Wie künstliche Intelligenz die IT-Sicherheit verbessern kann

Die Rolle von KI für die Abwehr von Cybergefahren
0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
392 Aufrufe  

Cyberkriminelle verwenden immer raffiniertere Methoden, um in Unternehmensnetze einzudringen und ihre Angriffe zu verschleiern. Security-Spezialisten sind häufig von der Vielzahl und Komplexität der Attacken überfordert. Sie tun sich schwer, Eindringlinge zu erkennen und die richtigen Gegenmaßnahmen zu ergreifen. Dieser Artikel zeigt, wie neue, auf künstlicher Intelligenz basierende Ansätze der Gefahrenabwehr die Experten unterstützen und so für mehr Sicherheit sorgen können.

Klassische Methoden der IT-Sicherheit wie Firewall, E-Mail-Gateway und Antivirus-Software sind auch heute noch wichtige Bestandteile jeder IT-Sicherheitsstrategie. Sie reichen jedoch aus mehreren Gründen nicht mehr aus, um Unternehmen wirklich vor den Gefahren aus dem Internet zu schützen. Die zunehmende Verbreitung von Cloud und Mobile Computing hat dazu geführt, dass das herkömmliche Perimeter-Paradigma der Netzwerksicherheit nicht mehr funktioniert. Wenn Mitarbeiter von überall auf Unternehmensressourcen zugreifen und Applikationen als Software-as-a-Service (SaaS) aus der Cloud bezogen werden, ergibt die klassische Trennung zwischen „außerhalb“ und „innerhalb“ des Firmennetzes keinen Sinn mehr. Statt Netzwerkgrenzen müssen daher heute Mitarbeiter-Accounts, Applikationen und Daten direkt geschützt werden - unabhängig davon, wo sie sich physisch befinden.

 

 

Aber nicht nur die zu schützenden IT-Landschaften sind komplexer geworden, auch die Angriffe wurden vielfältiger, raffinierter und gezielter. Im Darknet erhältliche Botnet- und Trojaner-Baukästen ermöglichen es, schnell neue Angriffsvektoren zu erstellen, die von herkömmlichen signaturbasierten AV-Lösungen nicht erkannt werden. Laut dem Internet Security Threat Report 2018 des Sicherheitsanbieters Symantec stieg allein die Zahl an Ransomware-Varianten im Jahr 2017 um 47 Prozent. Für ein paar Dollar können die Angreifer zudem Zugangsdaten zu Nutzerkonten kaufen. So wurden beispielsweise allein bei Yahoo mehr als drei Milliarden Nutzerkonten gehackt und der Fahrdienst Uber musste den Diebstahl von rund 57 Millionen Nutzerdaten beichten.

Mehrstufige Abwehr erforderlich

Um solche Attacken abzuwehren, ist ein mehrstufiger Ansatz erforderlich, der herkömmliche Abwehrmechanismen mit neuen Methoden verbindet:

  1. Signaturbasierte Malware-Erkennung. Diese klassische Methode stellt die erste Verteidigungslinie dar, indem sie alle bereits registrierten Schädlinge erkennt und eliminiert. Entscheidend ist dabei, dass die Signaturdatenbank der Sicherheitslösung Informationen aus möglichst vielen Quellen sammelt und dem Nutzer so schnell wie möglich zur Verfügung stellt. Ideal sind Cloud-basierte Lösungen, da sie zentral aktualisiert werden und damit immer auf dem neuesten Stand sind.
  2. Verhaltensanalyse und Heuristik. Einen zusätzlichen Schutz bieten Scanner, die den Rechner auf verdächtige Aktivitäten überwachen. Versucht ein unbekanntes Programm beispielsweise die „hosts“-Datei zu ändern oder Einträge in die Registry zu schreiben, schlägt der Wächter Alarm und blockiert den Vorgang. Heuristische Verfahren versuchen aus dem vorhandenen Wissen über den typischen Aufbau von Malware Vorhersagen zu treffen, um so auch bislang unbekannte Schadsoftware erkennen zu können. Beide Verfahren haben allerdings den Nachteil, dass sie häufig zu zahlreichen Fehlalarmen führen. Es besteht die Gefahr, dass Nutzer von den vielen Warnmeldungen genervt sind und den Virenscan aus diesem Grund ganz abschalten.
  3. Statische Codeanalyse. Viren-Programmierer versuchen häufig, ihre wahren Absichten zu verschleiern, indem sie den Schadcode in scheinbar nützlichen oder zumindest harmlos erscheinenden Programmen verstecken. Um diese Code-Bestandteile zu finden, untersucht die statische Analyse direkt den Code des Programms, ohne es auszuführen.
  4. Sandboxing. Bei diesem Verfahren werden verdächtige Anhänge erst in einer abgesicherten virtuellen Umgebung – der Sandbox – geöffnet, um verdächtiges Verhalten erkennen zu können. So lassen sich beispielsweise auch sogenannte Zero-Day-Attacken abwehren, bei denen Kriminelle Schwachstellen angreifen, die erst kurz zuvor entdeckt wurden und für die noch kein Patch zur Verfügung steht. Sandboxing verzögert allerdings die Zustellung der Nachrichten, da die Anhänge zuerst geöffnet und analysiert werden müssen. Die Sandboxing-Technologie der Wahl sollte daher hochskalierbar sein, um auch bei großem Mail-Aufkommen schnell Ergebnisse zu liefern. Fortgeschrittene Malware erkennt zudem, wenn sie in einer virtuellen Umgebung geöffnet wird und bleibt dann inaktiv. Moderne Sandboxing-Verfahren nutzen daher CPU-Emulationstechniken, die von Malware nicht als virtuelle Umgebung erkannt werden.

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.