Künstliche Intelligenz als Allheilsbringer in der IT-Sicherheit steht derzeit kaum wie ein anderes Thema in der Diskussion. Beinahe jede IT-Sicherheitslösung schmückt sich mit den Allüren einer intelligenten Innovation. Die zugrunde liegenden Methoden der Künstlichen Intelligenz sollen die Erkennung bisher unbekannter Bedrohungen drastisch verbessern. Manch ein Hersteller prophezeit gar das Ende von Sicherheitslücken.

Sicher ist es so, dass traditionelle signaturbasierte Virenerkennung nicht der ebenbürtige Kontrahent übermächtig komplexer Angriffsszenarien ist. Cyberkriminelle lernen ständig dazu und entwickeln erstaunlich gute Schadsoftware, die Virenscanner alt aussehen lassen. Programme, die sich selbst verbreiten, ihren Code autark ändern ohne dass ein Virenscanner anschlägt. Ein mögliches Szenario, das Kriminellen immer wieder Zeit verschafft um die Schadsoftware zu verbreiten und ihre Ziele zu verfolgen.

Helfen sollen Endpoint Security Lösungen mit Machine Learning Technologie. Sie erkennen Malware nicht mehr anhand der bekannten Malwaresignaturen, sondern analysieren die Eigenschaften einer Datei und ihr Verhalten. Allerdings sind Cyberkriminelle auch hier findig und überlisten Endpoint-Lösungen mit Machine Learning, indem sie die Malware solange anpassen, bis sie auch von diesen „intelligenten“ Lösungen nicht mehr erkannt werden. Das haben beispielsweise die Entwickler von NotPetya geschafft. Eine Schadsoftware, die sich über den Update-Mechanismus eines ukrainischen Steuerprogramms auf Rechner verbreitete und so in Unternehmen gelang. Weder traditionelle Anti-Malware-Lösungen noch Machine Learning Lösungen haben die Schadsoftware einhundert Prozent zuverlässig erkannt.

Nichtsdestotrotz ist Machine Learning die derzeit effektivste Möglichkeit die IT-Sicherheit in Unternehmen zu verbessern. Gute Deep-Learning-Modelle sind um ein Vielfaches schneller als konventionelle Anti-Virus Ansätze. Sie reduzieren die Systembelastung und erhöhen dadurch die Performance spürbar. Gepaart mit der höheren Erkennungsrate und niedrigeren False-Positive-Raten, machen KI-Modelle zum unersetzlichen Baustein einer zeitgerechten IT-Sicherheitsstrategie für Endpunkte.

Eine gute IT-Sicherheit beruht immer auf mehrschichtigen Ansätzen, die vom Entry Point bis zum Endpoint reichen. Etwa die Hälfte der Schadsoftware verbirgt sich aktuell in ausführbaren Dateien. Die zweite Hälfte des Schadenspotenzials kommt in Form von Dokumenten-Malware oder komplett dateilos über Exploits und infizierte Webseiten. Daher kommen wir auf das mehrschichtige Modell zurück – das kann zum Beispiel so aufgebaut sein:

Schicht 1: Kontrolle von Entry Points mit Port- und Device Control, Webfilter, Applikationskontrolle, Firewall Intrusion Prevention.
Schicht 2: Prüfung vor der Ausführung von Dateien anhand Signaturen, Machine Learning oder Heuristik.
Schicht 3: Erkennung des Verhaltens bösartiger Ransomware und Schutz vor Hackern sowie Schutz vor Datendiebstahl.
Schicht 4: Vollkommen automatische Reaktion mit Blockierung, Isolation und Bereinigung von Bedrohungen.
Schicht 5: Forensische Analyse und Darstellung der Ursachen um Infizierung und Eindringversuche sowie deren Ausbreitung zu verstehen.

Nutzen Sie bereits einen mehrschichtigen Ansatz um Angreifer abzuwehren?