KI/ML-Technologien gegen Cyber-Kriminalität Prevention First- und Zero Trust-Ansätze für mehr Sicherheit

Von Ulf Baltin |

Anbieter zum Thema

Die Zahl neuer Ransomware-Varianten wächst täglich – ein Beleg dafür, dass Cyber-Kriminelle immer raffiniertere Angriffstechniken nutzen und verstärkt auf smarte Technologien setzen. Dringend benötigt wird daher eine starke Verteidigungslinie auf Basis moderner KI/ML-Technologien und des Prevention First-Ansatzes, um die Angreifer mit ihren eigenen Waffen zu schlagen.

KI, ML und Clustering-Algorithmen können Unternehmen beim Erkennen von Cybersecurity-Bedrohungen unterstützen.
KI, ML und Clustering-Algorithmen können Unternehmen beim Erkennen von Cybersecurity-Bedrohungen unterstützen.
(© Alexander Limbach - stock.adobe.com)

Die IT-Sicherheitslage in Deutschland ist angespannt und herausfordernd: Eine große Bedrohung geht laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) von Ransomware aus. Von 400.000 neuen Schadprogramm-Varianten pro Tag ist im BSI Bericht zur IT-Sicherheitslage die Rede. Daneben kommen weitere Herausforderung hinzu, wie etwa die Microsoft Exchange Schwachstelle. Im Allianz Risikobarometer gaben 2.650 Sicherheits-Fachleute und Manager in Unternehmen aus 89 Ländern an, dass sie sich mehr um Cyber-Attacken sorgen als um Naturkatastrophen oder Pandemien. Daran lässt sich ablesen, dass die Gefahr weltweit spürbar ist, die von etwaigen Sicherheitsvorfällen ausgeht.

Geteiltes Know-how vergrößert die Angriffsfläche

In der Tat stellt Ransomware im Segment Cyber-Kriminalität eine überaus variantenreiche Angriffstaktik dar. Besonders brisant: Zwischen den Aktionen dreier verschiedener Bedrohungsgruppen, in deren Zentrum ein vierter Akteur namens Zebra2104 steht, hat das Research and Intelligence-Team von BlackBerry eine außergewöhnliche Verbindung aufgedeckt. Demnach besteht ein reger Austausch zwischen verschiedenen Bedrohungsakteuren, die sich miteinander vernetzen, austauschen und einen regelrechten Wissenstransfer betreiben, wenn es um die Entwicklung von Schadsoftware und Phishing-Methoden geht.

Gerade die enormen Fortschritte der Hacker-Community beim Verfassen von Phishing-Mails mithilfe von KI- und ML-Anwendungen nähren die Frage, ob smarte Systeme im Vergleich zu Menschen künftig die gefährlicheren Angreifer sein werden. Doch egal, von wem objektiv die größere Gefahr ausgeht: Um Attacken effektiv abzuwehren, müssen IT-Sicherheitsexperten gegenüber den Angreifern jederzeit einen Schritt im Vorsprung sein.

Clustering als Mittel der Angriffsabwehr

Den Vorsprung wahren Unternehmen am besten dann, wenn sie leistungsfähige Tools zur Gefahrenabwehr verwenden, die auf den gleichen modernen Technologien basieren wie das Toolset der Angreifer – KI und ML. Hierbei ist die Clustering-Analyse wichtig, bei der Daten-Samples auf Grundlage zuvor unbekannter Ähnlichkeiten zwischen ihren Hauptmerkmalen oder -attributen in diskrete Gruppen oder Cluster eingeteilt werden. Falls Stichproben eine hohe Ähnlichkeit aufweisen, ist die Wahrscheinlichkeit groß, dass sie zu demselben Cluster gehören. Als mathematisch strenger Ansatz kann Clustering entscheidend dazu beitragen, Muster und Beziehungen zwischen Netzwerk-, Anwendungs-, Datei- und Benutzerdaten aufzudecken, die ansonsten nur schwer oder gar nicht erkennbar sind.

Die menschliche Wahrnehmung ist dreidimensional angelegt. Im dreidimensionalen Raum lassen sich Entfernungen zwischen zwei beliebigen Objekten als Länge der kürzesten geraden Verbindungslinie zwischen ihnen messen. Das Prinzip machen sich auch Clustering-Algorithmen zunutze, indem sie Daten-Samples Koordinaten in einem Merkmalsraum zuweisen und den Abstand dazwischen ermitteln.

Sicherheitsexperten erhalten nach der Analyse mehrere Cluster mit verschiedenen Inhalten. Aufgrund des seltenen Vorkommens bösartigen Verhaltens werden jene Cluster einer besonders großen Anzahl von Samples gemeinhin mit gutartigen Aktivitäten assoziiert. Demgegenüber können Cluster mit wenigen Inhalten einen Hinweis geben auf anormale, potenziell bösartige Aktivitäten. In diesen Fällen ist in jedem Fall eine tiefergehende Analyse erforderlich.

Klassifizierungsmodelle zur Einstufung potenzieller Gefahrenquellen

Wer Merkmale systematisch klassifiziert, um für Sicherheit zu sorgen, kann einfacher eine verlässliche Aussage darüber treffen, ob eine E-Mail als Spam zu behandeln ist oder ob eine Netzwerkverbindung einem Botnet angehört. Die verschiedenen Algorithmen, die Security-Experten zur Kategorisierung einsetzen, werden im ML-Kontext Klassifikatoren genannt. Wichtige Bedingung, um verwertbare Erkenntnisse zu gewinnen: Datenwissenschaftler müssen über eine große Menge an markierten Daten verfügen, die zuvor korrekt erfasst und kategorisiert worden sind. Üblicherweise werden die Stichproben in zwei bis drei Sätze für Training, Validierung und Test eingeteilt. Die Erfahrung lehrt, dass die Wahrscheinlichkeit steigt, mithilfe des Klassifikators ein verwertbares und genaues Modell zu erstellen, je größer die Trainingsmenge ist – ein effizienter Weg, um verlässliche Zuordnungen zu treffen.

Die Zukunft des Bedrohungsmanagements ist smart

Die dargestellten Beispiele bieten einen einführenden Überblick über wegweisende, intelligente Tools und Prozesse, die Datenwissenschaftler zur Lösung komplexer Cybersicherheitsherausforderungen bereits heute einsetzen. Die Ergebnisse sind beeindruckend, aber sie sind bislang nur ein Ausgangspunkt. Als Erfolgsfaktor ist die Bedeutung eines umfassenden Bestands an proprietären Sicherheitsdaten, die zur Erstellung praxisfähiger Modelle und Cases zur Verfügung stehen, gar nicht hoch genug einzuschätzen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zur Konkretisierung eines leistungsfähigen Prevention First- und Zero Trust-Ansatzes, bei dem die IT-Sicherheitsarchitektur von vornherein darauf ausgelegt ist, Probleme zu lösen, ehe sie überhaupt auftreten, wird die dort eingesetzte KI mit Millionen Daten gefüttert und kontinuierlich trainiert, um Gefahren präventiv entgegenzutreten. Nur wer über entsprechende Ressourcen verfügt, ist perspektivisch dazu in der Lage, kritische Sicherheitsprobleme richtig einzuordnen und Lösungen zu entwickeln, die Unternehmen dabei helfen, ihre Cyber-Risiken zu minimieren und ihre Abwehrkräfte gegen Ransomware, smarte Bots und Co signifikant zu verbessern.

Über den Autor: Ulf Baltin ist Managing Director DACH bei BlackBerry.

(ID:48195883)