Thought Leadership
Seit Dekaden verlässt sich die Industrie bei ihren Anti-Malware-Lösungen auf ein primär reaktives Modell. Es muss also wie in der Medizin einen „Patienten Null“ geben, der das erste Opfer einer bisher unbekannten Infektion geworden ist.
Erst anhand dieser ersten Infektion lässt sich nun die neue Malware erkennen und künftig diagnostizieren. Sobald eine Malware auf diese Art und Weise aufgedeckt worden ist, wird eine Signatur generiert, die wiederum nach einer Prüfung in die Datenbank des betreffenden Antiviren-Herstellers eingepflegt wird, um anderen Kunden ein Pattern-Update zur Verfügung zu stellen. Ein Vorgang der Zeit kostet. Dieser rein reaktive Ansatz ist heutzutage die schwerwiegendste Schwachstelle der Anti-Malware-Industrie.
Dazu kommt, dass er nur Abwehrmöglichkeiten für Bedrohungsszenarien bereitstellt, die zuvor bekannt wurden. Nicht zuletzt durch die enorm gestiegene Anzahl von Bedrohungen, von neuen Angriffsvektoren und Angriffstechniken haben Unternehmen vielfach ignoriert, dass eine zuverlässige Prognose von Cyberinfektionen sehr viel Analyseaufwand bedeutet. Und damit einhergehend verzögerte Antwortzeiten. Der Prozess, eine neuartige Bedrohung zuverlässig zu identifizieren kann bis zu 12 Stunden in Anspruch nehmen, und erst dann sind IT-Sicherheitslabore in der Lage eine Signatur zur Verfügung zu stellen. So wie die Bedrohungslandschaft derzeit beschaffen ist, grenzt das an eine mittlere Ewigkeit. Sich beim Endpunktschutz auf das kontinuierliche Einspielen von Signatur-Updates und Patches zu verlassen ist in etwa so als würde man für jede bisher noch nicht besuchte Webseite ein Browser-Update benötigen.
Der Zeitfaktor entscheidet
Traditionelle Anti-Malware-Lösungen werden von der immensen Zahl der aktuell kursierenden Malware praktisch überflutet, und die reaktive Methodik ist neu auftretenden Malware-Varianten nicht gewachsen. Statistiken sprechen von durchschnittlich 300.000 bis zu einer 1 Million Malwaresamples, die täglich neu dazu kommen. Diese Entwicklung hat dazu geführt, dass Firmen aktiv nach alternativen Methoden suchen, um aktuellen Sicherheitsherausforderungen anders als bisher zu begegnen. Einer dieser Ansätze ist es, künstliche Intelligenz und maschinelles Lernen in der IT-Sicherheit zu benutzen, insbesondere in Anti-Malware-Produkten. Aber halten die Lösungen was sie versprechen?
Intelligente Lösungen
Wenn man von „Sicherheit“ spricht, geht es nicht mehr um noch ein weiteres Tool, noch eine weitere Technologie oder noch einen weiteren Layer. Genauso wenig wie es ausreicht, sich ausschließlich auf allgemein empfohlene Best Practices zu verlassen. Will man eine zukunftsfähige Sicherheitsindustrie etablieren, brauchen wir ein grundsätzliches Umdenken. Der Fokus liegt dann nicht länger auf der Reaktion, sondern auf Prävention und präziser Prognose.
Künstliche Intelligenz (KI) und im Speziellen das maschinelle Lernen sind angetreten die „alte Welt“ der Cybersecurity zu revolutionieren. Erklärtes Ziel, natürlich, der Bedrohungsentwicklung einen Schritt weit voraus zu sein. Maschinelles Lernen benutzt Algorithmen, die Eigenschaften und Zusammenhänge erkennen und sich kontinuierlich lernend weiterentwickeln. Unternehmen sind auf der Grundlage maschinellen Lernens in der Lage bessere, weil fundierte Entscheidungen zu treffen. Besser als Menschen es könnten und vor allem deutlich schneller. Das ist nicht zuletzt aufgrund der bereits angesprochenen „Prognosequalitäten“ möglich. Sie basieren auf dem, was die Lösung bereits aus der Vergangenheit „weiß“, gelernt und korreliert hat.
Jede Malware besitzt ihre ureigene DNA. Sammelt man nun sozusagen diese DNA ein und analysiert sie, findet man sowohl gutartige wie bösartige Muster. WannaCry ist ein gutes Beispiel, dafür was man mithilfe von lernenden maschinellen Algorithmen bewirken kann. Als die Ransomware auftauchte war sie vollkommen neu. Die überwiegende Zahl der traditionellen Antiviren-Lösungen hat WannaCry nicht rechtzeitig erkannt. Allerdings war die Code-Basis (Familie), der WannaCry zugrunde liegt, durchaus bekannt und somit prognostizierbar. Ein Algorithmus, der auf der Basis von maschinellem Lernen fungiert, hätte die Ransomware demnach sofort identifiziert und gestoppt. Maschinelles Lernen hat gegenüber der menschlichen Analyse vor allem einen unschlagbaren Vorteil. ML dekonstruiert die Malware und erkennt statistisch gleichartige Merkmale innerhalb des DNA-Codes. Diese Merkmale kann man analysieren um festzustellen, ob bösartiger Code zugrunde liegt. Und zwar noch bevor der Schadcode tatsächlich ausgeführt wird und Schaden anrichten kann.
Anwendungen, die künstliche Intelligenz auf der Basis von maschinellem Lernen nutzen, erkennen Schaddateien indem sie die bisherige Analyse von Schemata für prädiktive Analysen anwenden. Der Vorteil liegt darin, dass man sowohl bekannte Bedrohungen als auch solche, die bisher noch nicht aufgetreten sind, erkennen und abwehren kann. Solche trainierten Algorithmen installiert man am Besten auf den Endpunkten. Dort führen sie statistische Analysen durch, die dann eine Ausführung potenziellen Schadcodes verhindern und damit den Sicherheitsniveau als Ganzes signifikant erhöhen. Diese Technik ist sehr schnell in der Lage zu entscheiden, ob es sich um eine harmlose Datei handelt oder um Schadcode. Anders als bei Cloud-basierten Analysen, sitzt eine solche Sicherheitslösung direkt auf dem Endpunkt und braucht bei ihrer Analyse nicht zwingend eine Internetverbindung. Trotzdem erreicht man auf diesem Wege ein vergleichbares und im Falle unbekannter Malware sogar deutlich höheres Sicherheitsniveau. Signatur-basierende Lösungen sind auf eine regelmäßige Internetverbindung angewiesen um die heutzutage schon fast im Minutentakt ausgebrachten Updates zu beziehen oder Einzelbewertungen abzufragen. Algorithmen auf Basis maschinellen Lernens arbeiten über Monate autark, auch dann, wenn Systeme Offline geschaltet sind. Dabei sind sie effizienter als signatur-basierte Lösungen, selbst wenn diese immer auf dem aktuellen Stand sind.
Es sieht also ganz danach aus, als ob künstliche Intelligenz und maschinelles Lernen einen grundsätzlich anderen und potenziell effizienteren Weg innerhalb der Cybersicherheit aufzeigen. Sie helfen IT-Sicherheitsfachleuten die Charakteristika bisher noch unbekannter Bedrohungen rechtzeitig zu erkennen, um Angreifern wenigstens den einen entscheidenden Schritt voraus zu sein.
Beim Malware-Schutz reicht es längst nicht mehr einfach die abgelaufene Produktlizenz zu verlängern und Updates einzuspielen. Und trotzdem ist es eine gängige Unternehmenspraxis die Anti-Malware-Lösung nicht dem gleichen rigorosen Auswahlprozess auszusetzen, den andere Sicherheitslösungen durchlaufen müssen. Bei KI-getriebenen und traditionellen Anti-Malware-Lösungen ist es aber durchaus einfach möglich sie selbst vorab zu testen und sich nicht auf möglicherweise beeinflusste Testresultate von Drittanbietern oder Produktbewertungen zu verlassen.
Weitere Informationen:
Das neue eBook „Next-Generation Anti-Malware Testing for Dummies“ beschreibt reale Testszenarien, die Unternehmen im eigenen Labor nachvollziehen und zum Test unterschiedlicher Lösungen heranziehen können.
Sascha Dubbel, Cylance
www.cylance.com
