Intelligente Cyberguards
19.10.2020, 10:51 Uhr
Gefahrenabwehr mit KI-Unterstützung
Mit Künstlicher Intelligenz sollen Sicherheitslösungen Angriffe unterbinden. Doch auch Hacker setzen auf KI.
Wer hat die Nase vorn - der Hacker oder der IT-Sicherheitsfachmann? Eine klare Antwort auf diese Frage gibt es nicht. Denn der Wettlauf zwischen IT-Sicherheitsunternehmen und Cyberkriminellen hat sich zu einem Kopf-an-Kopf-Rennen entwickelt. Das zeigt sich auch beim Einsatz von Künstlicher Intelligenz (KI) und maschinellem Lernen (ML). Beide Technologien werden verstärkt in Security-Lösungen verwendet. Laut einer Studie des Beratungshauses Capgemini von 2019 gaben in Deutschland mehr als 60 Prozent der Unternehmen an, dass sie nur mit Unterstützung von KI-basierten Sicherheits-Tools Cyberattacken abwehren können.
Der Grund für diese Vorgehensweise: «Cyberangriffe sind im Vergleich zu vor wenigen Jahren raffinierter und gefährlicher geworden. Bedrohungen entwickeln sich in immer schnellerem Tempo weiter», sagt Christine Schönig, Regional Director Security Engineering CER, Office of the CTO beim Software-Anbieter Check Point Software Technologies. «Unternehmen stehen daher vor der Notwendigkeit, ihre Cybersicherheit kontinuierlich zu erhöhen und zu verbessern.»
KI und Machine Learning
Künstliche Intelligenz und maschinelles Lernen sollen Schwachpunkte klassischer Security-Lösungen beseitigen. Zu diesen zählt, dass sie nicht bislang unbekannte Angriffsformen abwehren können. Ein Beispiel ist der Bereich Endpoint Protection, also der Schutz mobiler Endgeräte. «Der Einsatz von traditionellen Antiviren-Programmen reicht hier nicht aus», erklärt Achim Freyer, Director Central Europe beim Datenmanagement-Spezialisten Rubrik. «Denn diese erkennen nur, was bereits bekannt ist.» Dagegen seien mit KI-gestützter Software präventive Massnahmen möglich. «Künstliche Intelligenz ist für das Lernen, Interpretieren und Umsetzen notwendig, weil IT-Sicherheitsmassnahmen sonst immer einen Schritt langsamer als die ‚Bösen‘ sind.»
“IT-Experten befürworten den Einsatz von KI- und ML-basierten IT-Sicherheitslösungen, wollen aber meistens die Möglichkeit eines manuellen Eingriffs nicht missen.„
Achim Freyer, Director Central Europe bei Rubrik
Diese Gefahr droht bei Security-Lösungen, die auf vorgegebenen Regeln und Signaturen beruhen. Treten Angriffe auf den Plan, die nicht in diesen Regeln definiert wurden, sind diese Systeme dafür «blind». Dagegen können Lösungen auf Grundlage von Künstlicher Intelligenz und ML auch unbekannte Bedrohungen erkennen. Die Grundlage dafür sind maschinelles Lernen und Deep Learning. «Von maschinellem Lernen spricht man, wenn ein Programm neue Daten aufnimmt, daraus lernt und Änderungen vornimmt, ohne explizit dafür programmiert zu sein. Die Maschine wir somit in die Lage versetzt, Regeln zu erstellen oder zu ändern, um sich selbst weiter zu verbessern», erläutert Thierry Karsenti, Vice President Engineering EMEA beim Sicherheitsspezialisten Palo Alto Networks. Dieses adaptive Verfahren ist notwendig, weil sich Angriffstechniken kontinuierlich und automatisch ändern, um signaturbasierte Erkennungsmethoden zu umgehen. «KI- und ML-gestützte Technologien werden immer wichtiger, weil sie sich durch die Bewältigung unbekannter Angriffe und hochgradig evasiver Bedrohungen auszeichnen», so Karsenti weiter.
Funktionsweise von KI-Security
Zu den ersten Einsatzgebieten von KI-gestützten Sicherheitslösungen zählte der Kampf gegen Kreditkartenbetrug: Dazu wurde eine grosse Zahl von Informationen über betrügerische und legitime Aktivitäten in ein überwachtes maschinelles Lernsystem eingespeist. «Dieses geschulte System wurde im Erkennen betrügerischer Nutzungsmuster mit der Zeit besser als ein Menschv, sagt Andreas Müller, Director Deutschland, Österreich, Schweiz bei Vectra, einem Spezialisten für KI-basierte Sicherheitslösungen.
Stehen nicht genügend Muster bösartiger Aktivitäten zur Verfügung, kann ein nicht überwachtes maschinelles Lernverfahren eingesetzt werden. Ein Algorithmus lernt in diesem Fall anhand der Daten, wie sich eine IT-Umgebung im Normalfall darstellt, also ohne Angriffe. «Das System kann dann Anomalien oder Ereignisreihen finden, die statistisch höchst unwahrscheinlich sind», so Müller. Die Herausforderung beim nicht überwachten Lernen besteht jedoch darin, dass es relativ «geräuschvoll» ist. «Dies bedeutet, dass es viele Anomalien gibt. Die meisten davon sind aber keine Cyberangriffe, und Menschen müssen oft erst die Kontextinformationen liefern, damit das System nutzbar wird», ergänzt der Experte.
“Eine Herausforderung beim nicht überwachten Lernen besteht darin, dass es relativ ‚geräuschvoll’ ist. Das heißt, es gibt viele Anomalien. Die meisten davon sind aber keine Cyberangriffe.„
Andreas Müller, Director Deutschland, Österreich, Schweiz bei Vectra
Um für eine möglichst grosse Zahl von Angriffsformen gerüstet zu sein, setzt ein Grossteil der Anbieter von KI-basierten Lösungen mehrere Algorithmen ein. Zudem berücksichtigen die Algorithmen eine Vielzahl von Parametern. So analysiert etwa CloudGuard SaaS von Check Point E-Mails anhand von 300 Parametern darauf hin, ob es sich um saubere Nachrichten oder Phishing-Mails handelt. Diese Aufgabe übernimmt eine Anti-Phishing-KI-Engine.
Auch die Bösen rüsten auf
Die Arbeit von Algorithmen und menschlichen IT-Sicherheitsexperten wird jedoch durch die Tatsache erschwert, dass auch Kriminelle verstärkt KI-Tools einsetzen: «Es ist richtig, dass auch Hacker KI zunehmend für ihre Zwecke verwenden, etwa um Sicherheitslücken zu identifizieren. Daraus entwickelt sich mehr und mehr ein regelrechter Wettstreit zwischen automatisiertem Hacking und KI-basierten Schutzmassnahmen», bestätigt Dennis Monner, CEO von Secucloud, Anbieter einer IT-Security-Plattform.
Ein besonders dreistes Beispiel dafür, wie Angreifer KI-Tools nutzen, schildert die IT-Security-Firma Trend Micro in ihren Sicherheitsvorhersagen für 2020. Demnach imitierten Kriminelle mit Hilfe dieser Technik die Stimme des Geschäftsführers eines deutschen Energieversorgungsunternehmens. Der vermeintliche Chef wies in einem Telefonat den Leiter der Tochtergesellschaft in Grossbritannien an, rund eine Viertelmillion Dollar an ein Unternehmen in Ungarn zu überweisen - mit Erfolg. Das Geld verschwand auf Nimmerwiedersehen.
KI und IT-Sicherheit: Vorteile und Risiken
IT-Sicherheitsfachleute werden in absehbarer Zeit nicht mehr ohne Tools auskommen, die auf Künstliche Intelligenz und maschinelles Lernen zurückgreifen. Doch diese Technologien haben nicht nur Vorzüge.
Die Vorteile von IT-Security-Lösungen, die KI und Machine Learning einsetzen:
Diesen Vorzügen stehen einige (potenzielle) Nachteile gegenüber:
Authentifizierung von Nutzern
Um zu verhindern, dass Angreifer die Rolle eines rechtmässigen Nutzers übernehmen, setzen Unternehmen bereits seit einigen Jahren Künstliche Intelligenz und maschinelles Lernen beim Authentifizieren und Authentisieren von Nutzern ein. «Diese Technologien, in Verbindung mit Lösungen für die Authentisierung von Nutzern, ermöglichen es, benutzerfreundliche Sicherheitskonzepte aufzubauen. Ein Beispiel ist die Absicherung von Transaktionen beim Online-Banking», erläutert beispielsweise Stephan Schweizer, CEO des IT-Sicherheitsunternehmens Nevis Security aus Zürich.
Bei solchen und vergleichbaren Lösungen, etwa für das Identity- und Access-Management (IAM), wird maschinelles Lernen verwendet, um ein verhaltensbiometrisches «Scoring» von Nutzern umzusetzen. Eine Authentisierungslösung erstellt dazu im Rahmen von Online-Sessions ein Profil eines Nutzers. Ein Finanzdienstleister kann dieses Profil bei der Prüfung von Zahlungen verwenden. Weichen die Schreibgeschwindigkeit des Nutzers oder der Druck auf dem Touchscreen eines Smartphones erheblich vom Profil des Kunden ab, erfolgt eine manuelle Überprüfung der Transaktion durch einen Mitarbeiter.
Datenverkehr überwachen
Zu den Einsatzfeldern, die sich in besonderem Mass für KI- und ML-gestützte Sicherheitssysteme eignen, zählt die Überwachung des Netzwerkverkehrs. Nach Einschätzung des Beratungshauses Gartner erfassen solche NDR-Systeme (Network Detection and Response) den Datenverkehr in einem Unternehmensnetzwerk in Echtzeit. Durch ein sogenanntes Baselining der Verkehrsmuster wird der Normzustand des Netzwerks ermittelt. Mit Hilfe von Machine Learning sind die Systeme dann in der Lage, Anomalien zu entdecken und die IT-Abteilung zu informieren.
Wichtig bei NDR-Lösungen sind Funktionen, die auf eine Attacke automatisch reagieren oder zumindest manuelle Gegenmassnahmen durch Administratoren erlauben. Doch daran, inwieweit ein KI- beziehungsweise ML-Algorithmus eigenständig auf einen Angriff reagieren darf, scheiden sich die Geister. Christine Schönig von Check Point Software sieht keinen Interessenkonflikt zwischen Mensch und Maschine: «Die Entscheidungskontrolle durch den Fachmann wird nicht aus der Hand gegeben, sondern durch qualifizierte Informationen erhöht.»
“KI- und ML-gestützte Technologien werden immer wichtiger, weil sie sich durch die Bewältigung unbekannter Angriffe und hochgradig evasiver Bedrohungen auszeichnen.„
Thierry Karsenti, VP Systems Engineering - EMEA bei Palo Alto Networks
Dagegen sieht Achim Freyer von Rubrik nach wie vor bei IT-Fachleuten den Wunsch, selbst zu entscheiden, was bei verdächtigen Aktivitäten im Netzwerk zu tun ist: «IT-Experten befürworten den Einsatz von KI- und ML-basierten IT-Sicherheitslösungen, wollen aber meistens die Möglichkeit eines manuellen Eingriffs nicht missen. Hinweise und Vorschläge seitens einer derartigen Lösung sind erwünscht, jedoch präferieren die meisten Benutzer, den letzten Klick dann doch noch selbst auszuführen.»
Thierry Karsenti von Palo Alto Networks wiederum sieht sehr wohl eine Tendenz, dass IT-Security-Lösungen eigenständig und vollautomatisch auf Bedrohungen reagieren, dies allerdings nur bei Aktionen, «die keine Validierung durch Menschen erfordern».
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1)
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1) | ||
Anbieter | Lösung | Details |
BlackBerry Cylance | Cylance AI Platform | Diverse KI-basierte Lösungen und Services für Endpoint Protection, Threat Hunting, Root Cause Analysis, Antivirus-Funktionen; auch als gemanagte Services verfügbar |
BlackBerry Spark | Spark UES Suite |
KI-gesteuerte Endpoint Protection, Detection & Response, integrierte Mobile Threat |
Blue Hexagon | Blue Hexagon |
Lösung für Network Detection and Response mit Deep-Learning-Funktion; Anbindung |
Broadcom (Symantec) | Integrated Cyber Defence | Plattform für Endpoint Security, Netzwerksicherheit, Schutz von Identities und Informationsbeständen; als Cloud-Service oder für Implementierung On-Premise und in Hybrid Clouds; Anbindung an Security-Lösungen von Drittanbietern; KI-basierte Threat-Intelligence-Funktion über Global Intelligence Network |
Callsign | Callsign Platform | Plattform für Authentifizierung und Authentisierung von Usern; Basis: Intelligence Engine mit Machine-Learning-Funktionen; Auswertung von Datenpunkten wie Nutzerverhalten, Art des Endgeräts, Aufenthaltsort des Users und so weiter |
Check Point Software | u. a. SandBlast Network, SandBlast Mobile, CloudGuard, Check Point ThreatCloud | KI-Modelle für die Abwehr von Angriffen auf Netzwerk und mobile Geräte (SandBlast) und für cloudbasierte Sicherheitslösungen (ThreatCloud, CloudGuard); Ausrichtung auf Erkennen und Blockieren von Angriffen (Prävention); Blockade von Malware, Spam, Phishing-Mails |
Cisco | SecureX | Cloudbasierte Sicherheitsplattform mit allen IT-Sicherheitsangeboten von Cisco; Auswertung von Daten mithilfe von KI und ML, um Sicherheitsrisiken zu identifizieren; auf Wunsch automatische Reaktion auf Angriffe |
Stealthwatch Enterprise; Stealthwatch Cloud | Haupteinsatzfeld: Network Detection and Response; Überwachung von Cloud-Umgebungen (AWS, Azure, GCP) und Unternehmensnetzen; Verwendung von Machine-Learning- und Deep-Learning-Algorithmen; Anbindung an SecureX-Plattform möglich | |
Crowdstrike | Falcon Platform | Cloud-Plattform für Schutz von Endgeräten (Endpoints); Identifizierung und Steuerung von Endgeräten; Analyse und Bewertung von Schwachstellen (Threat Hunting); Virenschutz |
Cybereason | Cybereason Defence Platform | Plattform für Cloud, On-Premise-Systeme, Hybrid und Private Clouds; Schutz von Endpoints; Sicherheitsanalysen; Cybereason DER für Prävention, Abwehr und automatische Reaktion auf Angriffe; Absicherung mobiler Systeme |
Darktrace | Enterprise Immune System; Industrial Immune System; Darktrace Antigena | Einsatzfeld: Network Detection and Response; Einsatz von Machine Learning und Deep Learning; Aufspüren und Analysieren von verdächtigen Aktivitäten in Büro- und Industrienetzwerken; Antigena bietet automatische Reaktion auf Angriffe, etwa Blockade verdächtiger Datenübermittlungen |
Digital Shadows | SearchLight | Lösung Digital Risk Management; Analyse von Cyberbedrohungen, Risiken für Daten, von Schwachstellen der IT- und Cloud-Infrastruktur; Threat Intelligence; Monitoring von Quellen im Dark Web und Deep Web; Überprüfung der digitalen Angriffsfläche |
Emisoft | Emisoft Business Security | Verhaltensbasierte Antiviren-Software und Anti-Ransomware-Lösung; Zielgruppe: kleinere und mittelständische Unternehmen |
FireEye | MalwareGuard; FireEye Network Forensic | MalwareGuard: Machine-Learning-Funktion für Endpoint-Security-Lösungen von FireEye; Network Forensics für Analyse von Datenverkehr mit Hilfe von Machine Learning |
Fortinet | FortiAI Virtual Security Analyst | Appliance für automatische Identifizierung und Abwehr von Bedrohungen; Basis: neuronales Netzwerk für detaillierte Analysen; auf Nutzer zugeschnittene Threat Intelligence, um Zahl falscher Alarmmeldungen zu reduzieren; Konzeption und Umsetzung von Abwehrmaßnahmen, um Risiken schnellstmöglich auszuschalten |
u. a. FortiSandbox, FortiEDR, FortiGuard Labs, FortiSIEM, FortiInsight | Für KI- und ML-basierte Endpoint Protection (EDR); Sandbox (FortiSandbox) mit zwei ML-Engines für Schutz vor Malware, Ransomware, Cryptojacking; FortiSIEM für ML-basierte Analyse des Nutzerverhaltens; FortiInsight für Endpoint Protection | |
F-Secure | Rapid Detection & Response | Lösung für Endpoint Detection and Response (EDR); Basis: Kombination von Echtzeit-Verhaltens-, Reputations- und Big-Data-Analysen sowie maschinellem Lernen |
G-Data | DeepRay | Machine-Learning-Funktion für IT-Sicherheitslösungen von G-Data; DeepRay analysiert Datenpakete und erkennt getarnte Malware |
IBM | QRadar | Security-Intelligence-Plattform; Aufspüren von bekannten und nicht bekannten Bedrohungen; Absicherung von Cloud-Ressourcen; Schutz vor Insider-Angriffen |
QRadar Advisor with Watson | Erweiterung von QRadar SIEM; Analyse des Netzwerkverkehrs und des Verhaltens von Maschinen und Usern, um Indikatoren für Angriffe aufzuspüren | |
QRadar User Behavior Analytics; QRadar Network Insights; Vulnerability Manager; Data Store | KI-/ML-basierte weitere Versionen der QRadar-Familie für spezielle Einsatzfelder, etwa Netzwerkanalyse und Schutz vor Schwachstellen |
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1)
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1) | ||
Anbieter | Lösung | Details |
BlackBerry Cylance | Cylance AI Platform | Diverse KI-basierte Lösungen und Services für Endpoint Protection, Threat Hunting, Root Cause Analysis, Antivirus-Funktionen; auch als gemanagte Services verfügbar |
BlackBerry Spark | Spark UES Suite |
KI-gesteuerte Endpoint Protection, Detection & Response, integrierte Mobile Threat |
Blue Hexagon | Blue Hexagon |
Lösung für Network Detection and Response mit Deep-Learning-Funktion; Anbindung |
Broadcom (Symantec) | Integrated Cyber Defence | Plattform für Endpoint Security, Netzwerksicherheit, Schutz von Identities und Informationsbeständen; als Cloud-Service oder für Implementierung On-Premise und in Hybrid Clouds; Anbindung an Security-Lösungen von Drittanbietern; KI-basierte Threat-Intelligence-Funktion über Global Intelligence Network |
Callsign | Callsign Platform | Plattform für Authentifizierung und Authentisierung von Usern; Basis: Intelligence Engine mit Machine-Learning-Funktionen; Auswertung von Datenpunkten wie Nutzerverhalten, Art des Endgeräts, Aufenthaltsort des Users und so weiter |
Check Point Software | u. a. SandBlast Network, SandBlast Mobile, CloudGuard, Check Point ThreatCloud | KI-Modelle für die Abwehr von Angriffen auf Netzwerk und mobile Geräte (SandBlast) und für cloudbasierte Sicherheitslösungen (ThreatCloud, CloudGuard); Ausrichtung auf Erkennen und Blockieren von Angriffen (Prävention); Blockade von Malware, Spam, Phishing-Mails |
Cisco | SecureX | Cloudbasierte Sicherheitsplattform mit allen IT-Sicherheitsangeboten von Cisco; Auswertung von Daten mithilfe von KI und ML, um Sicherheitsrisiken zu identifizieren; auf Wunsch automatische Reaktion auf Angriffe |
Stealthwatch Enterprise; Stealthwatch Cloud | Haupteinsatzfeld: Network Detection and Response; Überwachung von Cloud-Umgebungen (AWS, Azure, GCP) und Unternehmensnetzen; Verwendung von Machine-Learning- und Deep-Learning-Algorithmen; Anbindung an SecureX-Plattform möglich | |
Crowdstrike | Falcon Platform | Cloud-Plattform für Schutz von Endgeräten (Endpoints); Identifizierung und Steuerung von Endgeräten; Analyse und Bewertung von Schwachstellen (Threat Hunting); Virenschutz |
Cybereason | Cybereason Defence Platform | Plattform für Cloud, On-Premise-Systeme, Hybrid und Private Clouds; Schutz von Endpoints; Sicherheitsanalysen; Cybereason DER für Prävention, Abwehr und automatische Reaktion auf Angriffe; Absicherung mobiler Systeme |
Darktrace | Enterprise Immune System; Industrial Immune System; Darktrace Antigena | Einsatzfeld: Network Detection and Response; Einsatz von Machine Learning und Deep Learning; Aufspüren und Analysieren von verdächtigen Aktivitäten in Büro- und Industrienetzwerken; Antigena bietet automatische Reaktion auf Angriffe, etwa Blockade verdächtiger Datenübermittlungen |
Digital Shadows | SearchLight | Lösung Digital Risk Management; Analyse von Cyberbedrohungen, Risiken für Daten, von Schwachstellen der IT- und Cloud-Infrastruktur; Threat Intelligence; Monitoring von Quellen im Dark Web und Deep Web; Überprüfung der digitalen Angriffsfläche |
Emisoft | Emisoft Business Security | Verhaltensbasierte Antiviren-Software und Anti-Ransomware-Lösung; Zielgruppe: kleinere und mittelständische Unternehmen |
FireEye | MalwareGuard; FireEye Network Forensic | MalwareGuard: Machine-Learning-Funktion für Endpoint-Security-Lösungen von FireEye; Network Forensics für Analyse von Datenverkehr mit Hilfe von Machine Learning |
Fortinet | FortiAI Virtual Security Analyst | Appliance für automatische Identifizierung und Abwehr von Bedrohungen; Basis: neuronales Netzwerk für detaillierte Analysen; auf Nutzer zugeschnittene Threat Intelligence, um Zahl falscher Alarmmeldungen zu reduzieren; Konzeption und Umsetzung von Abwehrmaßnahmen, um Risiken schnellstmöglich auszuschalten |
u. a. FortiSandbox, FortiEDR, FortiGuard Labs, FortiSIEM, FortiInsight | Für KI- und ML-basierte Endpoint Protection (EDR); Sandbox (FortiSandbox) mit zwei ML-Engines für Schutz vor Malware, Ransomware, Cryptojacking; FortiSIEM für ML-basierte Analyse des Nutzerverhaltens; FortiInsight für Endpoint Protection | |
F-Secure | Rapid Detection & Response | Lösung für Endpoint Detection and Response (EDR); Basis: Kombination von Echtzeit-Verhaltens-, Reputations- und Big-Data-Analysen sowie maschinellem Lernen |
G-Data | DeepRay | Machine-Learning-Funktion für IT-Sicherheitslösungen von G-Data; DeepRay analysiert Datenpakete und erkennt getarnte Malware |
IBM | QRadar | Security-Intelligence-Plattform; Aufspüren von bekannten und nicht bekannten Bedrohungen; Absicherung von Cloud-Ressourcen; Schutz vor Insider-Angriffen |
QRadar Advisor with Watson | Erweiterung von QRadar SIEM; Analyse des Netzwerkverkehrs und des Verhaltens von Maschinen und Usern, um Indikatoren für Angriffe aufzuspüren | |
QRadar User Behavior Analytics; QRadar Network Insights; Vulnerability Manager; Data Store | KI-/ML-basierte weitere Versionen der QRadar-Familie für spezielle Einsatzfelder, etwa Netzwerkanalyse und Schutz vor Schwachstellen |
Der Schutz von IoT-Systemen
Letztlich ist damit zu rechnen, dass KI-Instanzen in immer stärkerem Mass autonom Schutzmassnahmen ergreifen, wenn IT-Systeme und Netze unter Beschuss geraten. Zu dieser Entwicklung trägt bei, dass verstärkt eine neue Kategorie von Endgeräten vor Angriffen geschützt werden muss: IoT-Endpoints (Internet of Things) wie Sensoren an Werkzeugmaschinen und Steuerungen, digitale Stromzähler sowie Komponenten für die Automatisierung von Gebäuden und Wohnungen. «Systeme für das Internet der Dinge und die Betriebstechnik, also Operational Technology (OT), machen inzwischen 30 Prozent der Komponenten in Unternehmensnetzwerken aus», weiss Thierry Karsenti. «Sie stellen ein erhebliches Sicherheitsrisiko dar, weil sie oft nicht verwaltet werden und in vielen Fällen mit Sicherheitslücken ausgeliefert werden.»
Hinzu kommen weitere Risikofaktoren. So sind IT- und OT-Sicherheitsfachleute oft nicht involviert, wenn solche Systeme angeschafft werden. Problematisch unter dem Aspekt Security sind ausserdem die lange Lebenszeit und der unterschiedliche Aufbau von IoT-Lösungen. «Aus meiner Sicht besteht die einzige Möglichkeit, die Herausforderungen im Bereich IoT-Sicherheit zu bewältigen, darin, maschinelles Lernen einzusetzen», so Karsenti.
“Durch KI und Machine Learning wird die Entscheidungskontrolle durch den Fachmann nicht aus der Hand gegeben, sondern durch qualifizierte Informationen erhöht.„
Christine Schönig Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies
Falsches Spiel mit Sensordaten
Zu einer ähnlichen Einschätzung kommt Daniel Carton, CEO von BotCraft. Das Unternehmen bietet Services in den Sparten IoT, Industrial IoT und Maschinenkonnektivität an. «Für mich ist KI im Zusammenhang mit IoT-Infrastrukturen zum einen ein Angriffsvektor», betont Carton, «zum anderen lässt sich Künstliche Intelligenz auch dazu nutzen, um alle Ebenen des OSI-Layers zu überwachen.» Solche Werkzeuge können selbst raffinierte Angriffe auf IoT-Infrastrukturen identifizieren. Als Beispiel führt Carton manipulierte Sensordaten an, die einem System einen falschen Zustand vorgaukeln, ohne dass es dies bemerkt. «Risiken durch solche simulierten Daten lassen sich durch die Implementierung von Überwachungssystemen an Schnittstellen minimieren. Diese Systeme können durch Simulationen getestet und trainiert werden, um entsprechende Angriffe zu erkennen.“ Das heisst, auch in vernetzten Fertigungsumgebungen können KI-basierte Sicherungsmechanismen eine wichtige Rolle spielen.
Fazit & Ausblick
Es ist absehbar, dass autonome IT-Sicherheitslösungen, die KI und maschinelles Lernen nutzen, in den kommenden Monaten an Boden gewinnen. Dazu tragen die Digitalisierungsentwicklungen und die sprunghaft wachsende Zahl vernetzter Dinge bei. Immer komplexere und grössere IT-Umgebungen und Netzwerke lassen sich nicht mehr im Handbetrieb vor Cyberangriffen schützen. Die Frage ist, bis zu welchem Grad der Mensch die Kontrolle über solche Security-Lösungen abgeben will - oder ob er es sich leisten kann, auf automatisierte Sicherheitsprozesse zu verzichten. Dies erinnert an die Lage beim autonomen Fahren: Noch möchten die meisten Autofahrer dem KI-Autopiloten nicht komplett das Steuer überlassen. Doch in drei oder vier Jahren kann das durchaus anders sein.
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 2)
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 2) | ||
Anbieter | Lösung | Details |
Kaspersky Lab | Endpoint Security for Business; Small Office Security | Small Office Security mit Backup, Dateiverschlüsselung, Schutz vor Ransomware, Malware und Schwachstellenanalyse, Sicherung von Zahlungsdaten; Endpoint Security for Business: Cloud-Plattform für Schutz von Endpoints und Patch-Management; Analyse des Verhaltens von Systemen und Usern, um Auffälligkeiten zu ermitteln |
Anti Targeted Attack Platform | Plattform für Identifizierung und Abwehr von Bedrohungen für Endpoints und Netzwerke; Threat Intelligence; Ergänzung von weiteren Kaspersky-Lösungen (EDR, Security for Mail Server, Security for Internet Gateway); Basis: HuMachine, eine Kombination aus Machine Learning, Big Data und Expertenwissen | |
LogRhythm | Machine Data Intelligence Fabric | Basistechnologie (Machine Learning, KI) für Klassifizieren und Normalisieren von Daten; Einbindung der Informationen in entsprechenden Kontext |
AnalytiX; NetworkXDR; UserXDR | AnalytiX für Sicherheitsanalysen durch zentrales Erfassen und Analysieren von Log-Informationen und anderen Systemdaten; Identifizierung von Anomalien und Risiken; NetworkXDR für ML-basierte Analyse von Netzwerkinformationen und Meta-Daten in Echtzeit; UserXDR für Schutz vor Angriffen und Risiken durch Benutzer, etwa Übernahmen von Accounts durch Angreifer | |
Net at Work | Heimdall | Service für die Abwehr von Spam-E-Mails und Bedrohungen; Basis: Auswertung und Sharing der Informationen der NoSpamProxy-Systeme von Net At Work; Analyse von Angriffsformen und Schadpotenzial |
NEVIS Security | NEVIS Identity Suite; NEVIS Authentication Cloud | Schwerpunkt: passswortfreie Authentifizierung und Authentisierung von Usern, etwa beim Online-Banking; Einsatz von KI und ML bei der Analyse von nutzerbezogenen Verhaltensmustern, etwa Tippgeschwindigkeit und Art, wie Touchscreen bedient wird |
Palo Alto Networks | Cortex XDR | KI-basierte Plattform für Bedrohungsprävention, -erkennung, -untersuchung und -abwehr; verhaltensbasierte Analysen und Machine Learning; Absicherung von Nutzer-Accounts und Endpoints |
Cortex XSOAR | Threat Management mit Machine-Learning-Funktionen | |
Rubrik | Cloud Data Management | Datenmanagement-Plattform für Cloud- und On-Premise-Umgebungen; in Verbindung mit Rubrik Polaris KI-basierter Schutz vor Ransomware und Funktionen für die Wiederherstellung von Daten; KI-gestützte Datenanalyse |
Sophos | Cloud Optix | Analyse des Sicherheitsstatus von Kubernetes-Clustern und Cloud-Umgebungen (AWS, Azure, GCP) sowie Infrastructure-as-Code-Plattformen; Ursachenanalyse und Priorisierung von Warnmeldungen |
Intercept X Endpoint | Schutz von Endgeräten (Endpoints) vor Malware, Ransomware, Exploits und Viren; Einsatz von Deep Learning, um unbekannte Schad-Software zu identifizieren; für Windows- und MacOS-Rechner | |
Tanium | Tanium Platform | Plattform für Schutz und Management von Endpoints; auch als Cloud-Service verfügbar; Funktionen u. a. Erkennen von Endgeräten, Konfigurations- und Patch-Management; Identifizierung, Analyse und Abwehr von Bedrohungen; Vulnerability-Management |
Trend Micro | u. a. Writing Style DNA, Trend Micro Smart Protection Network | Basis: XGen-Security-Lösung; Kombination aus Verteidigungstechniken gegen Bedrohungen, Sicherheitsfunktionen und KI- und Machine-Learning-Ansätzen; Schutz vor bekannten und unbekannten Bedrohungen, Ramsomware, Exploits, gezielten Angriffen; Identifizierung von Risiken in Echtzeit; u. a. Lösungen für den Schutz von Netzwerken, Cloud-Umgebungen, Hybrid Clouds und Nutzerkonten |
Varonis | Data Security Platform | Plattform für den Schutz von Daten vor Cyberangriffen, Insider-Attacken und dem Zugriff Unbefugter; Analyse des Verhaltens von Maschinen (Rechner, IT-Systeme) und Usern; Absicherung von Benutzerkonten; automatisierte Klassifizierung sensibler Daten |
Vectra | Cognito Platform | Threat Detection und Abwehr von Angriffen für Cloud-Umgebungen, inklusive Hybrid Clouds |
Cognito Stream, Detect, Recall, Detect for SaaS | KI-gestützte Lösungen für unterschiedliche Anwendungsbereiche, u. a. für das Aufspüren und Neutralisieren von gehackten User-Accounts sowie von Angriffen auf Workloads in Rechenzentren und Clouds; Schutz von Microsoft-365-Umgebungen und Remote-Standorten | |
VMware Carbon Black | VMware Carbon Black Cloud | Cloudbasierte Security-Lösung für Schutz von Endpoints und Workloads; Virenschutz; Threat Hunting; Funktion für Incident Response; als Carbon Black DER auch für Unternehmensrechenzentren verfügbar |
WebRoot (Opentext) | WebRoot | Cloudbasierte Security-Lösung für Echtzeitschutz von Endpoints und Netzwerken; Threat-Intelligence-Service; Virenschutz |
Zero Networks | Access Orchestrator | Cloudbasierte Security-Lösung, die mit Gateways im Unternehmensnetz zusammenarbeitet; Monitoring und Analyse der Aktivitäten und des Netzwerkverkehrs, den Maschinen und User generieren; Schutz vor Übernahmen von Accounts, Ransomware, Kompromittierung von VPN-Verbindungen und Zero-Day-Exploits |
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 2)
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 2) | ||
Anbieter | Lösung | Details |
Kaspersky Lab | Endpoint Security for Business; Small Office Security | Small Office Security mit Backup, Dateiverschlüsselung, Schutz vor Ransomware, Malware und Schwachstellenanalyse, Sicherung von Zahlungsdaten; Endpoint Security for Business: Cloud-Plattform für Schutz von Endpoints und Patch-Management; Analyse des Verhaltens von Systemen und Usern, um Auffälligkeiten zu ermitteln |
Anti Targeted Attack Platform | Plattform für Identifizierung und Abwehr von Bedrohungen für Endpoints und Netzwerke; Threat Intelligence; Ergänzung von weiteren Kaspersky-Lösungen (EDR, Security for Mail Server, Security for Internet Gateway); Basis: HuMachine, eine Kombination aus Machine Learning, Big Data und Expertenwissen | |
LogRhythm | Machine Data Intelligence Fabric | Basistechnologie (Machine Learning, KI) für Klassifizieren und Normalisieren von Daten; Einbindung der Informationen in entsprechenden Kontext |
AnalytiX; NetworkXDR; UserXDR | AnalytiX für Sicherheitsanalysen durch zentrales Erfassen und Analysieren von Log-Informationen und anderen Systemdaten; Identifizierung von Anomalien und Risiken; NetworkXDR für ML-basierte Analyse von Netzwerkinformationen und Meta-Daten in Echtzeit; UserXDR für Schutz vor Angriffen und Risiken durch Benutzer, etwa Übernahmen von Accounts durch Angreifer | |
Net at Work | Heimdall | Service für die Abwehr von Spam-E-Mails und Bedrohungen; Basis: Auswertung und Sharing der Informationen der NoSpamProxy-Systeme von Net At Work; Analyse von Angriffsformen und Schadpotenzial |
NEVIS Security | NEVIS Identity Suite; NEVIS Authentication Cloud | Schwerpunkt: passswortfreie Authentifizierung und Authentisierung von Usern, etwa beim Online-Banking; Einsatz von KI und ML bei der Analyse von nutzerbezogenen Verhaltensmustern, etwa Tippgeschwindigkeit und Art, wie Touchscreen bedient wird |
Palo Alto Networks | Cortex XDR | KI-basierte Plattform für Bedrohungsprävention, -erkennung, -untersuchung und -abwehr; verhaltensbasierte Analysen und Machine Learning; Absicherung von Nutzer-Accounts und Endpoints |
Cortex XSOAR | Threat Management mit Machine-Learning-Funktionen | |
Rubrik | Cloud Data Management | Datenmanagement-Plattform für Cloud- und On-Premise-Umgebungen; in Verbindung mit Rubrik Polaris KI-basierter Schutz vor Ransomware und Funktionen für die Wiederherstellung von Daten; KI-gestützte Datenanalyse |
Sophos | Cloud Optix | Analyse des Sicherheitsstatus von Kubernetes-Clustern und Cloud-Umgebungen (AWS, Azure, GCP) sowie Infrastructure-as-Code-Plattformen; Ursachenanalyse und Priorisierung von Warnmeldungen |
Intercept X Endpoint | Schutz von Endgeräten (Endpoints) vor Malware, Ransomware, Exploits und Viren; Einsatz von Deep Learning, um unbekannte Schad-Software zu identifizieren; für Windows- und MacOS-Rechner | |
Tanium | Tanium Platform | Plattform für Schutz und Management von Endpoints; auch als Cloud-Service verfügbar; Funktionen u. a. Erkennen von Endgeräten, Konfigurations- und Patch-Management; Identifizierung, Analyse und Abwehr von Bedrohungen; Vulnerability-Management |
Trend Micro | u. a. Writing Style DNA, Trend Micro Smart Protection Network | Basis: XGen-Security-Lösung; Kombination aus Verteidigungstechniken gegen Bedrohungen, Sicherheitsfunktionen und KI- und Machine-Learning-Ansätzen; Schutz vor bekannten und unbekannten Bedrohungen, Ramsomware, Exploits, gezielten Angriffen; Identifizierung von Risiken in Echtzeit; u. a. Lösungen für den Schutz von Netzwerken, Cloud-Umgebungen, Hybrid Clouds und Nutzerkonten |
Varonis | Data Security Platform | Plattform für den Schutz von Daten vor Cyberangriffen, Insider-Attacken und dem Zugriff Unbefugter; Analyse des Verhaltens von Maschinen (Rechner, IT-Systeme) und Usern; Absicherung von Benutzerkonten; automatisierte Klassifizierung sensibler Daten |
Vectra | Cognito Platform | Threat Detection und Abwehr von Angriffen für Cloud-Umgebungen, inklusive Hybrid Clouds |
Cognito Stream, Detect, Recall, Detect for SaaS | KI-gestützte Lösungen für unterschiedliche Anwendungsbereiche, u. a. für das Aufspüren und Neutralisieren von gehackten User-Accounts sowie von Angriffen auf Workloads in Rechenzentren und Clouds; Schutz von Microsoft-365-Umgebungen und Remote-Standorten | |
VMware Carbon Black | VMware Carbon Black Cloud | Cloudbasierte Security-Lösung für Schutz von Endpoints und Workloads; Virenschutz; Threat Hunting; Funktion für Incident Response; als Carbon Black DER auch für Unternehmensrechenzentren verfügbar |
WebRoot (Opentext) | WebRoot | Cloudbasierte Security-Lösung für Echtzeitschutz von Endpoints und Netzwerken; Threat-Intelligence-Service; Virenschutz |
Zero Networks | Access Orchestrator | Cloudbasierte Security-Lösung, die mit Gateways im Unternehmensnetz zusammenarbeitet; Monitoring und Analyse der Aktivitäten und des Netzwerkverkehrs, den Maschinen und User generieren; Schutz vor Übernahmen von Accounts, Ransomware, Kompromittierung von VPN-Verbindungen und Zero-Day-Exploits |
Im Gespräch mit Dennis Monner, CEO von Securcloud
Erst neuronale Netzwerke machen eine IT-Sicherheitslösung wirklich intelligent, sagt Dennis Monner, CEO des IT-Security-Spezialisten Secucloud.
Computerworld: Herr Monner, wie bewerten Sie den Nutzen, aber auch die Risiken von Künstlicher Intelligenz im Bereich IT-Sicherheit? Denn mittlerweile setzen ja auch Cyberkriminelle diese Technologie ein.
Dennis Monner: Es ist richtig, dass auch Hacker KI zunehmend für ihre Zwecke einsetzen, etwa um Sicherheitslücken zu identifizieren und auszunutzen. Daraus entwickelt sich mehr und mehr ein regelrechter Wettstreit zwischen automatisiertem Hacking und KI-basierten Schutzmassnahmen. Denn in dem Mass, in dem Cyberkriminelle Künstliche Intelligenz für ihre Zwecke nutzen, müssen auch wir mit entsprechenden Massnahmen kontern, um in diesem Rennen möglichst immer einen Schritt voraus zu bleiben.
Computerworld: Bei etlichen Security-Produkten kommt statt eines KI-Algorithmus maschinelles Lernen zum Einsatz. Wie sind Ihre Erfahrungen?
Monner: Gerade Systeme zur kontinuierlichen Analyse des Netzwerkverkehrs (netzwerkbasierte Intrusion-Detection-Systeme) sind weiterhin nur selten mit intelligenten Funktionen ausgestattet. Was sich vielmehr beobachten lässt, ist eine Verarbeitung grosser Datenmengen auf Basis von maschinellem Lernen, um auf diese Weise Malware-Signaturen zu erstellen. Dieser Ansatz ist nicht zwingend auf die Nutzung Künstlicher Intelligenz angewiesen.
Computerworld: Wie sieht denn eigentlich eine «richtige» KI-gestützte Netzwerkanalyse aus?
Monner: Ein Beispiel für ein echtes KI-Szenario in der Security-Branche ist ein selbstlernendes System, das sich auf dieselbe Weise weiterentwickelt, wie wir es von einem künstlichen Gehirn erwarten würden.
Die Grundlage für ein solches System ist ein neuronales Netz, mit dem sich eine Art Gedächtnis erzeugen lässt: Werden bestimmte Verbindungen zwischen den einzelnen Knoten immer wieder aktiviert, werden diese stärker gewichtet. Auf diese Weise trainiert das neuronale Netz.
Computerworld: Und wie lässt sich ein solches System in der Praxis einsetzen?
Monner: Ein Anwendungsszenario könnte beispielsweise ein netzwerkbasiertes Intrusion-Detection-System (N-IDS) sein, das Sicherheitsverletzungen nicht mehr rein auf Basis bereits bekannter Angriffsmuster erkennt. Stattdessen ist es in der Lage, mit Hilfe eines neuronalen Netzes zu «verstehen», welche Merkmale unbedenklichen von schädlichem Netzwerkverkehr unterscheiden.
Mit einem solchen neuronalen Netz könnten sich Infrastrukturen schützen lassen, ohne dass eine kontinuierliche Aktualisierung einer Signaturdatenbank erforderlich wäre. Vielmehr würde das System durch die Verarbeitung des Netzwerkverkehrs lernen und sich so im Praxiseinsatz kontinuierlich weiterentwickeln.
Computerworld: Wie aufwendig ist es, ein solches neuronales Netzwerk für Anwendungen im Bereich IT-Sicherheit zu trainieren?
Monner: Das Training ist in der Tat ein schwieriges Unterfangen, weil der Netzwerkverkehr heterogen ist und sich daher schwer analysieren lässt. Ein Lösungsansatz findet sich jedoch interessanterweise in einem völlig anderen Einsatzgebiet der KI: der Bilderkennung. Um beispielsweise eine Katze auf einem Foto zu identifizieren, greifen Suchmaschinen heute auf sogenannte Convolutional Neural Networks zurück. Diese sind darauf spezialisiert, Input visuell zu analysieren.
Tatsächlich lässt sich auch Netzwerkverkehr visuell darstellen - in Form eines Graustufenbilds, bei dem jedes Byte als ein Pixel dargestellt wird. Konfrontiert man das neuronale Netz nun mit den «Bildern» von harmlosem und schädlichem Netzwerkverkehr, dann kann das KI-System darauf trainiert werden, die beiden Verkehrstypen voneinander zu unterscheiden.
Computerworld: Das hört sich einfach an. Doch welche Hürden sind bei einem solchen Ansatz zu nehmen?
Monner: Zum einen muss der Netzwerkverkehr temporär entschlüsselt werden - etwa mit Hilfe von SSL-Interception. Ausserdem ist es notwendig, die einzelnen Protokolle des Datenstroms, wie HTTP, HTTPS oder SMTP, voneinander zu trennen. Erst dann ist ein KI-gestütztes Security-System in der Lage, die einzelnen Schichten zu analysieren. Und drittens sollten die KI-Algorithmen idealerweise in der Cloud implementiert werden. Dies stellt sicher, dass die zur Analyse erforderliche Rechenleistung zur Verfügung steht.
Sind diese Voraussetzungen erfüllt, könnten auf Basis derselben Technologie, die zur Bilderkennung genutzt wird, spezielle KI-Klassifikatoren trainiert werden. Diese wiederum sind dann in der Lage, den Netzwerkverkehr visuell zu analysieren und als unbedenklich oder schädlich einzustufen. Das System würde dabei durch Erfahrung lernen und sich kontinuierlich selbst verbessern.