:quality(80)/p7i.vogel.de/wcms/cc/63/cc633c6ae01e9a05c6ad9bae5b5e6342/0114957799.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/e3/51/e351df5354192adf7d956e215009d6b3/0114109618.jpeg "BigData-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/e6/96e60b3e07811469fae0765f59d21ac8/0115431124.jpeg "Immer mehr Endgeräte enthalten Funktionen, die KI-Berechnungen erfordern – etwa smarte Thermostate mit Sprachsteuerung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/59/87/59873b6cd5bc2d145cc9cc4ca5b4bce2/0115409344.jpeg "Ab sofort steht das E-Book „Datenbank-Migration“ kostenlos zum Download bereit. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6f/f2/6ff2c367392718cb04abc430a5f3164e/0115129475.jpeg "Der Autor: Fabian Czicholl ist Regional Vice President bei Appian Deutschland (Bild: Appian Deutschland)")
:quality(80)/p7i.vogel.de/wcms/22/f4/22f4c64614992c01d14278c077071484/0115225608.jpeg "Databricks will mit seinen Produkten dazu beitragen, dass Daten von möglichst vielen im Unternehmen genutzt werden können. Wie, das präsentierte das Unternehmen auf der Data + AI World in München. (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/35/73/3573691301b24cb1430f406d21795e8f/0115090776.jpeg "Snowflake hat seine Datenplattform mit neuen Funktionen für generative KI und Large Language Models (LLM) ausgestattet.
(Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/ab/ab/ababa8290b2f0ac5101dba1dafc34d21/0115041361.jpeg "Mit dem FinOps-Dashboard lassen sich u.a. die Kosten für Rechenleistung und Ingress-/Egress-Datenverkehr über verschiedene Datenbanken, Data Lakes und andere Datenplattformen kontrollieren. (Bild: Denodo)")
:quality(80)/p7i.vogel.de/wcms/81/12/81120e2916d42938419c153dc650f523/0115243180.jpeg "72 Prozent der Organisationen, die in den letzten zwei Jahren BI-Lösungen erworben haben, haben Microsoft Power BI evaluiert. (Bild: BARC)")
:quality(80)/p7i.vogel.de/wcms/16/08/1608bee91673491923b0efdabb759387/0115427536.jpeg "Rund 80 Anwender nahmen online am zehnten Pentaho User Meeting teil. Acht Erfahrungsberichte von Organisationen wie der Bundesdruckerei, dem Wahnbachtalsperrenverband und der Blechwarenfabrik Limburg sorgten für interessante Einblicke. (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/40/15/4015fd725ee29ee165bc0b46774ed190/0115060834.jpeg "Neo4j hat seiner gleichnamigen Graphdatenbank einige neue Funktionen spendiert. (Bild: Neo4j)")
:quality(80)/p7i.vogel.de/wcms/2f/58/2f5841e0f849cb177d3dfa0c9085c290/0115054659.jpeg "Laut Forrester haben zwölf Prozent der Unternehmen mit einer soliden KI-Strategie inzwischen einen Chief AI Officer (CAIO). (Bild: © – ImageFlow – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/a8/a8a83d37d618ead6775e9e8f695c2475/0114694022.jpeg "Das KI-Theme nach einer Reihe von Nachfragen: Es sieht OK aus, aber das Menü will GPT einfach nicht korrekt anordnen. (Bild: Rentrop / WordPress)")
:quality(80)/p7i.vogel.de/wcms/30/c8/30c8d75e49b3ef7b344d97b024ea4939/0115041243.jpeg "Die Küste der Isle of Wight. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b4/31/b4311c55605fa804d0d420edc5c2a8e7/0115040726.jpeg "Siemens und Microsoft intensivieren ihre Zusammenarbeit. Dabei geht es um die breitgefächerte Einführung von generativer KI, um etwa ein industrielles Metaversum zu schaffen. Damit sollen sich viele Workflows in unterschiedlichen Sektoren straffen lassen. Lesen Sie hier, was da kommt. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/5c/24/5c24f198724184d13f3c94cb0128f983/0115040401.jpeg "Akustische Sensoren haben das Potenzial, in vielen Anwendungsfällen einen Mehrwert zu bieten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ed/da/edda0b04adad8a59c3acaa03320b4268/0114820023.jpeg "Das IoT Cockpit ist in maximal drei Monaten mit bis zu 90 Prozent reduzierten Kosten startklar. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/61/6c/616c546266e3a4c49bc98b75290d96da/0114243058.jpeg "Der Autor: John Armstrong ist CTO von Worldly (Bild: Worldly)")
:quality(80)/p7i.vogel.de/wcms/00/d6/00d675c65ddde98e0412e533e01dd85e/0114239415.jpeg "Der Autor: Balakrishna DR ist Head of AI bei Infosys (Bild: Infosys)")
:quality(80)/p7i.vogel.de/wcms/c7/8b/c78bd9fc394a96cc05c43d0562298c3d/0115381887.jpeg "Im Dashboard von Watsonx.governance werden 60 Aufgaben angezeigt, wovon einige überfällig sind. Interessant ist auch die Risikobewertung ganz rechts. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/86/21/8621b6e57693364354a9dd97f19c724f/0115236824.jpeg "Generative KI-Tools wie ChatGPT, Bard und Copilot sollten mit Vorsicht am Arbeitsplatz verwendet werden. (Bild: Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/8b/f88b97f61f27b414d52d3686720f86c8/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/8f/c1/8fc10c838c2b269309a04a2d5aa683f5/0114338510.jpeg "Der autor: Ulf Zetterberg ist Co-CEO beim Enterprise-Search-Spezialisten Sinequa (Bild: Sinequa)")
:quality(80)/p7i.vogel.de/wcms/5d/7b/5d7b828ee1d11f189ee7e0bb62927f42/0115432936.jpeg "Mit Unterstützung von KI-Methoden wollen Forschende die Herstellungsprozesse für hocheffiziente Perowskit-Solarzellen verbessern. (Bild: Amadeus Bramsiepe, KIT)")
:quality(80)/p7i.vogel.de/wcms/81/20/8120258a96e7459bb24645e174014521/0115459104.jpeg "Eine Studie von Dell Technologies untersucht die Bereitschaft zur Nutzung generativer KI (GenAI) in Deutschland, Frankreich, Großbritannien und den USA. Dabei liegt Deutschland bei den meisten Kriterien gleichauf mit den anderen Staaten, wobei On-Premises- oder hybride IT-Architekturen hierzulande für KI-Projekte besonders beliebt sind. (Bild: fotomek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/1c/e61c7da074af7d49926788af57dbbbc5/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109ed1193c0e35f1bd97ad23be629111/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/64/8e64ad0202afa7fa962f9e833e50ee8a/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/ac/49ac99249bcb88bc4d44968f96f6459c/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
Teil 2: Symptome für atypischen Netzverkehr Wie eine KI lernt, Cyberangriffe zu erkennen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/2c/602cdcaa1f5bc/fivetran-logo-blue.png "Fivetran_logo-blue.png (Fivetran)"){kind=logo}
Die Analyse des Datenverkehrs im Netz ist zentral für die IT-Sicherheit. Künstliche Intelligenz ermöglicht die notwendige Feinkörnigkeit im Erkennen von Anomalien. Machine Learning sorgt dafür, dass die KI sich immer auf dem aktuellen Stand befindet und dass neuer Datenverkehr entdeckt und bewertet wird.
Wenn eine künstliche Intelligenz lernen soll, Cyberangriffe zu erkennen beobachtet sie zunächst einmal über eine bestimmte Zeit den normalen Netzverkehr und weiß danach, wie sich erlaubter Netzverkehr darstellt. Das Ergebnis liegt dabei in der Regel innerhalb von zwei Wochen vor. Ab dann ist alles, was davon abweicht, verdächtig.
:quality(80)/p7i.vogel.de/wcms/db/d1/dbd1a4192a1f37f4eaf5629f399e74d5/0104986964.jpeg "Teil 1 des Artikels legt dar, wie KI und ML eine Baseline des normalen externen und internen Netzverkehrs definiert und zeigt anhand der Log4j-Schwachstelle, wie sich Angriffe in den Netzwerkaktivitäten verraten. Teil 2 zeigt typische Symptome eines anomalen und damit wahrscheinlich bösartigen Netzverkehrs. (Bild: sdecoret - stock.adobe.com)")
Teil 1: Die Datensammler
Künstliche Intelligenz macht Netzwerksicherheit handhabbar
Bilderstrecke: Steckbriefe der Angreifer – Verdächtiger Netzwerkverkehr in Beispielen.
:quality(80)/p7i.vogel.de/wcms/4b/af/4baf085dba572a58db5020e08620be54/0104986989.jpeg "Grundlagen zur Erkennung von Anomalien im Netzwerkdatenverkehr: Die Visualisierung des außergewöhnlichen Internetverkehrs dokumentiert deutlich die Abweichungen von der Baseline eines normalen Zugangs zum Internet im oberen Bild.")
:quality(80)/p7i.vogel.de/wcms/48/c7/48c7c0b355c61ded755cf1708d7ccdab/0104986990.jpeg "Untypisches Mapping verschiedener Domänen zu einzelnen IP-Adressen lässt sich mit einer ML-trainierten KI erkennen. Dies zeigt einen typischen Mechanismus von Malware zum Tarnen der C&C-Kommunikation.")
:quality(80)/p7i.vogel.de/wcms/67/0e/670e6a087754c5294e9a031bab6c8696/0104986994.jpeg "Künstliche Intelligenz erkennt die einzelnen Elemente einer Malware – vom Byte-Level bis zum großen Merkmalbündel.")
:quality(80)/p7i.vogel.de/wcms/e4/b2/e4b2d688b575cad49e6df2fc548122e1/0104986993.jpeg "Schema zur Analyse einer Brute-Force-Attacke durch KI. Charakteristische Session-Dauern, Interaktionen von Protokollen, ein besonderer Verkehr und Modelle bekannter Brute-Force-Tools.")
Wie kann die KI nun verdächtiges anomales Verhalten erkennen? Bösartige Angriffe zeichnen sich unter Umständen durch folgende Punkte aus:
- Austausch mit unbekannten Servern: Logfiles dokumentieren die Kontaktanfrage an einen Server durch unbekannte Systeme genauso wie das Übersenden von Datenpaketen oder Befehlen. Geschieht dies über Protokolle, die besonders Hacker häufig verwenden, ist dies ein Indiz für ein unerlaubtes Eindringen.
- Verschleierte Kontaktaufnahmen: Untypischer eingehender Datenverkehr kann seine Herkunft tarnen. So mag eine Anfrage an ein System im ersten Schritt von einer legitimen Domain kommen. Antwortet das System aber auf diese, wird es an eine andere bösartige IP-Adresse weitergeleitet. NDR-Lösungen, die auf DNS-Systeme zurückgreifen, erkennen die Muster und schlagen Alarm. Das Umleiten einer böswilligen Anfrage über die Log4j-Schwachstelle eines Webservers ist dafür ein typisches Beispiel: Zum Auflösen einer Variable sendet der angegriffene Webserver eine Antwort zurück, die nicht beim anfragenden Server ankommt, sondern beim von den Hackern kontrollierten System. Angreifer schreiben dann ausführbaren Code in die Log-Datei.
- Generieren neuer Domänen durch Algorithmen: Auch Angreifer verwenden Algorithmen. Somit erzeugen sie regelmäßig eine große Zahl von Zufallsdomänen als Zieladressen, die ihrerseits alle an die tatsächliche Hacker-IP angebunden sind. Die im Opfersystem installierte Malware springt dann bei ihrer Kommunikation mit dem Command-and-Control- (C&C)-Server regelmäßig zwischen dieser großen Zahl an Domänen hin und her, um unentdeckt zu bleiben. Eine dritte Stufe der auf diese Weise generierten Domäne – wie etwa der Hostname – nutzen Angreifer, um Daten zu exfiltrieren. Ein solches Verhalten kann ein menschlicher Beobachter kaum erkennen oder interpretieren.
- Verschlüsselte Kommunikation: C&C-Server und angegriffene Systeme kommunizieren oft verschlüsselt. Damit umgehen sie Sicherheitsrichtlinien von Firewalls, bleiben für Sicherheitsaudits unsichtbar und können weit in das angegriffene Netzwerk starten. Ein solcher Datenfluss zeigt sich im ein- und ausgehenden Datenverkehr eines Jump Hosts – einem kompromittierten internen Host im Opfersystem. Bösartiger Verkehr lässt sich am Fluss der Pakete erkennen: Außergewöhnliche Spitzen in der Übertragung oder lang andauernder verschlüsselter Datenfluss verraten die Exfiltration von Informationen.
Bilderstrecke: Steckbriefe der Angreifer – Verdächtiger Netzwerkverkehr in Beispielen.
- Brute-Force-Attacken: Brute-Force-Attacken zeichnen sich durch eine hohe Anzahl von Nutzernamen und Passwort-Kombinationen aus. Intelligentere Angreifer verschleiern aber diese massiven Attacken, indem sie die Zahl der Log-Versuche senken oder die Angriffe verteilt durchführen. Eine KI erkennt dieses Verschleiern genauso wie die Dauer einer Zugriff-Session, das Zusammenspiel der Protokolle und die Kommunikation des Brute-Force-Tools mit dem C&C-Server.
- Varianten von Malware und Ransomware: KI-Modelle erkennen, identifizieren und klassifizieren auch neue Malware-Varianten. Deren Code und Verhalten kann bekannten Schadsoftware-Familien zugeordnet werden.
- Verdächtige Bewegungsmuster von Angreifern und Malware: Ein Administrator oder eine Applikation, die Teil eines Prozesses ist, greifen gezielt auf ihre Systeme zu. Anders dagegen ein Angreifer: Akteure hinter anspruchsvollen Ransomware-Attacken suchen nach Informationen in der IT, die für die Opfer unverzichtbar sind. Auf der Suche danach ergeben sich daher oft verdächtige Schritte im Netz. Die Angreifer springen von System zu System oder gehen diese der Reihe nach ab.
- Ungewöhnliche Login-Zeiten, -Orte, und -Häufigkeiten sowie anomaler Zugriff auf Applikationen oder Systeme: Anhand dieser Metadaten zeigt sich eine Anomalität am augenfälligsten. Greifen Mitarbeiter im Unternehmen plötzlich auf für sie untypische Systeme zu, kann dies auf einen durch externe Angreifer kompromittierten Account oder eine Insider-Bedrohung durch einen böswilligen Mitarbeiter hinweisen.
- Datendiebstahl: Lesevorgänge, Exporte oder Kopien von Daten mit hoher Frequenz erkennt die KI durch den erhöhten Datendurchsatz, den solche Prozesse verursachen.
Bilderstrecke: Steckbriefe der Angreifer – Verdächtiger Netzwerkverkehr in Beispielen.
Die Künstliche Intelligenz lernt nie aus
Die Analyse des Datenverkehrs im Netz ist zentral für die IT-Sicherheit. Künstliche Intelligenz ermöglicht die notwendige Feinkörnigkeit im Erkennen von Anomalien. Machine Learning sorgt dafür, dass die KI sich immer auf dem aktuellen Stand befindet und dass neuer Datenverkehr entdeckt und bewertet wird. Ergibt sich ein guter Grund für die Zunahme von Anfragen aus anderen Regionen zu anderen Zeiten – wie etwa die Integration einer neuen Filiale – dann wird der neue Datenverkehr Teil des neuen Normal. Ist dies nicht gegeben, dann ist von einem Angriff auszugehen – entweder unmittelbar oder in naher Zukunft. Ein Blocken wirkt dann präventiv – bevor die Ransomware mit dem Verschlüsseln anfängt.
Über den Autor: Paul Smit ist Director Professional Services bei ForeNova.
(ID:48413463)
:quality(80)/p7i.vogel.de/wcms/01/5e/015e03353f705f4ca41ed1104108c473/0110739441.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/0e/a80ee9a7ea1816dc0b8f7d8cac2bdf77/0108731446.jpeg "In der heutigen Cyberlandschaft ist es von entscheidender Bedeutung, dass die mit dem Unternehmensnetzwerk verbundenen Geräte und Anlagen sicher und vor dem nächsten Angriff geschützt sind. (Bild: gemeinfrei)")