Wenn Sie aktuelle InfoSec-Veranstaltungen der Cybersecurity-Industrie besuchen, so wird Ihnen auffallen, dass fast jeder Aus- und Hersteller mit Künstlicher Intelligenz (KI) wirbt. Zudem geben diverse veröffentlichte Artikel zum Thema „KI im Bereich der Cybersecurity“ Aufschluss darüber, dass einige Experten über eine bahnbrechende Idee sprechen während andere den Hype in den Vordergrund stellen.
KI wird also sehr kontrovers diskutiert. Tatsache ist jedoch, dass fast jeder Experte ein hohes Potenzial sieht, mittels KI bestehende Probleme im Bereich Cybersecurity zu lösen. Auf der anderen Seite profitieren aber auch Hacker von der Verwendung dieser neuen Ansätze. Somit stellt sich die Frage, wie bedeutend das Potenzial und die Auswirkungen der neuen Technologie sind. Alles in allem ist es wichtig, künstliche Intelligenz als grundlegende technologische Innovation im Cybersecurity-Umfeld genauer unter die Lupe zu nehmen.
Unsere Tech-Blog-Serie „KI in der Cybersecurity“ ist dazu in drei Teile gegliedert:
In diesem Post werden wir uns auf das aktuelle Sicherheitsmodell konzentrieren und erklären, warum ein neues aus Perspektive a) der Architektur/Automatisierung und b) der bestehenden Erkennungslücken bei Sicherheitsbedrohungen benötigt wird. Vorweggenommen: die Künstliche Intelligenz wird dieses neue Sicherheitsmodell grundlegend ermöglichen. Im zweiten Blog werden wir den theoretischen Hintergrund der KI in Cybersecurity erläutern, um Hintergrundwissen zu schaffen, das hilft, aktuelle KI-Anwendungsfälle im Bereich der Cybersecurity zu verstehen, die der dritte Blogteil vorstellen wird.
Technologieeinschränkungen beseitigen und Prozesse automatisieren
Wenn Sie die Sicherheitsarchitektur einiger Unternehmen analysieren, sehen Sie, dass die meisten viel investiert haben, um ihre Sicherheitsarchitektur und das Security Operation Center (SOC) zu optimieren. Gleichzeitig haben Sie aber immer noch damit zu kämpfen, wichtige Geschäftsdaten zu schützen. Diese Probleme resultieren daraus, dass interne Prozesse und Sicherheitsteams mit Technologieeinschränkungen konfrontiert sind, welche durch die Komplexität des Hackers zusätzlich verstärkt werden.
Damit SOC-Teams anspruchsvollen Hackern einen Schritt voraus sein können, müssen Technologierestriktionen beseitigt und Prozesse automatisiert werden. Parallellaufende Tools müssen in eine gemeinsame Sicherheitsarchitektur integriert werden, sodass mittels der vielen Vorteile, welche die KI mit sich bringt (z.B. Leistung, Genauigkeit, Handhabung einer großen Anzahl von Data-Sets usw.), automatisierte und intelligente Ermittlungs- und Reaktionsprozesse ermöglicht werden.
Erkennungslücke – begrenzter Erfolg durch Verwendung von Signaturen und Verhaltensanalyse mit Heuristiken
Eine weitere Anwendung – und ein Grund für die Einführung von KI – betrifft die Erkennungsfähigkeit von Sicherheitslücken. Denn nicht nur die Menge neuer unbekannter Malware pro Tag nimmt drastisch zu, sondern auch die Malware-Akteure insgesamt und der Darknet-Markt. Damit haben wir die Grenzen der heutigen Signaturen und der Verhaltensanalyse mit Heuristiken erreicht.
Signaturen repräsentieren den Fingerabdruck des Malware-Codes und helfen diese zu erkennen und zu identifizieren. Ein Schwachpunkt dieses Ansatzes besteht darin, dass es auf Vorwissen angewiesen ist, um vorherzusagen, ob schädliche Daten vorhanden sind. Das bedeutet, dass einfache Änderungen der Charakteristik der Malware – wie beispielsweise Struktur und Inhalt einer Datei – Signaturen oft umgehen, selbst wenn Sicherheitssysteme Varianten der gleichen Datei erkennen. Einige Experten sagen, dass Anti-Virus-Signaturen heutzutage nicht mehr als 30-40% der Malware erfassen; andere wiederum prognostizieren, dass bis zu 65% der Schad-Software erkannt wird.
Ein weiterer Ansatz zum Erkennen und Identifizieren von Malware ist die Verwendung von Verhaltensanalysen mit Heuristiken. Die Implementierung dieses Ansatzes erfordert, dass sowohl die Angriffsmethoden als auch der Malware-Code und die Funktionen bekannt und vordefiniert sind. Dadurch ist die Effektivität dieser reaktiven Ansätze relativ gering in Bezug auf Erkennungsgenauigkeit und Anzahl der falsch-positiven Ergebnisse. Zudem wird die Datenkommunikation immer mehr verschlüsselt, was die Erkennung moderner Bedrohungen über Deep Packet Inspection (DPI) Ansätze schwieriger und kostenintensiver macht. Hauptnachteile von DPI sind die reaktive Natur und die Notwendigkeit, jeden Header eines Datenpaketes und jede Nutzlast zu analysieren, wodurch viele Ressourcen erfordert werden. Somit ist dieser Ansatz ineffizient und äußerst kostspielig.
Fazit: Grundsätzlich wird ein neues Sicherheitsmodell benötigt; KI-basierende Technologien bieten vielversprechende Ansätze zur Automatisierung von Prozessen und Schließung vorhandener Erkennungslücken. Einen theoretischen Einblick in diese geben wir im nächsten Tech-Blog zum Thema „Künstliche Intelligenz, Machine Learning und Deep Learning in der Cybersecurity?„.
Teilen Sie Ihre Meinung mit uns!
Ihre Perspektive zählt! Hinterlassen Sie einen Kommentar zu unserem Blogartikel und lassen Sie uns wissen, was Sie denken.