KI in der Cybersecurity

Wie Algorithmen neue Malware aufspüren

Intelligente Algorithmen erkennen selbständig Ähnlichkeiten von neuem Schadcode, wie beispielsweise Struktur oder Verhalten, mit bereits bekannter Malware, berichtet Thomas Uhlemann von Eset Deutschland im Interview.

Thomas Uhlemann, Eset

Thomas Uhlemann, Security Specialist DACH bei der Eset Deutschland GmbH

IT-DIRECTOR: Herr Uhlemann, in Expertenkreisen gelten Machine Learning (ML) und im nächsten Schritt Künstliche Intelligenz (KI) als wichtige Technologien, um den Kampf gegen die zunehmenden Cyberbedrohungen zu gewinnen. Inwieweit haben sie bereits Einzug in aktuelle Sicherheitslösungen gehalten?
T. Uhlemann:
Bei etablierten Herstellern wie Eset spielt das Thema „Machine Learning“ bereits seit 1998 eine entscheidende Rolle im Kampf gegen Malware. Damals flossen erste Ergebnisse unserer Forschung im Bereich „Neuronale Netze“ in die eigenen Produkte ein. Seit 2005 hilft uns Machine Learning, der Flut von täglich 200.000 bis 400.000 Malware-Codes Herr zu werden. Hinzu kommen noch die Möglichkeiten aus der Cloud, die von unserem Tool „Augur“ verarbeitet werden. Dies wandelt weltweite Datenströme und das Feedback der Kundeninstallationen in Sekundenschnelle in neue Informationen zum Schutz der Anwender um.

IT-DIRECTOR: Welche Vorteile können sich die Verantwortlichen vom Einsatz ML- bzw. KI-basierter Sicherheitslösungen versprechen?
T. Uhlemann:
Die Vorteile liegen nicht nur auf der Hand, sie sind längst im Einsatz. Bereits seit mehreren Jahren profitieren unsere Kunden von der kontinuierlichen Weiterentwicklung der Möglichkeiten, die uns Machine Learning bietet. So können wir einerseits durch intelligente Algorithmen den Speicherplatz und die Prozessorlast am Endpunkt geringhalten. Andererseits stoppen wir proaktiv bisher unbekannte Schädlinge zuverlässig. Algorithmen erkennen selbständig Ähnlichkeiten von neuem Schadcode, wie beispielsweise Struktur oder Verhalten, mit bereits bekannter Malware.

IT-DIRECTOR: Auch Algorithmen können irren. Wie lassen sich sogenannte „False Positives“ am besten vermeiden?
T. Uhlemann:
Ganz vermeiden lassen sich Fehlerkennungen nie. Wichtig ist, dass die eingesetzte Schutzlösung sich niemals auf nur eine Technologie verlässt. Mehrschichtige Erkennungssysteme wie unsere dämmen die Gefahr von Fehlalarmen ein, indem die Ergebnisse mehrerer Technologien kumuliert werden. Jede Schutzlösung sollte Aktualisierungen unterstützen, um False Positives korrigieren zu können. Anwender sind gut beraten, die Finger von Produkten zu lassen, deren Management eine Mitigation von Fehlerkennungen nicht oder nur schwierig realisieren lässt.

IT-DIRECTOR: Ein Blick auf die Hacker-Seite: Wie nutzen Cyberkriminelle maschinelles Lernen und Künstliche Intelligenz für ihre Attacken?
T. Uhlemann:
Der Schwerpunkt liegt hier in der Automatisierung, zum Beispiel beim Versand von Malware oder in der Auswertung von erhaltenen Informationen. Unsere Experten haben bereits Attacken entdeckt, die eigenständig reagieren, sobald es Anzeichen für eine Enttarnung oder Blockierung gibt. In diesem Moment greift die Künstliche Intelligenz ein und leitet automatisch um, bricht ab oder gestaltet den Angriff anders. So ist es für Malware-Forscher oft schwer, Schadcode verbreitende Webseiten zu identifizieren. Denn diese entscheiden „intelligent“, welchem Besucher Malware überhaupt „angeboten“ wird und wenn ja, welche.

IT-DIRECTOR: Wie könnten solche Attacken in der Praxis ablaufen?
T. Uhlemann:
Wenn etwa eine Firma angegriffen wird, sammeln Algorithmen und Scripte automatisch alle verfügbaren Daten über das Ziel, werten diese aus, qualifizieren und sortieren sie. Dazu gehören vor allem öffentlich zugängliche Daten. Zu diesen zählen auch Informationen über offene Ports oder Verwundbarkeiten von Webcams. Daraufhin entscheiden teilweise heute schon ML-Algorithmen, über welchen Weg am schnellsten, günstigsten und unauffälligsten ein Angriff realisiert werden kann. Gestohlene Daten der Opfer fließen dann wieder in Datenbanken für weitere Angriffe auf andere Ziele.

IT-DIRECTOR: Was wäre im Gegensatz zu bisherigen, altbekannten Attacken das Besondere daran? Welchen Schaden könnten sie anrichten?
T. Uhlemann:
Neu an KI-gestützten Angriffen ist unter anderem die Geschwindigkeit, mit der Angriffe gestartet werden, ablaufen und wieder „verschwinden“ oder eben auf eine mögliche Erkennung reagieren. Da hier keine Menschen mehr im laufenden Prozess „auf Knöpfe drücken“ müssen, reden wir hier möglicherweise von Millisekunden, in denen automatisch Entscheidungen getroffen werden. Dadurch lassen sich Angriffe nahezu jeder Größe realisieren.

Aufgrund der Komplexität und den vielen Möglichkeiten von KI muss man mit der Steigerung von Schäden stark rechnen. In derselben Zeit können nicht nur mehr Attacken gefahren werden, sondern auch intelligenter und zielgerichteter ablaufen. Die Art der Schäden wird sich eher nicht oder kaum ändern. Dazu zählen unter anderem Reputationsverlust, physischer Schaden durch Zugriff auf Anlagensteuerungen, finanzielle Verluste durch Diebstahl, Lösegelderpressung, Produktions- und Verdienstausfall sowie der Verlust von Daten.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok