Cybersecurity:
KI ist (fast) nichts ohne den Menschen
KI nutzt große Datenmengen, um Bedrohungslagen zu beurteilen und neue, bisher unbekannte Malware zu erkennen. Was genau macht diesen Ansatz besser als klassische Anti-Viren-Technologien?
Foto: Unsplash
Wenn Computersysteme große Datenmengen nutzen, um Entscheidungen zu treffen und wenn sie dann alle Folgen dieser Entscheidungen bei den nächsten Analysen einfließen lassen, dann lernen sie. Machine Learning ist ein Teilbereich der KI, dessen Bedeutung für die Cybersecurity wächst.
Es steht das Ziel im Raum, mithilfe von KI Bedrohungen schneller sowie sicherer zu erkennen und diese möglichst rechtzeitig zu unterbinden. KI soll also selbständig entscheiden, was eine Bedrohung ist und wie man ihr begegnen kann. Sie soll also in jedem speziellen Fall eine intelligente Entscheidung treffen, die alle möglichen Parameter mit einbezieht. Mit einem normalen Anti-Malware-Programm ist das nicht realisierbar. Was macht KI aber anders?
Signaturbasierte und heuristische Ansätze nicht mehr zeitgemäß
Der klassische Anti-Viren-Schutz funktioniert auf Basis von Signaturen. Dafür werden gewissermaßen Fingerabdrücke – die Signaturen – von Malware erstellt, die einige charakteristische Eigenschaften auflisten, anhand derer sich die Schadprogramme identifizieren lassen. Die Anti-Viren-Programme werden mit diesen sogenannten "Indicators of Compromise" (IoC) versorgt und können so durch die Analyse des Netzwerk-Traffics Malware identifizieren. Das Problem dabei: IoCs können nur für bekannte Schadprogramme ermittelt werden und Schutzsysteme sind ständig zu aktualisieren. Des Weiteren können IoCs schon mit geringfügigen Modifikationen der Schadsoftware leicht umgangen werden.
Zudem haben sich die Bedrohungsszenarien in den letzten Jahren stark verändert. Zum einen ist es kaum mehr möglich, die schiere Menge an Malware zu kategorisieren. Mehrere Millionen Malware-Dateien kommen Monat für Monat in den Umlauf – mit einem signaturbasierten Anti-Viren-Ansatz ist dies nicht zu bewältigen. Zum anderen kommen immer mehr Angriffsszenarien hinzu, die ohne Malware auskommen: wie beispielsweise ausspionierte Zugangsdaten und Lateral Movement, bei dem Hacker mit begrenzter Zugangsberechtigung in sensible Bereiche vordringen.
Diese Inhalte stehen leider nicht mehr zur Verfügung.
Aus diesem Grund sind heuristische Ansätze weit verbreitet. Dabei beschreibt ein von menschlichen Experten zusammengestelltes Regelwerk, welche Eigenschaften eine bösartige Datei hat. Diese macht die Viren-Erkennung deutlich flexibler, weil es die Erkennungsmerkmale breiter interpretiert und nicht stur nach einer bestimmten Zeichenfolge im Code sucht. Dennoch müssen auch diese Heuristiken dauernd angepasst werden und basieren dabei stets auf den Merkmalen von bereits bekannten Schadprogrammen.
Das Problem mit Heuristiken ist, dass zum einen genügend Regeln benötigt werden, die Malware breit genug beschrieben, um eine ausreichende Abdeckung aller neuer Schadsoftware zu erzielen. Zum anderen müssen alle diese Regeln auch eine geringe Fehlerquote erreichen – Regeln dürfen nicht so breit ausgelegt sein, dass legitime Dateien irrtümlich als Schadsoftware erkannt werden. Mit dem großen Volumen an neuer Schadsoftware und der großen Variation an legitimen Applikationen sind diese Bedingungen eine außerordentliche Herausforderung für manuell generierte Regeln.
Den Angreifer verstehen
Künstliche Intelligenz, oder genauer gesagt Machine Learning, setzt den heuristischen Gedanken konsequent fort. Anstelle manueller Auswertung werden Algorithmen herangezogen, die sowohl Schadsoftware als auch Applikationen in großem Volumen analysieren können. Statt einer großen Anzahl von Regeln kommt ein statistisches Modell zum Einsatz, das zwischen Bedrohungen und legitimer Nutzung differenzieren kann.
Es geht nicht nur darum Artefakte von Malware zu sammeln und zu kategorisieren, sondern bestenfalls auch darum, Absichten und Ziele der Angreifer zu erkennen. Das kann gelingen, indem Ereignisse und Aktivitäten – sogenannte Indicators of Attack – beobachtet und in die Analyse eingebracht werden. Dabei ist KI keine einzelne Anwendung, die über die bisherigen Schutzmaßnahmen gelegt wird. Vielmehr handelt sich um ein neue Art von Werkzeugen, die helfen, mehr Angriffe zu erkennen und Wege zu finden, diese zu vereiteln.
Der große Vorteil des maschinenbasierten, lernenden Ansatzes ist die große Menge an Daten, die einbezogen werden kann. Und zwar in doppelter Hinsicht: Zum einen gelingt es mit vielen Daten besser, Trends und Unregelmäßigkeiten überhaupt zu erkennen. Mit Cloud-basierten Lösungen können beispielsweise die Daten und Ereignisse von Hackerangriffen aus verschiedenen Systemen weltweit in die Analyse einbezogen werden. Das vermindert die Chance, dass ein Virus sich ausbreiten kann oder eine neue Angriffsart ausgenutzt werden kann, extrem.
Zudem ist die Verarbeitung großer und variierender Datenmengen dank der Skalierungsflexibilität der Cloud kein Problem. Zum anderen lässt sich die Breite der Datenbasis vergrößern: So können etwa mehr Attribute in die Analyse einfließen oder zahlreiche verschiedene Quellen Informationen beitragen. Durch die eine solche große und breite Datenbasis wird eine globale Bedrohungsanalyse möglich und sogar schwache Bedrohungssignale werden erkennbar.
Das Training der Algorithmen ist entscheidend
Das Ziel ist es, Bedrohungen auch dann zu erkennen, wenn keine klassischen Indikatoren vorliegen. Also beispielsweise dann, wenn die angreifende Malware keiner bisher bekannten Familie zugeordnet werden kann, für die bereits Signaturen oder andere Erkennungsmerkmale registriert wurden. Dies geschieht auf der Basis von Datenanalyse. Die reine Integration eines Machine-Learning-Algorithmus in ein Anti-Virus-Tool ist dabei das kleinere Problem. So bietet der Markt inzwischen einige Lösungen, die datenbasierte Entscheidungen unterstützen.
Die größere Herausforderung ist jedoch das Training der Algorithmen, sprich der eigentliche Lernprozess. Je größer die Trainingsdatenmenge, umso besser. Sicherheitslösungen wie die Falcon Plattform analysieren jeden Tag weit über 300 Milliarden Ereignisse. Die Ergebnisse diese Analyse fließen in das KI-Training ein und erlauben es den Trainingsalgorithmen, akkurate statistische Prognosen zu erstellen.
Immer wieder muss die Datenbasis mit aktuellen Daten, gemachten Erfahrungen und gezogenen Rückschlüssen angereichert werden. Jeder zusätzliche Datensatz liefert ein weiteres kleines Puzzlestück für die Beurteilung einer Bedrohungslage. Anti-Malware-Werkzeuge sind demnach nicht mehr nur ein Stück Software, welches regelmäßig aktualisiert wird. Viel wichtiger ist die Definition eines Gesamtprozesses, mit möglichst vielen qualitativ hochwertigen Datenquellen und Rückkopplungsschleifen.
Predictive Security mithilfe von KI?
KI ist kein Allheilmittel, sondern unterliegt Limitationen. Die Algorithmen sind komplex, die Berechnungen deshalb fehleranfällig und nicht immer interpretierbar. Deshalb müssen die Ergebnisse auf jeden Fall noch von menschlichen Experten überwacht werden. So arbeiten beispielsweise die KI Algorithmen renommierter Sicherheitsanbieter Hand in Hand mit den menschlichen Sicherheitsexperten. Die Maschine lernt vom Menschen, weil auch der Mensch von der Maschine lernt.
Dennoch: KI ist eine leistungsstarke Ergänzung im Bereich der Cybersecurity. Klug kombiniert mit anderen Ansätzen – signaturbasiert, heuristisch, Behavioural Analysis, menschlicher Kontrolle und Intelligenz – hilft KI, deutlich mehr Angriffe frühzeitiger zu erkennen und Wege zu finden, die Folgen möglichst gering zu halten.
Autor:
Dr. Sven Krasser ist Chief Scientist beim Cybersecurity-Unternehmen CrowdStrike, wo er die Entwicklung von Endhost- und Cloud-basierten Big-Data-Technologien verantwortet. Im Bereich Netzwerk- und Hostsicherheit ist er anerkannter Experte und Patentinhaber zahlreicher Technologien. Seine persönliche Bibliographie umfasst zahlreiche Publikationen zu Netzwerk- und Sicherheitstechnologien.
