“.

IT-DIRECTOR: Wie schaffen es die Sicherheitsanbieter, mittels KI mögliche Cyber-Attacken zu prognostizieren, zu verhindern oder zu bekämpfen?
M. Kleist:
Ein zentraler Punkt ist die Analyse historischer Daten. Basierend auf daraus gewonnenen Erkenntnissen lassen sich Profile bösartiger Aktivitäten erstellen. Sie dienen dazu, verdächtige Muster in Echtzeit im Datenstrom zu finden. Richtig eingesetzt, durchsuchen die Algorithmen kontinuierlich alle Daten, die im Unternehmen anfallen, nach potentiell bösartigen Aktivitäten. Analytiker wären dazu nie im Stande. Indem die Algorithmen sie aber auf verdächtige Aktivitäten hinweisen, halten sie ihnen den Rücken für wichtigere Aufgaben frei. Sie erhalten so die nötige Zeit, noch unbekannte Teile eines Angriffs zu analysieren und so eine Attacke besser zu verstehen – und damit gezielter abwehren zu können.

IT-DIRECTOR: Ein Blick auf die Hacker-Seite: Wie nutzen Cyber-Kriminelle die Technologien der Künstlichen Intelligenz für ihre Attacken?
M. Kleist:
Ein Angreifer will grundsätzlich unsichtbar bleiben. Um das zu erreichen, muss er wissen, wie Schutz-Software funktioniert. Da die Verteidigungswerkzeuge frei erhältlich sind, kann er lernen, wie die Abwehrmechanismen funktionieren und wie man sie umgeht. So wie Security-Software Künstliche Intelligenz dazu verwendet, ihre Erkennung zu verbessern, so sind auch Cyber-Kriminelle dazu in der Lage, sie für ihre Zwecke einzusetzen. Mit intelligenten Simulationen, die auf KI basieren, lernen die Cyber-Kriminellen beispielsweise, wie die Verteidigungs-Tools arbeiten. Aufgrund dieser Erkenntnisse entwickeln sie dann Cyber-Angriffe, die die Erkennungslogik von Schutz-Software zu umgehen versuchen.

IT-DIRECTOR: Wie könnten KI-basierte Attacken in der Praxis ablaufen?
M. Kleist:
Ein Beispiel für den Einsatz von Künstlicher Intelligenz ist Malware mit der Fähigkeit, verschiedene polymorphe Varianten von sich selbst zu erzeugen. Werden einige dieser Exemplare erkannt, dann erstellen die bislang unerkannten Versionen neue Varianten, die aber verschieden von den bereits erkannten sind. Der auf künstlicher Intelligenz basierende evolutionäre Prozess der Malware-Entwicklung führt theoretisch zu immer effizienteren Angriffen.

IT-DIRECTOR: Was wäre im Gegensatz zu bisherigen, altbekannten Attacken das Besondere daran? Welche großen Schäden könnten sie anrichten?
M. Kleist:
Sobald Technologien massentauglich sind, setzen Cyber-Kriminelle sie auch ein. Letztes Jahr wurde beispielsweise das erste Botnetz entdeckt, das sich aus Geräten des Internets der Dinge zusammensetzt. Gleiches gilt für künstliche Intelligenz. Unserer Meinung nach besteht eine hohe Wahrscheinlichkeit, dass im Jahr 2017 der erste auf künstlicher Intelligenz basierende Cyber-Angriff durchgeführt wird.

Durch ihre Lernfähigkeit werden die Angriffe bereits beim ersten Auftreten sehr ausgeklügelt sein. Diese Entwicklung macht fortgeschrittene Angriffe zum Standard und wird für ein hohes wirtschaftliches Wachstum im Hacker-Milieu sorgen, denn solche Angriffe waren bislang typisch für Nationalstaaten oder Verbrechersyndikate. Künftig ist mit dieser Art von Angriffen aber in größerem Umfang zu rechnen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok