In diesem Tech-Blog zeigen wir ausgewählte Anwendungsfälle der künstlichen Intelligenz (KI) in der Cybersecurity. Bevor wir beginnen, möchten wir jedoch einige Voraussetzungen und Auswirkungen auf Sicherheitsarchitekturen erwähnen:

In unserem Tech-Blog „Künstliche Intelligenz, Machine Learning und Deep Learning in der Cybersecurity“ haben wir die Grundlagen des Machine Learnings (ML) beschrieben. Daher wissen wir, dass dieser Ansatz die Bereitstellung einer großen Datenmenge erfordert, um AI-basierte Cybersecurity-Analyselösungen überhaupt erst nutzen zu können. Vergleicht man die alten und zukünftigen Sicherheitsmodelle und -architekturen, zeigt dies, dass wir die Menge der vorhandenen (Meta-)Daten erhöhen müssen, die in eine KI-basierte Engine eingespeist werden können. Daher müssen einfache Firewall- und Netzwerk-Log-Daten erweitert und mit zusätzlichen internen und externen Informationen angereichert werden.

Aus Sicht des Netzwerks benötigen wir Sensoren, die Metadaten aus den Rohdaten auf Anwendungsebene extrahieren. Diese Sensoren müssen aus Cybersecurity-Sicht nicht auf Signaturen oder eine bestimmte Erkennungsmethode beschränkt oder zugeschnitten sein. Die KI-Engine selbst erfordert hierbei eine flexible Schnittstelle für den Import von Daten, die nicht auf bestimmte Protokolle beschränkt ist und gängige Formate – wie beispielsweise syslog – unterstützt. Eine derartig flexible Schnittstelle bietet die Möglichkeit weitere beliebige Datenquellen hinzuzufügen.

Zweitens müssen wir eine gemeinsame und integrierte Sicherheitsarchitektur mit verbundenen Netzwerk-, Client-, Server- und Cloud-Umgebungen und Instrumenten aufbauen. Diese neue Sicherheitsarchitektur ist erforderlich, um KI zu nutzen und die Erkennungs- und Reaktionsprozesse auf Bedrohungen automatisieren zu können.

Kommen wir nun zu den ausgewählten Anwendungsfällen von KI in der Cybersecurity:

 

Machine Learning mit Supervised Learning

Malware

Ein bekanntes Beispiel für den Einsatz von ML mit Supervised Learning – das bedeutet, dass wir die KI-Engine mit vordefinierten, gekennzeichneten Daten trainieren müssen – ist eine Sandbox-Lösung, um Malware oder schädliche Domains zu identifizieren. Der Algorithmus berechnet für jedes Merkmal gutartiger und bösartiger Dokumente oder Domains eine Wichtigkeit (in der folgenden Tabelle als Prozentwert dargestellt).

 

Merkmal Gutartiges Dokument Bösartiges Dokument
Dokumentname 0,9% 84,4%
Kein Titel 6,6% 50,2%
Verschleierte Funktionsaufrufe 0,1% 39,6%
Greift auf die Hostdatei zu 21,8% 49,5%
DNS-Auflösung 27,4% 50,4%
Übermäßige “Sleep-Calls” 43,6% 67,1%

 

Nachdem das Modell trainiert wurde, kann es basierend auf einem Prozentwert vorhersagen, ob es sich bei der unbekannten Eingabedatei um Malware handelt oder ob die Datei gutartig ist.

 

Verdächtigen HTTP-Traffic identifizieren

Ein anderes Beispiel ist die Analyse von Merkmalen in HTTP-Headern, um eindeutige Muster zu ermitteln, die normalerweise in normalem Datenverkehr nicht vorhanden sind. Als Voraussetzung dafür müssen Datenwissenschaftler und Sicherheitsexperten ein breites Spektrum an „Command and Control“ analysieren und sich auf Merkmale konzentrieren, die für viele Arten von Malware üblich sind. Diese Informationen werden in den Lernalgorithmus eingespeist und ein Modell generiert. Dieses Modell kann dann vorhersagen, ob eine „Command and Control“ Kommunikation über HTTP stattfindet. Anstatt reaktiv Angreifer abwehren zu wollen erkennt das Modell automatisch die „Command and Control“ Kommunikation ohne die Verwendung von Signaturen auch wenn IP-Adressen oder Domains geändert werden.

 

Machine Learning mit Unsupervised Learning

Ausreißer identifizieren – “Normales” und “Abnormales” Verhalten

Die klassischen Anwendungsfälle von ML mit Unsupervised Learning – das heißt, Sie müssen den Algorithmus nicht direkt mit vordefinierten Daten bedienen – basieren auf dem Prinzip, logische Gruppierungen zu finden, um Ausreißer von lokalen Normen zu identifizieren. Nach einer Baselining Phase können Abweichungen, wie abnormaler Netzwerkverkehr von einem Host, ein Indikator für böswillige Aktivitäten sein. Zweitens könnte die Identifizierung des Zugriffs auf Ressourcen, auf die ein Benutzer oder ein Host normalerweise nicht zugreift, ebenfalls bösartige Aktivitäten zeigen. Ein drittes Beispiel ist das Verhaltensmuster, das für einen Menschen zu regelmäßig ist. Bei der Identifizierung von Ausreißern ist zu beachten, dass sie nicht unbedingt Sicherheitsvorfälle sein müssen. Eine Analyse kann auch zeigen, dass das Baselining angepasst werden muss.

 

Deep Learning

Schädliche Domain-Aktivität

Wie wir bereits wissen, bietet DL hervorragende Möglichkeiten für die Übersetzung von Sprachen. Die meisten fortgeschrittenen Online-Übersetzer verwenden DL. Google Translate ist ein prominentes Beispiel in diesem Bereich. Mit dem Fokus auf schädliche Domainaktivitäten kann DL zur Erkennung maschinell, algorithmisch generierter Domains verwendet werden. Diese bestehen aus zufälligen Zeichen und können von Cyber-Angreifern für eine „Command and Control“ Kommunikation verwendet werden. Sie bieten Angreifern einen intelligenten Ansatz, um die „Command and Control“ Infrastruktur zu verschleiern. Das bedeutet, dass Malware versucht eine Verbindung zur Quelle herzustellen. Mit dem Einsatz von DL wird geprüft und klassifiziert, ob ein bestimmter Domainname von einem Computer generiert wurde oder nicht. DL nutzt hierbei die Fähigkeit, extrem effizient das nächste Zeichen in einer Folge vorhersagen zu können.

 

Erkennung von Bedrohungen im SOC

Der wichtigste Anwendungsfall, von dem erwartet wird, dass er ein grundlegender Ansatz für die Zukunft im Cybersecurity-Bereich ist, ist die Verwendung von DL für die Erkennung von Bedrohungen im Security Operation Center (SOC). Die heutigen SOC Mitarbeiter sind mit der enormen Anzahl von Ereignissen ohne Kontext überfordert. Dieses Problem wird durch den Fachkräftemangel im Sicherheitsmarkt und durch manuelle Prozesse weiter verstärkt. Darüber hinaus müssen Erkennungsmodelle über ein Langzeitgedächtnis verfügen, um den Kontext zusammenhängender Ereignisse über einen längeren Zeitraum zu verstehen, sodass auch Angriffe erkannt werden können, die nur langsam fortschreiten.

DL bietet die Gelegenheit diese Probleme zu lösen und somit den Wert von SOCs zu erhöhen. Mit statistischen Verknüpfungsmethoden kann DL die Beziehung zwischen Ereignissen erkennen und sie den unterschiedlichen Phasen des Kill-Chain-Prozesses zuordnen. So können Ereignisse und Angriffe priorisiert und eine automatische Bedrohungsbewertung vorgenommen werden. Die Verwendung von DL entlastet das SOC Team erheblich, da automatisch die Anzahl relevanter Ereignisse reduziert, Korrelationen erzeugt und den Phasen eines Kill-Chain-Prozesses für eine schnelle Analyse zugeordnet werden.

Eine radikale These ist, dass neue Sicherheitsmodelle, bei denen Metadaten von Netzwerksensoren extrahiert und durch Systemprotokolle und externe Informationen wie IOCs (Threat Intelligence) angereichert werden, ältere Ansätze, die auf DPI basieren, ersetzen werden. Auf dieser Basis können DL-Engines aktiv schädliche Aktivitäten erkennen. Ein Vorteil liegt auch in der effizienten Skalierbarkeit bei hoch performanten Anforderungen, da nur eine geringere Datenmenge (Metadaten) analysiert werden muss. Zudem können Bedrohungen auch in zunehmend verschlüsselter Kommunikation erkannt werden. Generell kann davon ausgegangen werden, dass diese neuen Sicherheitsmodelle kosteneffizienter im Vergleich zur Skalierung von DPI-Lösungen sind.

 


FrauHerr

 

 

Hier finden Sie alle Informationen zum Datenschutz.