KI und Maschinelles Lernen in der IT-Security

IT-Sicherheit (Bild: Shutterstock)

Auf die anhaltende Bedrohungslage durch Ransomware und Cyber-Attacken reagieren viele Security-Anbieter mit “intelligenteren” Lösungen. Als Wunderwaffe gilt die Integration maschineller Lernmethoden und Künstlicher Intelligenz. Damit haben zahlreiche Hersteller auch auf der diesjährigen IT-Security-Messe it-sa geworben.

Um eine ganz neue Technologie handelt es sich bei künstlicher Intelligenz nicht. Die erste Hochphase lag bereits in den 1980-er Jahren. Dabei handelte es sich um Expertensysteme, die mit umfangreichen Regelwerken unscharfes Wissen abbilden sollten. Dieses Wissen lässt sich jedoch nicht formalisieren, wird oft aus Erfahrungen generiert und greift meistens über mehrere Wissensbereiche hinweg.

Security (Bild: Shutterstock)

Daher entstand der Gedanke, Algorithmen zu entwickeln, die selbstständig eine Wissensbasis aufbauen, also lernfähig sind. Zu solchen maschinellen Lernverfahren zählen neuronale Netze, die es auch schon in den 1980-er Jahren gab. Allerdings wurden diese erst mit der Leistungsfähigkeit heutiger Prozessoren alltagstauglich.

Bisher waren die Anwender herkömmlicher Antivirenlösungen darauf angewiesen, dass Schädlinge in den Labors entdeckt und untersucht werden. Erst dann können Agenten auf den Endpoint-Systemen diese auch erkennen. Solche Lösungen können also nur gegen bekannte Angriffe und Malware schützen. Der Vorteil neuronaler Netze liegt darin, dass damit auch neue Varianten erkannt werden, die zuvor noch nicht analysiert wurden.

Security-Lösungen mit integrierter KI-Technik funktionieren sowohl mit Agenten auf den Endgeräten als auch mit speziellen Netzwerkkomponenten, also Appliances. Jedes dieser Verfahren hat dabei seine Vorteile. So lässt sich Ransomware beispielsweise besser auf dem Host als im Netzwerk detektieren.

Die ersten Erfolge dieser maschinellen Lernformen haben dazu geführt, dass immer mehr Security-Hersteller ihre Produkte mit KI und maschinellem Lernen bewerben. Für Anwender ist es aber eher schwierig, die Unterschiede auf Anhieb zu erkennen.

Auf der diesjährigen IT-Security-Messe it-sa hat silicon.de bei einigen Ausstellern nachgefragt, welche Bedeutung diese neuen Technologien haben und ob ihre Produkte bereits KI-Funktionen oder maschinelle Lernverfahren enthalten. Die Antworten bildne ein breites Spektrum an Meinungen zum Nutzen und der Reife von KI und deren Eisnatzmöglichkeiten in IT-Security-Lösungen ab.

Martin Grauel, Pre-Sales Manager EMEA bei Balabit IT Security Deutschland

Martin Grauel, Pre-Sales Manager EMEA bei Balabit IT Security Deutschland (Bild: Balabit)
Martin Grauel, Pre-Sales Manager EMEA bei Balabit IT Security Deutschland (Bild: Balabit)

“Künstliche Intelligenz ist bereits heute fester Bestandteil von Sicherheitslösungen und unverzichtbar, allein schon um die immensen Datenaufkommen zu bewältigen und daraus wichtige Analyseergebnisse zu ziehen. Durch den Einsatz von KI wird die Barriere der traditionellen, regelbasierten Kontrolle innerhalb der IT-Sicherheit durchbrochen, die schon lange nicht mehr ausreichend ist. Statt nach vorgegebenen Regeln zu agieren, lernen intelligente Systeme und können damit sogar ‘Unknown unknowns’ identifizieren, also Erkenntnisse liefern, nach denen wir gar nicht gesucht haben.

Bei Balabit setzen wir bei unserer PAA-Lösung (Privileged-Account-Analytics), die das Verhalten privilegierter Nutzer in Echtzeit analysiert, auf maschinelles Lernen und KI, wodurch das System von der Norm abweichendes, potenziell gefährliches Verhalten von Nutzern selbstständig erkennen und darauf reagieren kann.”

Mirco Rohr, Global Evangelist bei Bitdefender

“Ohne Machine Learning und künstliche Intelligenz ist ein Schutz gegen Zero-Day-Threats und Advanced Threats schon seit längerem undenkbar. Machine Learning hat uns im Kampf gegen Cybercrime weit vorangebracht. Gleichzeitig ist aber davor zu warnen, diese Tools als die alles entscheidende Sicherheitsschicht zu sehen.

Mirco Rohr Bitdefender (Bild: Mirco Rohr)
Mirco Rohr, Global Evangelist bei Bitdefender (Bild: Mirco Rohr)

Viele sogenannte NextGen-Tools haben einen extrem schmalen Funktionsumfang. Wer seine Sicherheit maximieren will, ohne den Aufwand zu vervielfachen, benötigt eine konsolidierte Lösung. Die muss zum Beispiel Sandboxing, Monitoring aller Prozesse und die Beobachtung des Arbeitsspeichers beinhalten und natürlich Tools, die Angriffe stoppen und illegitime Änderungen zurückrollen können.

Bitdefender nutzt Machine Learning bereits seit acht Jahren. Mit 500 Millionen durch uns geschützte Endpoints profitiert unsere Lösung von der besten Datenbasis im Markt. Dass wir so früh auf diese Technologien gesetzt haben, erklärt, warum wir seit Jahren konsistent führend in der Erkennung von unbekannter Malware sind und warum wir kaum noch False Positives produzieren, im Gegensatz zu neuen Playern, die die NextGen-Fahne schwenken.”

Michael Neumayr, Regional Sales Manager Zentraleuropa bei Centrify

Michael Neumayr, Regional Sales Manager Zentraleuropa bei Centrify (Bild: Centrify)
Michael Neumayr, Regional Sales Manager Zentraleuropa bei Centrify (Bild: Centrify)

“Maschinelles Lernen und Künstliche Intelligenz wird sicher eine immer größere Bedeutung zukommen. Sie sind bereits heute wichtiger Bestandteil und sinnvolle Erweiterung von IT-Security-Lösungen. Auch Centrify bietet mit Centrify Analytics eine Lösung mit Maschinellem Lernen. Centrify Analytics unterstützt in der Risikobetrachtung für den Zugriff auf Informationen. Dabei erforscht und analysiert unsere Lösung das übliche Verhalten von Mitarbeitern beim Zugriff. Bei ungewöhnlichem Verhalten kann das System – je nach Risiko und entsprechenden Regeln – den Zugang nochmals über eine weitere Authentifizierung genehmigen oder sogar untersagen.

Dirk Arendt, Leiter Public Sector & Gov Relations bei Check Point

Dirk Arendt, Leiter Public Sector & Gov Relations bei Check Point Software Technologies (Bild: Check Point)
Dirk Arendt, Leiter Public Sector & Gov Relations bei Check Point Software Technologies (Bild: Check Point)

“Allgemein gibt es in der IT-Sicherheitsindustrie bereits zahlreiche Ansätze zur Automatisierung von Prozessen, beispielsweise bei der Detektion von Schadsoftware. Check Point übernimmt hier eine Vorreiterrolle und bindet konstant Muster von aktuellen Bedrohungsdaten in die beim Kunden im Einsatz befindlichen Systeme ein, damit Bedrohungen automatisch entdeckt und abgeschlossen werden.

In Zukunft werden die Systeme so intelligent sein, dass dieser Update-Prozess selbstständig abläuft, ohne dass eine menschliche Instanz zwischengeschaltet werden muss. Unsere Sicherheitsforscher in Tel Aviv sammeln über verschiedene Honeypots (Fallen für Cyberkriminelle im Internet) Bedrohungsdaten wie Trojaner, Viren oder Ransomware. Die gesammelten Daten werden analysiert und falls eine neue Kampagne gefunden wird, werden diese Bedrohungsinformationen sofort mit den weltweiten Kunden geteilt, um diese zu schützen.”

Michael Kleist, Regional Director DACH bei CyberArk Software

Michael Kleist, Regional Director DACH bei CyberArk Software (Bild: CyberArk )
Michael Kleist, Regional Director DACH bei CyberArk Software (Bild: CyberArk)

“In die IT-Sicherheit passen sich bereits vorhandene Methoden und Algorithmen des maschinellen Lernens ganz natürlich ein, insbesondere bei der Erstellung von (Nutzungs-)Profilen und (Schadcode-)Mustern. Diese Disziplinen stehen bei Cyber-Security allerdings erst am Anfang und werden noch nicht auf breiter Front in der gesamten Produktbandbreite der Branche eingesetzt. Fortschritte über die weitere Verbesserung bei der Muster- und Profilerstellung hinaus sind allerdings erst möglich, wenn neue Werkzeuge die Herangehensweise verändern, wie Sicherheitsanalysten mit den neuen Technologien arbeiten können.

CyberArk setzt diese Techniken momentan beispielsweise zur Erstellung von Richtlinien ein. Unsere Sicherheitsspezialisten geben uns allgemeine Leitlinien, in welcher Form Angriffe zu erwarten sind. Das nutzen wir, um den Erkennungsprozess einer Handvoll solcher Verhaltensmuster in den Netzwerken unserer Kunden zu automatisieren.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

In Zukunft erwarten wir, dass Anbieter von Sicherheitssoftware noch stärker Erkenntnisse aus der Analyse der Daten von Kunden zusammenfassen, um ein besseres Verständnis der wachsenden Bedrohungen zu ermöglichen. Schließlich erwarten wir weitere Verbesserungen in der Nutzbarkeit von Sicherheitslösungen, bei denen immer mehr forensische Aufgaben automatisiert werden.”

Stefan Rojacher, Corporate Communications Manager DACH & CEE bei Kaspersky Lab

“Moderne IT-Sicherheit kommt ohne Maschinelles Lernen kaum noch zurecht. Dafür gibt es mehrere Gründe. Der erste davon sind die sogenannten ‘Big Data of Threats’. Jeden Tag entdecken wir 323.000 neue Bedrohungen. Es gibt keine Möglichkeit, mit einer solch großen Anzahl von Bedrohungen umzugehen, ohne ML-basierte Technologien einzusetzen.

Stefan Rojache Kaspersky Lab (Bild: Kaspersky Lab)
Stefan Rojacher, Corporate Communications Manager DACH & CEE bei Kaspersky Lab (Bild: Kaspersky Lab)

Zudem ermöglicht maschinelles Lernen, das Risiko menschlicher Fehler zu beseitigen. Die Techniken des maschinellen Lernens werden auch in unseren Lösungen genutzt, um sowohl vor als auch nach der Ausführung vor unbekannten oder modifizierten Bedrohungen zu schützen.

Ein weiterer Faktor ist der hochentwickelte Stand der Bedrohungen selbst, mit denen Unternehmen es zu tun haben. Diejenigen, die zielgerichtet schädliche Aktivitäten durchführen, investieren viele Ressourcen, um die Sicherheitslage der anvisierten Unternehmen zu erfassen und die vorhandenen Malware-Detection-Lösungen umgehen zu können. Daher ist ein mehrschichtiger Schutz auch so wichtig.
Kaspersky Lab verfolgt bei den Produkten einen mehrschichtigen Ansatz. Dies bedeutet, dass wir uns nicht auf ein bestimmtes Schutzniveau verlassen, sondern unsere Technologien in verschiedene Richtungen entwickeln. Wir glauben nicht, dass ML-mathematische Modelle wichtiger sind als Verhaltenserkennung, Cloud-basierter Schutz oder Big-Data-Analysesysteme.

Dieses Konzept wird durch unsere ML-Engine bestätigt, die selbst mehrschichtig ist. Es gibt zwei Ebenen, die auf der Vorausführungsphase (statische Erkennung) arbeiten, während der Dateiausführung haben wir eine zusätzliche dritte Schutzebene (dynamische Erkennung). Die Technologie, die wir jetzt auf den Markt bringen, wird als Verhaltensmodell (Deep Learning mit Execution Logs) bezeichnet, das die Vorteile von ML und Verhaltenserkennung kombiniert. Dank ML werden gemeinsame Verhaltenskriterien für Dateien automatisch extrahiert und von einer Maschine ausgewertet.”

Sven Janssen, Regional Director, Central Europe bei SonicWall

“Seit über zehn Jahren betreiben wir das, was man heute unter maschinellem Lernen versteht. KI und Maschinelles Lernen sind ein aktueller Trend in der Sicherheitsbranche – es ist jedoch viel entscheidender, die richtige Technik bei der Analyse des Datenverkehrs anzuwenden. Die Anzahl von Attacken wird weiter sprunghaft ansteigen, hinzu kommen immer mehr verschlüsselte Angriffe.

Sven Janssen, Regional Director, Central Europe bei SonicWall (Bild: SonicWall)
Sven Janssen, Regional Director, Central Europe bei SonicWall (Bild: SonicWall)

Um diese zu entdecken, benötigen Unternehmen hochperformante Lösungen, um den verschlüsselten Datenverkehr zu entschlüsseln, zu untersuchen und wieder zu verschlüsseln. Und dabei unterschiedlichste Schadsoftware zu erkennen. Hier ist es viel entscheidender, dass sich Unternehmen bewusst machen, dass veraltete Technik den heutigen Anforderungen nicht mehr gerecht wird.

Die Lösungen von SonicWallenthalten Maschinelles Lernen. Ob sie KI-Technologie enthalten, ist eher eine Definitionsfrage. Manche Experten sagen, dass auch KI kein Allheilmittel sein wird – vor allem, so lange es vielen Unternehmen gar nicht bewusst ist, dass nur heutige Technologie den heutigen Bedrohungen gerecht werden kann.”

Michael Veit, Technology Evangelist bei Sophos Technology

Michael Veit, Technology Evangelist bei Sophos Technology (Bild: Sophos)
Michael Veit, Technology Evangelist bei Sophos Technology (Bild: Sophos)

“Die beiden Technologien werden eine wichtige Rolle bei der Entwicklung schlagkräftiger Next-Gen-IT-Security-Strategien spielen. Wir sind davon überzeugt, dass vorausschauende Verteidigungslinien in der IT-Sicherheit unabdingbar für einen effektiven Endpoint-Schutz sind. Bei Sophos haben wir mit der Übernahme des Machine-Learning-Spezialisten Invincea bereits Anfang 2017 die Weichen gestellt.

Die ersten Sophos-Lösungen, die dieses Know-how implementiert haben, werden bereits in Kürze verfügbar sein. Dadurch können wir Malware bereits vor der Ausführung ausfindig machen und stellen Unternehmen ein sehr gut skalierbares Tool gegen Zero-Day-Attacken zur Verfügung.”

Richard Werner, Business Consultant bei Trend Micro Deutschland

Richard Werner, Business Consultant bei Trend Micro Deutschland (Bild: Trend Micro)
Richard Werner, Business Consultant bei Trend Micro Deutschland (Bild: Trend Micro)

“Maschinelles Lernen stellt zweifellos einen wichtigen Aspekt aktueller Sicherheitslösungen dar und kann besonders bei der Einstufung unbekannter Files als gutartig oder bösartig wertvolle Dienste leisten. Gleichzeitig stellt es jedoch keinesfalls eine Wunderwaffe dar, die sämtliche Bedrohungen erkennen und verhindern kann. Deshalb setzen wir maschinelles Lernen immer generationsübergreifend in Kombination mit anderen Techniken ein.

Trend Micro stellt mit XGen einen generationsübergreifenden Sicherheitsansatz dar, der bewährte Techniken zur Erkennung von bekannten und unbekannten Bedrohungen mit neuen fortschrittlichen Schutztechniken wie maschinellem Lernen kombiniert. Wir setzen Maschinenlernen bereits seit rund zehn Jahren in verschiedenen Sicherheits-Tools ein, angefangen von Antispam-Engines bis zu Erkennungstechniken für bösartige Social-Media-Elemente. Diese Erfahrung kommt jetzt den aktuellen Funktionen für maschinelles Lernen zugute.”