Künstliche Intelligenz

So wehrt KI perfide Cyberattacken ab

Erheblicher Zeitvorteil: KI-basierte Cyber-Security-Software arbeitet rund 200 mal schneller als ein Analyst, berichtet Josef Meier von Fortinet.

Josef Meier, Fortinet

Josef Meier, Director Sales Engineering bei Fortinet

IT-DIRECTOR: Herr Meier, in Expertenkreisen gelten Machine Learning (ML) und im nächsten Schritt Künstliche Intelligenz (KI) als wichtige Technologien, um den Kampf gegen die zunehmenden Cyberbedrohungen zu gewinnen. Inwieweit haben sie bereits Einzug in aktuelle Sicherheitslösungen gehalten?
J. Meier:
Die genannten Technologien werden bereits seit vielen Jahren intensiv in verschiedenen Produkten genutzt. Das Spektrum reicht von User Behavior Analytics, also die Auswertung von Benutzerverhalten und die Erkennung von potentiell schadhaften Aktionen, bis hin zur Analyse und Erkennung von Schad-Software. Wir nutzen unsere Künstliche Intelligenz und unser neuronales Netz bereits seit über sechs Jahren für unsere Sicherheitstechnologien.

IT-DIRECTOR: Welche Vorteile können sich die Verantwortlichen vom Einsatz ML- bzw. KI-basierter Sicherheitslösungen versprechen?
J. Meier:
Zum einen bringt der Einsatz von KI einen erheblichen Zeitvorteil mit sich. Wir gehen davon aus, das eine KI-basierte Analyse circa 200 mal schneller arbeitet als ein Analyst. Und zum anderen können Muster und Zusammenhänge weitreichender erkannt werden. Hier spielt die Kombination aus Big-Data-Analyse gekoppelt mit einer KI eine entscheidende Rolle. Die Zusammenführung, Bewertung und Interpretation verschiedener Informationen aus unterschiedlichen Systemen kann bei menschlicher Analyse relativ viel Zeit in Anspruch nehmen. Bedeutet, wenn hier ein Angriff erkannt wurde, ist dieser meist bereits durchgeführt und man kann sich nur noch mit der Begrenzung beziehungsweise Aufarbeitung der Auswirkung beschäftigen. Ein KI-gesteuerter Verbund an Erkennungsmechanismen und automatisierter Abwehr kann in Mikrosekunden Entscheidungen treffen und einen Angriff sofort abwehren. Dies spielt vor allem bei komplexen Angriffen eine entscheidende Rolle.

IT-DIRECTOR: Auch Algorithmen können irren. Wie lassen sich sogenannte „False Positives“ am besten vermeiden?
J. Meier:
Hier spielt die Verwendung der richtigen Lernmethode eine große Rolle. Wir kombinieren hier Supervised Learning mit Unsupervised Learning und überprüfen Samples bis zu fünf Milliarden Mal in unserem neuronalen Netz. Das Ergebnis mündet direkt in Muster oder Filter, die dann auf unsere Geräte ausgebracht werden. Der Schlüssel ist hier, dass eventuell bereits nach mehreren tausend Rechenvorgängen ein Ergebnis feststeht, die Operationen aber fortgeführt werden, um das Ergebnis weiter zu präzisieren. Dennoch können False Positives niemals zu 100 Prozent ausgeschlossen werden.

IT-DIRECTOR: Ein Blick auf die Hacker-Seite: Wie nutzen Cyberkriminelle maschinelles Lernen und Künstliche Intelligenz für ihre Attacken?
J. Meier:
Leider gibt es hier vielfältige Anwendungsszenarien. Es gibt beispielsweise Angebote im Darknet, die den Scan von Custom Malware durch eine KI anbieten. Hierbei werden Erkenntnisse aus verschiedenen Quellen (Virus Total, Scan Engines verschiedener Anbieter) verwendet, um sicherzustellen, dass die Malware nicht erkannt wird. Der Service liegt bei unter 50 US-Dollar pro File und es gibt auch eine Geld-zurück-Garantie. Weiterhin beobachten wir, dass KI auch im Bereich DDoS eingesetzt wird. Hier werden mittlerweile intelligente Swarm Bots genutzt, die untereinander kommunizieren, bewerten, adaptieren und völlig autark operieren.

IT-DIRECTOR: Wie könnten solche Attacken in der Praxis ablaufen?
J. Meier:
Wenn wir als Beispiel eine Swarm-Bot-Attacke annehmen, würde das folgendermaßen ablaufen: Die Bot Clients waren bislang nur ausführenden Organe, die von einer Command-und-Control-Instanz mit Angriffsvariante und -ziel beauftragt wurden und diesen Angriff dann ausgeführt haben. Der Angriff würde auch erfolglos weiterlaufen, so lange der Auftraggeber diesen nicht abbricht. Ein Swarm-Bot-Cluster würde den Angriffsvektor sowie die zu verwendende Angriffsmethode auf Basis mehrerer Millionen Berechnungen selbst entscheiden und durchführen. Sofern kein Erfolg erzielt wurde, würde die KI den Angriff adaptieren und verändern. Der Auftraggeber gibt hier nur das gewünschte Ergebnis vor, also zum Beispiel die Kontrolle über mehrere hunderttausende Internet-of-Things-Devices zu erlangen. Alternativ können natürlich auch spezifische Ziele genannt werden und die KI entscheidet, welcher Angriffsvektor und Methode die besten Erfolgschancen hätte. Wenn diese Methoden jetzt beispielsweise mit Blockchain-Technologie genutzt werden würden, so wäre die Command-und-Control-Instanz, also der Auftraggeber, nicht mehre identifizierbar. Das bedeutet im Klartext: der Initiator der Attacke ist nicht verfolgbar und unter Umständen könnten sogar, wenn der Angriff erkannt wurde, jegliche Gegenmaßnahmen erfolglos verlaufen. Die Verwendung von Blockchain in Kombination mit einer DDoS-Attacke wurde bereits 2018 von einem Security Researcher in einem PoC erfolgreich demonstriert.

IT-DIRECTOR: Was wäre im Gegensatz zu bisherigen, altbekannten Attacken das Besondere daran? Welchen Schaden könnten sie anrichten?
J. Meier:
Ein konventioneller Angriff ohne KI benötigt extremen Aufwand an Vorbereitung, wenn er erfolgreich ablaufen soll. Das Ziel muss identifiziert werden, dann versucht man Eintrittstüren zu finden, danach muss ein Schadcode, Exploit usw. entwickelt werden. Die Attacke wird ausgeführt, schlägt unter Umständen fehl, muss adaptiert werden usw. Für jeden genannten Schritt braucht es unter Umständen einen Experten und je nach Komplexität mehrere Wochen oder gar Monate. Das alles unter Zeitdruck und der drohenden Gefahr der Entdeckung. Eine KI-gestützte Attacke führt einen Großteil der Operationen in wenigen Stunden oder Tagen durch und das Ergebnis ist wesentlich präziser. Damit lässt sich Manpower, Zeit und somit die Gefahr der Entdeckung minimeren. Der potentielle Schaden dieser Attacken lässt sich schwer abschätzen, aber im Grunde können wir KI gestützten Attacken nicht mit Manpower entgegnen. Hier bewahrheitet sich das Zitat „don’t bring a knife to a gunfight“ leider sehr deutlich.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok