Elnur - stock.adobe.com
Wie Machine Learning die IT-Sicherheit verbessern kann
Kaum ein Security-Produkt, in dessen Kontext nicht maschinelles Lernen und KI genannt werden. In welchen Fällen verbessern diese Technologien die Sicherheit tatsächlich?
Ich erinnere mich noch gut daran, wie ich meine erste Spam-Mail vor 20 Jahren bekam. Der Betreff der Nachricht lautete „Bist du Bob aus dem Chatroom?“ und der Inhalt bestand aus ein paar Sätzen, die mich ermuntern sollten, auf den enthaltenen Link zu klicken. Wenn Sie das jetzt lesen, sollten Sie bedenken, dass das Internet damals netter, freundlicher und auch naiver war. Möglicherweise hatten auch Sie ein vergleichbares Erlebnis. Im Laufe der folgenden Jahre haben wir alle gelernt, Spam und bösartige Mails auf einen Blick zu erkennen und zudem nicht mehr auf potentiell schädliche Links zu klicken, oder etwa nicht?
Machine Learning zum Verbessern der IT-Security verfolgt einen ähnlichen Ansatz, wie ihn auch erfahrene Anwender umsetzen. Durch den kontinuierlichen Kontakt mit Spam- und Phishing-Mails haben wir gelernt, damit umzugehen. Durch die Bearbeitung zahlloser „guter“ und „böser“ Mails, entwickelt und verbessert auch maschinelles Lernen seine eigenen Vorstellungen darüber, was vermutlich gutartig ist und was vermutlich bösartig.
Die Frage ist aber, ob wir wirklich Machine Learning und eine künstliche Intelligenz (KI) benötigen, um den Schutz unserer Clients im Unternehmen zu verbessern. Eine um KI-Fähigkeiten erweiterte Lösung zum Schutz der Endpoints erkennt bösartige Angriffe in der Regel weit besser als ein menschliches Gehirn, das natürlich ebenfalls ein sehr beeindruckender Computer ist. Machine Learning als Teil einer Lösung zum Schutz der Clients im Unternehmen ist äußerst zuverlässig, wenn es um das Erkennen bösartiger Dateien und schädlichen Verhaltens geht. So ist es damit möglich, in kürzester Zeit mehrere zehntausend relevante Datenpunkte miteinander in Beziehung zu setzen, um Verbindungen zwischen Dateien und Aktivitäten aufzuspüren und um dabei deutlich weniger Fehlalarme auszulösen als es bei traditionellen Methoden der Fall ist.
Wie Machine Learning die IT-Sicherheit unterstützt
Mittlerweile dürfte es keinen IT-Security-Anbieter mehr geben, der nicht in der einen oder anderen Form seine KI- oder Machine-Learning-Fähigkeiten zu bewerben versucht. Aber brauchen Sie diese Techniken wirklich, um für einen effektiven Schutz zu sorgen? In Anbetracht der aktuellen Angriffsvektoren und den Möglichkeiten der traditionellen Methoden, diesen zu begegnen, beantwortet sich die Frage von selbst.
In den vergangenen Jahren wurden vor allem die folgenden drei Angriffsmethoden von Cyberkriminellen und staatlichen Akteuren verwendet:
Evasive Techniken: Dabei handelt es sich um Methoden, die gezielt entwickelt wurden, damit eine bestimmte Malware nicht entdeckt wird. Dabei wird etwa zunächst die Umgebung des attackierten Rechners geprüft, um zu erkennen, ob der Host möglicherweise zur Jagd auf Malware eingesetzt wird. Eine weitere Möglichkeit sind die so genannten dateilosen Angriffe, bei denen Schadcode direkt in den Arbeitsspeicher eingefügt wird. Beide Techniken dienen dazu, möglichst nicht entdeckt zu werden. Traditionelle heuristische und signaturbasierte Methoden haben dagegen nur geringe Chancen, sie zu erkennen.
Angriffe durch Botnetze: Manche Angreifer setzen infizierte Systeme lieber für andere Zwecke ein, als sie mit zum Beispiel einer Ransomware zu infizieren und dann ein Lösegeld zu verlangen. Dazu war eine Reihe ganz spezifischer Maßnahmen nötig. Stattdessen verwenden sie verseuchte Computer lieber für andere Aufgaben, wie etwa zum Mining einer Krypto-Währung oder als winziger Part an einer größeren DDoS-Attacke (Distributed Denial of Service). Bei diesen Angriffen sehen die dabei verwendeten Vorgehensweisen und die hinterlassenen Artefakte komplett anders aus als etwa bei einer Malware, die versucht, Endpoints im Unternehmen zu verseuchen, um Daten im großen Maßstab zu stehlen.
Hoch entwickelte Angriffe: Ursprünglich war die Infektion eines fremden Computers ein relativ einfacher Prozess. Download des Droppers, Verbindungsaufnahme zum Steuer- und Kontrollserver, Download des eigentlichen Schadcodes, Aktivieren des Schadcodes sowie die anschließende Installation und damit Infektion des Rechners. Heutzutage ist dieser Prozess manchmal deutlich aufwändiger. Ein Beispiel: Zunächst wird ein PDF geöffnet, dann muss in dieser Datei auf einen Link geklickt werden, der für den Download und das Ausführen einer Word-Datei sorgt, die wiederum eine Makro-freie Methode nutzt, um den eigentlichen Schadcode herunterzuladen und zu installieren. Die Malware verwendet dann eine Technik namens Memory Hollowing, um sich im Arbeitsspeicher an einer Stelle zu verankern, die normalerweise von einem bekannt gutartigen Prozess genutzt wird. Angreifern, die diese und andere ausgefeilte und mehrstufige Methoden verwenden, geht es vor allem zunächst darum, auf keinen Fall aufzufallen.
Traditionelle Methoden greifen nicht
Bei all den genannten modernen Angriffsmethoden versagen traditionelle Methoden in der Regel vollständig. Das trifft insbesondere dann zu, wenn es sich um Techniken handelt, die auf schnell veraltenden Daten beruhen, wie es bei signaturbasierten und heuristischen Maßnahmen der Fall ist. Maschinelles Lernen hat dagegen einen Vorteil, der bereits in seinem Namen zu erkennen ist: Diese Methoden lernen fortlaufend dazu. Dadurch können sie ein essentieller Teil bei der Sicherheitsstrategie eines Unternehmens sein.
Natürlich wird die obige Liste in ein paar Jahren schon wieder obsolet sein. Die Angreifer werden sich bis dahin vermutlich auf neue Methoden konzentrieren, die uns jetzt oft noch gar nicht bekannt sind. Eine jetzt schon denkbare Möglichkeit sind allerdings Attacken gegen IoT-Sensoren (Internet of Things), die bereits begonnen haben. Mit Machine Learning ausgestattete Systeme werden dies aber dazu nutzen, mit jedem neuen Angriff laufend dazu zu lernen und so eine immer umfangreichere Datenbank mit Bedrohungsartefakten und Verhaltensweisen aufzubauen. Auf diese Weise können sie ihre Fähigkeiten zum Schutz der Endpoints im Unternehmen mit jeder neuen Angriffswelle kontinuierlich verbessern.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
