- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Maschinelles Lernen in der IT-Security


Die Macht der Algorithmen: So hilft Maschinelles Lernen in der modernen IT-Sicherheit
Um Algorithmen des Maschinellen Lernens so zu programmieren, dass sie beispielsweise gut und böse voneinander unterscheiden können, muss man zuerst einmal alles Mögliche über Gut und Böse lernen

- Anzeigen -





Von Liviu Arsene, Leitender Bedrohungsanalyst, Bitdefender

Artificial Intelligence, zu Deutsch Künstliche Intelligenz (KI), hat sich zum Hypebegriff entwickelt und es scheint fast so, als wären alle IT-Lösungen über Nacht intelligent geworden. KI wird als Antriebsfeder der digitalen Transformation betrachtet, doch steckt sie in ihren Anwendungsbereichen noch in den Kinderschuhen. Im Prinzip geht es darum, menschliche Entscheidungsstrukturen mit Hilfe eines Computers nachzubauen, ihn sozusagen "intelligent" werden zu lassen.

Häufig wird die Begrifflichkeit verwendet und dabei absichtlich mit dem Maschinellen Lernen synonym verwendet. Doch Maschinelles Lernen ist eher ein Teilgebiet der KI. Maschinelles Lernen ist im Prinzip auf Algorithmen basierende Software, die darauf spezialisiert ist, sehr große Datenmengen anhand vordefinierter Parameter zu bearbeiten.

Da moderne Computernetzwerke auch sehr komplexe Algorithmen in kurzer Zeit auf eine sehr hohe Menge an sowohl strukturierter als auch unstrukturierter Daten anwenden können, übersteigen ihre Fähigkeiten Daten zu analysieren, die des Menschen um ein Vielfaches. Fortschrittliche Algorithmen können aus der Analyse großer Datenmengen in gewissem Maße Erkenntnisse ziehen und diese wiederum in den Algorithmus aufnehmen. Das macht sie noch nicht intelligent, aber dafür gewissermaßen lernend, was ihnen ihren Namen einbrachte.

Maschinelles Lernen in der IT-Security
Maschinelles Lernen findet heute in sehr vielen Bereichen Anwendung, insbesondere dort, wo große Datenmengen analysiert werden müssen - zum Beispiel in der IT-Security. Endpoint Security Hersteller haben schon vor rund zehn Jahren begonnen, ihre Lösungen mit Maschinellem Lernen zu verbessern. So aufgebohrt, wurde die Wirksamkeit verschiedener Sicherheitsmechanismen wie Anti-Malware, Anti-Spam, Anti-Fraud und Anti-Phishing enorm erhöht. Maschinelles Lernen verarbeitet die Daten von Millionen von Endgeräten, findet hier Korrelationen und erkennt selbständig neue Angriffsmuster.

So konnte die Erkennung von Malware in den letzten Jahren größtenteils automatisiert, beschleunigt und verbessert werden. Durch maschinelles Lernen erkennen einige Lösungen sogar komplett unbekannte Stämme von Malware und wehren sie ab.

Kleiner Platzbedarf, große Vorteile – Algorithmen sind praktische Helfer
Früher erkannten Sicherheitslösungen Malware anhand von Signaturen oder Hashes. Einer der großen Vorteile Algorithmen zu nutzen und nicht mehr die alten Signatur-Bibliotheken ist ihre geringe Größe. Ein Algorithmus ist in der Regel kleiner als 1 Kilobyte und beschreibt im Prinzip nur Merkmale, die häufig bei bösartigen Dateien festgestellt werden. Ein einziger Algorithmus kann eine sehr große Anzahl unbekannter Dateien bearbeiten und feststellen, welche davon bösartig oder sicher sind. Lange Listen von Hashes und Signaturen ständig zu aktualisieren ist somit unnötig geworden.

Algorithmen können sehr komplex sein. Ihre Entwickler verfeinern und ergänzen sie kontinuierlich über einen langen Zeitraum hinweg. Ein komplettes Modell besteht oft nicht nur aus einem Algorithmus, sondern kombiniert idealerweise verschiedene Arten von Algorithmen, da einige Algorithmen je nach Verwendungszweck bessere Ergebnisse liefern als andere. Beispiele für verschiedene Algorithmen sind: Perzeptrons, binäre Entscheidungsbäume, eingeschränkte Boltzmann-Maschinen, genetische Algorithmen, Support-Vektor-Maschinen und künstliche neuronale Netze. Moderne Sicherheitslösungen in der IT setzen diese Algorithmen sowohl einzeln als auch kombiniert ein, um bestimmte Arten von Malware oder Malware-Familien schneller und genauer zu identifizieren.

So werden Algorithmen für moderne Lösungen in der IT-Security entwickelt
Um Algorithmen des Maschinellen Lernens so zu programmieren, dass sie beispielsweise gut und böse voneinander unterscheiden können, muss man zuerst einmal alles Mögliche über Gut und Böse lernen. Hierfür werden sehr große Datensätze benötigt, die idealerweise alle möglichen Attribute abdecken, an denen man gutartig von bösartig unterscheiden könnte. Aus den in beide Lager kategorisierten Dateien werden anschließend Schulungssets erstellt, auf deren Basis dann die Modelle entwickelt werden, die zukünftig neue, unbekannte Dateien auf ihre Gut- oder Bösartigkeit untersuchen können.

Das Ziel jedes Algorithmus ist es, eine Erkennungsgenauigkeit von 100 Prozent zu erreichen, um nicht korrekte Fehlerkennungen, sogenannte False Positives, zu vermeiden, die die Produktivität der IT beeinträchtigen. In der Praxis ist eine hundertprozentige Erkennung zwar unrealistisch, mittels der Kombination und ständiger Abstimmung verschiedener Algorithmen ist es je nach Aufgabe des Algorithmus jedoch möglich, sehr nah an 100 Prozent zu gelangen.

Um Malware zu entdecken, untersuchen Modelle Dateien anhand ausgefeilter Techniken und extrahieren bestimmte Merkmale. Dazu nutzen sie sorgsam definierte Entpackungsroutinen oder Emulationen vor der Ausführung oder sie identifizieren den Packer einer Datei, um anhand dessen Reputation Rückschlüsse zu ziehen. Ausgereifte Lösungen können pro Datei auf diese Weise Tausende von Merkmalen untersuchen, um schließlich zu entscheiden, ob eine untersuchte Datei gut oder bösartig ist. Beim Aufspüren von Malware können beispielsweise für das Aufspüren von Phishing spezialisierte Algorithmen zur Identifizierung von betrügerischen Command and Control (C&C)-Domänen genutzt werden.

Der Einsatz im Unternehmensalltag
Gerade große Unternehmen sind einer sehr hohen Anzahl an Bedrohungen ausgesetzt und benötigen daher Lösungen, die idealerweise komplett automatisch arbeiten. Das heißt, dass die Sicherheitslösung alle Fälle untersucht, nach Gut und Böse unterscheidet und die gefährlichen Fälle direkt entschärft, ohne dass manuelles Eingreifen notwendig ist. Bei einem solchen Ansatz erhöht sich leider auch die Anzahl von False Positives, da die Modelle nicht nur bekannte, sondern auch neue Bedrohungen identifizieren wollen.

Genau dies ist bei vielen Sicherheitslösungen, die auf Maschinelles Lernen setzen, eine Herausforderung für die IT-Verantwortlichen. Eine Möglichkeit, die negativen Auswirkungen durch mögliche Fehlalarme zu minimieren, ist das Tuning der Schwellwerte: IT-Administratoren können einstellen, wie aggressiv oder permissiv die Erkennung des maschinellen Lernens sein soll. Aggressive Erkennung bedeutet, dass man im Zweifelsfall lieber eine Datei zu viel blockt, permissive, dass man mehr Wert auf einen effizienten IT-Betrieb legt. Ebenso lässt sich im Idealfall einstellen, was genau mit bestimmten Arten von Vorgängen passieren soll: Zulassen, weiter beobachten oder Alarm schlagen.

Maschinelles Lernen in allen Sicherheitsschichten
Neue, immer komplexere Bedrohungen, die auf Verschlüsselung, Verschleierung und Polymorphismus beruhen, haben dazu geführt, dass einfache, eindimensionale Erkennungsmethoden bei der Bewältigung der riesigen Anzahl von Bedrohungen wirkungslos geworden sind. Algorithmen und Maschinelles Lernen sind hier kein Allheilmittel, das alle herkömmlichen Sicherheitsschichten ersetzen kann.

Die neuen Technologien schaffen es jedoch die Effektivität jeder einzelnen bestehenden Schicht zu verbessern, insofern diese mit den Algorithmen ausgestattet ist. In der Realität kommt man heute im Bereich IT-Security um Lösungen, die Maschinelles Lernen nutzen nicht mehr herum, will man hohen Erkennungsleistung und starken Schutz vor Angriffen bei niedrigem Verwaltungsaufwand erzielen.
(Bitdefender: ra)

eingetragen: 05.02.19
Newsletterlauf: 08.03.19

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Geschichte und Zukunft der Ransomware

    Aktuelle Ransomware-Angriffe wie das erneute Aufflammen der GandCrab-Welle oder die Attacke auf den deutschen Maschinenbauer Krauss Maffei, durch den zahlreiche Rechner lahmgelegt und die Produktion wochenlang gedrosselt wurde, zeigen, dass das Geschäftsmodell der Datengeiselnahme für Cyberkriminelle leider nichts an Attraktivität eingebüßt hat. Lösegelderpressung durch Ransomware hat von ihren frühesten Anfängen vor 30 Jahren bis heute eine berüchtigte Karriere hingelegt. Durch die enorme Professionalisierung der Vertriebswege, beispielsweise durch Ransomware-as-a-Service (RaaS), wurden Krypto-Trojaner-Attacken auch für technisch wenig versierte Kriminelle zu einer der lohnenswertesten und erfolgreichsten Angriffsarten.

  • Unterschätzte Bedrohung "Datendiebstahl"

    Datendiebstahl zählt zu den größten Bedrohungen in der Cyberwelt. So wurden im Jahr 2017 rund 2,6 Milliarden Daten gestohlen. Das entspricht einer Zunahme von 88 Prozent im Vergleich zum Vorjahr (1). Trotzdem wird diese Gefahr häufig noch immer unterschätzt. Denn gerade durch das Aufkommen des Internet of Things (IoT) sowie des Industrial Internet of Things (IIoT) können die Folgen solcher ungewollten Datenabflüsse weitaus größere Ausmaße haben als "nur" den reinen Verlust von wichtigen Daten. Dabei haben es die Hacker auf den ersten Blick auf vermeintlich uninteressante Unternehmens- und Mitarbeiterdaten abgesehen.

  • Wer muss die Sicherheitsstrategie mittragen?

    Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind. Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?

  • Biometrie hat viele Gesichter

    Laut National Academies Press versteht man unter Biometrie "die automatisierte Erkennung von Individuen anhand von Verhaltensmerkmalen und biologischen Eigenschaften". Diese Merkmale werden zunehmend genutzt, um eine wachsende Zahl digitaler Systeme und Objekte wie Anwendungen, Datenquellen, Mobiltelefone, PCs und Gebäude zu sichern sowie den Zugang oder Zugriff zu ermöglichen. Hier ersetzen biometrische Merkmale vermehrt Passwörter und Codes, die wesentlich einfacher zu knacken sind. Passwörter haben fundamentale Schwächen. Sie können kompromittiert oder gestohlen, oder in einigen Fällen sogar einfach erraten werden - und so die digitale Identität einer Person gefährden. Biometrische Technologien sind an dieser Stelle wesentlich sicherer, weil sie sich auf einzigartige Erscheinungsmerkmale oder Verhaltensweisen einer Person stützen, bevor diese auf Geräte, Datenbanken oder Systeme zugreifen darf.

  • Fragmentierung macht Compliance-Nachweis schwierig

    Die Verschlüsselung von Daten ist rund um den Globus zu einem zentralen Bestandteil der IT-Sicherheitsstrategie von Unternehmen geworden. Das hat unterschiedliche Gründe. Öffentlich bekannt gewordene Fälle von Datenschutzverletzungen und Datendiebstahl haben Unternehmenslenker für die Folgewirkungen sensibilisiert. Neben rechtlichen Konsequenzen können Datenschutzverletzungen und Datenverluste auch negative Folgen für den Ruf des Unternehmens haben. Und auch Compliance-Anforderungen, wie sie etwa der PCI DSS an Unternehmen stellt, die Kreditkartentransaktionen nutzen, sind ein entscheidender Motivationsfaktor für den Einsatz von Verschlüsselungstechnologie. Moderne Datenverschlüsselung steht auf fünf Säulen: Sie ist universell, hoch automatisiert, sie nutzt moderne Authentifizierungsmechanismen, sie setzt auf Verschlüsselungstechnologien auf Hardwareebene und sie ist transparent und zentral verwaltet. Die Säulen im Einzelnen.