Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Malware Detected

Seit Dekaden verlässt sich die Industrie bei ihren Anti-Malware-Lösungen auf ein primär reaktives Modell. Es muss also wie in der Medizin einen „Patienten Null“ geben, der das erste Opfer einer bisher unbekannten Infektion geworden ist.

Erst anhand dieser ersten Infektion lässt sich nun die neue Malware erkennen und künftig diagnostizieren. Sobald eine Malware auf diese Art und Weise aufgedeckt worden ist, wird eine Signatur generiert, die wiederum nach einer Prüfung in die Datenbank des betreffenden Antiviren-Herstellers eingepflegt wird, um anderen Kunden ein Pattern-Update zur Verfügung zu stellen. Ein Vorgang der Zeit kostet. Dieser rein reaktive Ansatz ist heutzutage die schwerwiegendste Schwachstelle der Anti-Malware-Industrie.

Dazu kommt, dass er nur Abwehrmöglichkeiten für Bedrohungsszenarien bereitstellt, die zuvor bekannt wurden. Nicht zuletzt durch die enorm gestiegene Anzahl von Bedrohungen, von neuen Angriffsvektoren und Angriffstechniken haben Unternehmen vielfach ignoriert, dass eine zuverlässige Prognose von Cyberinfektionen sehr viel Analyseaufwand bedeutet. Und damit einhergehend verzögerte Antwortzeiten. Der Prozess, eine neuartige Bedrohung zuverlässig zu identifizieren kann bis zu 12 Stunden in Anspruch nehmen, und erst dann sind IT-Sicherheitslabore in der Lage eine Signatur zur Verfügung zu stellen. So wie die Bedrohungslandschaft derzeit beschaffen ist, grenzt das an eine mittlere Ewigkeit. Sich beim Endpunktschutz auf das kontinuierliche Einspielen von Signatur-Updates und Patches zu verlassen ist in etwa so als würde man für jede bisher noch nicht besuchte Webseite ein Browser-Update benötigen.

Der Zeitfaktor entscheidet

Traditionelle Anti-Malware-Lösungen werden von der immensen Zahl der aktuell kursierenden Malware praktisch überflutet, und die reaktive Methodik ist neu auftretenden Malware-Varianten nicht gewachsen. Statistiken sprechen von durchschnittlich 300.000 bis zu einer 1 Million Malwaresamples, die täglich neu dazu kommen. Diese Entwicklung hat dazu geführt, dass Firmen aktiv nach alternativen Methoden suchen, um aktuellen Sicherheitsherausforderungen anders als bisher zu begegnen. Einer dieser Ansätze ist es, künstliche Intelligenz und maschinelles Lernen in der IT-Sicherheit zu benutzen, insbesondere in Anti-Malware-Produkten. Aber halten die Lösungen was sie versprechen?

Intelligente Lösungen

Wenn man von „Sicherheit“ spricht, geht es nicht mehr um noch ein weiteres Tool, noch eine weitere Technologie oder noch einen weiteren Layer. Genauso wenig wie es ausreicht, sich ausschließlich auf allgemein empfohlene Best Practices zu verlassen. Will man eine zukunftsfähige Sicherheitsindustrie etablieren, brauchen wir ein grundsätzliches Umdenken. Der Fokus liegt dann nicht länger auf der Reaktion, sondern auf Prävention und präziser Prognose.

Künstliche Intelligenz (KI) und im Speziellen das maschinelle Lernen sind angetreten die „alte Welt“ der Cybersecurity zu revolutionieren. Erklärtes Ziel, natürlich, der Bedrohungsentwicklung einen Schritt weit voraus zu sein. Maschinelles Lernen benutzt Algorithmen, die Eigenschaften und Zusammenhänge erkennen und sich kontinuierlich lernend weiterentwickeln. Unternehmen sind auf der Grundlage maschinellen Lernens in der Lage bessere, weil fundierte Entscheidungen zu treffen. Besser als Menschen es könnten und vor allem deutlich schneller. Das ist nicht zuletzt aufgrund der bereits angesprochenen „Prognosequalitäten“ möglich. Sie basieren auf dem, was die Lösung bereits aus der Vergangenheit „weiß“, gelernt und korreliert hat.

Jede Malware besitzt ihre ureigene DNA. Sammelt man nun sozusagen diese DNA ein und analysiert sie, findet man sowohl gutartige wie bösartige Muster. WannaCry ist ein gutes Beispiel, dafür was man mithilfe von lernenden maschinellen Algorithmen bewirken kann. Als die Ransomware auftauchte war sie vollkommen neu. Die überwiegende Zahl der traditionellen Antiviren-Lösungen hat WannaCry nicht rechtzeitig erkannt. Allerdings war die Code-Basis (Familie), der WannaCry zugrunde liegt, durchaus bekannt und somit prognostizierbar. Ein Algorithmus, der auf der Basis von maschinellem Lernen fungiert, hätte die Ransomware demnach sofort identifiziert und gestoppt. Maschinelles Lernen hat gegenüber der menschlichen Analyse vor allem einen unschlagbaren Vorteil. ML dekonstruiert die Malware und erkennt statistisch gleichartige Merkmale innerhalb des DNA-Codes. Diese Merkmale kann man analysieren um festzustellen, ob bösartiger Code zugrunde liegt. Und zwar noch bevor der Schadcode tatsächlich ausgeführt wird und Schaden anrichten kann.

Anwendungen, die künstliche Intelligenz auf der Basis von maschinellem Lernen nutzen, erkennen Schaddateien indem sie die bisherige Analyse von Schemata für prädiktive Analysen anwenden. Der Vorteil liegt darin, dass man sowohl bekannte Bedrohungen als auch solche, die bisher noch nicht aufgetreten sind, erkennen und abwehren kann. Solche trainierten Algorithmen installiert man am Besten auf den Endpunkten. Dort führen sie statistische Analysen durch, die dann eine Ausführung potenziellen Schadcodes verhindern und damit den Sicherheitsniveau als Ganzes signifikant erhöhen. Diese Technik ist sehr schnell in der Lage zu entscheiden, ob es sich um eine harmlose Datei handelt oder um Schadcode. Anders als bei Cloud-basierten Analysen, sitzt eine solche Sicherheitslösung direkt auf dem Endpunkt und braucht bei ihrer Analyse nicht zwingend eine Internetverbindung. Trotzdem erreicht man auf diesem Wege ein vergleichbares und im Falle unbekannter Malware sogar deutlich höheres Sicherheitsniveau. Signatur-basierende Lösungen sind auf eine regelmäßige Internetverbindung angewiesen um die heutzutage schon fast im Minutentakt ausgebrachten Updates zu beziehen oder Einzelbewertungen abzufragen. Algorithmen auf Basis maschinellen Lernens arbeiten über Monate autark, auch dann, wenn Systeme Offline geschaltet sind. Dabei sind sie effizienter als signatur-basierte Lösungen, selbst wenn diese immer auf dem aktuellen Stand sind.

Es sieht also ganz danach aus, als ob künstliche Intelligenz und maschinelles Lernen einen grundsätzlich anderen und potenziell effizienteren Weg innerhalb der Cybersicherheit aufzeigen. Sie helfen IT-Sicherheitsfachleuten die Charakteristika bisher noch unbekannter Bedrohungen rechtzeitig zu erkennen, um Angreifern wenigstens den einen entscheidenden Schritt voraus zu sein.

Beim Malware-Schutz reicht es längst nicht mehr einfach die abgelaufene Produktlizenz zu verlängern und Updates einzuspielen. Und trotzdem ist es eine gängige Unternehmenspraxis die Anti-Malware-Lösung nicht dem gleichen rigorosen Auswahlprozess auszusetzen, den andere Sicherheitslösungen durchlaufen müssen. Bei KI-getriebenen und traditionellen Anti-Malware-Lösungen ist es aber durchaus einfach möglich sie selbst vorab zu testen und sich nicht auf möglicherweise beeinflusste Testresultate von Drittanbietern oder Produktbewertungen zu verlassen.

Weitere Informationen:

Das neue eBook „Next-Generation Anti-Malware Testing for Dummies“ beschreibt reale Testszenarien, die Unternehmen im eigenen Labor nachvollziehen und zum Test unterschiedlicher Lösungen heranziehen können.

Sascha Dubbel, Cylance

www.cylance.com

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security