Verseuchte E-Mails

Mit Machine Learning auf Nummer sicher gehen

Warum IT-Sicherheitslösungen heutzutage Machine Learning (ML) brauchen

Mit ML auf Nummer sicher gehen

Mittels ML-Technolohien ist es möglich, Samples direkt auf dem Rechner der Kunden zu analysieren.

Wenn Angestellte morgens um halb neun den Rechner starten, warten meist schon die ersten Mails im Posteingang. Darunter sind viele valide Anfragen, Rund-Mails von Kollegen – und immer wieder auch Schad-Software. Diese versteckt sich meist in den E-Mail-Anhängen, manchmal aber auch hinter einem trickreich ausgebrachten Link. Die Gefahr dahinter ist grundsätzlich bekannt – doch noch immer sind verseuchte E-Mails einer der größten Einfallsvektoren für Malware bei Unternehmen. Um diese Gefahr einzudämmen, spielen Machine-Learning-Technologien eine immer größere Rolle. Ein wichtiger Faktor, um Schad-Software wirkungsvoll zu bekämpfen, ist die Zeit. Denn die Kampagnen der Malware-Autoren werden immer schneller und kurzlebiger. Der deutsche Cyber-Defense-Spezialist G Data hat im vergangenen Jahr etwa pro Tag bis zu 300 neue Versionen der Trojaners Emotet entdeckt. Über das gesamte Jahr hinweg waren es durchschnittlich noch immer 80 neue Versionen pro Tag – also etwa alle 20 Minuten eine neue Version der Schad-Software. In so kurzen Zeiträumen kommen Antivirenlösungen, die nur auf von Analysten geschriebene Signaturen setzen, nicht mehr hinterher.

Eine Schad-Software-Welle ist also immer in dem Zeitraum besonders effektiv, in dem noch keine Signaturen für das jeweils neue Sample verfügbar sind. Zahlen aus der Telemetrie belegen, dass innerhalb der ersten Stunde die meisten Infektionen mit einer neuen Malware auftreten. Um diesen Zeitraum entscheidend zu verkürzen, bedarf es Machine Learning. Dessen Einsatz sowie der Einsatz anderer proaktiven Technologien wird in der Antivirenbranche meist als Next-Generation-Technologie bezeichnet. Dabei wird Malware ohne den Einsatz klassischer Signaturen erkannt.

Malware mit neuen Features

Anstatt Malware anhand einfach identifizierbarer Indikatoren wie etwa einem Hash-Wert, einer bestimmten Zeichenkombination oder anderer signifikanter Merkmale zu erkennen, bewerten diese Technologien entweder das Verhalten der Schad-Software oder versuchen, die zahlreichen Eigenschaften einer Datei mit einem großen Datensatz bekannter Schadcodes zu vergleichen. Denn vollkommen neu ist die Malware meist nicht. Das wäre für die kriminellen Netzwerke vom Entwicklungsaufwand her schlicht unprofitabel. Die eigentliche Software bleibt im Hintergrund also weitgehend identisch und bekommt nur alle paar Monate neue Features oder ändert grundlegende Dinge im Ablauf oder der Programmierung. Stattdessen werden die Malware-Kerne in regelmäßigen Abständen neu verpackt, sodass Antivirenlösungen sie nicht mehr einfach entdecken können – wenn diese ausschließlich mit alter Technik arbeiten.

Mittels ML-Technologien ist es hingegen möglich, Samples direkt auf dem Rechner der Kunden zu analysieren. Das bringt einerseits einen enormen Zeitvorteil: Die Dateien müssen nicht erst zur Analyse an den Sicherheitsanbieter übermittelt werden. Andererseits lassen sich so aus zahlreichen Indikatoren der Datei selbst Schlüsse ziehen, die bei der Enttarnung helfen. Das ist zunächst einmal die Information, ob eine Datei mit einem verdächtigen Packprogramm verschleiert wurde oder nicht. Insgesamt gibt es rund 150 solcher Faktoren, die sich aus dem langjährigen Wissen der Malware-Forschung speisen. Denn ohne Erfahrungswerte und die Expertise menschlicher Analysten kann kein Machine-Learning-Algorithmus vernünftig arbeiten. Im Fall der Deepray-Technologie von G Data analysiert ein sogenanntes Perceptron die vom Kunden ausgeführte Datei anhand dieser rund 150 Indikatoren. Stuft das Perseptron diese als verdächtig ein, startet ein spezieller Tiefenscan im Arbeitsspeicher, der das Verhalten der Malware analysiert.

Der Vorteil einer Analyse im Arbeitsspeicher: Die Malware kann sich nicht mehr verstecken oder ein gutartiges Verhalten simulieren. In weniger als einer Sekunde ist für die ML-Technologie ersichtlich, ob die ausgeführte Datei bösartig ist oder nicht. Ein weiterer Vorteil: Solche Lösungen dienen IT-Sicherheitsunternehmen als Frühwarnsystem. Denn um einen guten Schutz zu gewährleisten, sind Sicherheitsanbieter darauf angewiesen, frühzeitig schadhafte Dateien zu Gesicht zu bekommen. Dies geschieht auch durch Einreichungen von Kunden, den eigenen Erkennungsmechanismen – sogenannte Honeypots – oder durch einen Tausch zwischen den verschiedenen Sicherheitsunternehmen. Machine-Learning-Technologien fügen nun einen weiteren Weg hinzu. Denn sie tragen dazu bei, dass Bedrohungen auch dann erkannt werden, wenn zuvor noch keine Beispieldatei auf den Systemen des Herstellers analysiert wurde. Im Idealfall erkennt die Technologie ein solches Sample frühzeitig am Beginn einer Malware-Kampagne.

Danach wird die entsprechende Datei von klassischen Blacklisting-Werkzeugen oder einer Filecloud blockiert, ohne dass eine Analyse auf dem Kundensystem notwendig ist. Somit steht der durch die Technologie erreichte Schutz im Idealfall binnen weniger Minuten allen Nutzern zur Verfügung.

Dies ist ein Artikel aus unserer Print-Ausgabe 7-8/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Ein weiteres Plus: Die Suchparameter im Arbeitsspeicher des Computers sind deutlich langlebiger als klassische Signaturen. Denn wie beschrieben ändert die Malware ihr Verhalten nicht grundsätzlich, sondern passt meist nur die äußere Hülle an. So können die In-Memory-Signaturen über viele Monate hinweg verwendet werden – ganz anders als ihre traditionellen Gegenüber. Vor diesem Hintergrund setzt eine gute Sicherheitslösung heute auf eine Mischung aus neuen und altbewährten Technologien. Denn wenn sich eine Malware mit dem signaturbasierten Ansatz fangen lässt, dann ist das die einfachste und ressourcenschonendste Lösung. Parallel dazu hat aber auch Machine Learning längst einen festen Platz in der Cybersicherheit erobern können.

Bildquelle: Getty Images / iStock / Getty Images Plus

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok