Verhaltensbasierte KI – Automatische Sicherheit trotz(t) Diversität

Seit Jahren wächst die Zahl der Cyberangriffe auf die IT-Systeme von Unternehmen. Um die stetig expandierende Bedrohungslandschaft in den Griff zu bekommen, setzen IT-Sicherheitsteams zunehmend auf automatisierte, über eine KI operierende Tools und Plattformen – lange Zeit mit Erfolg. Dank der immer vielfältigeren Angriffsvektoren haben Lösungen auf Basis traditioneller KI-Verfahren aber mittlerweile die Grenzen ihrer Belastbarkeit erreicht. Zu beschränkt ist die Flexibilität symbolischer KI-Systeme. Einen Ausweg bieten automatische Sicherheitslösungen, die auf verhaltensbasierten KI-Systemen basieren.

Rein manuell ist die Aufgabe, Cyberangriffe erfolgreich zu erkennen, abzuwehren und ihre Einfallsvektoren abzustellen nicht mehr zu bewältigen. Mit jedem Jahr nehmen Quantität und Qualität der Angriffe zu, und es wird für die IT-Sicherheitsteams von Unternehmen schwieriger, das teils hochkomplexe Vorgehen von Angreifern erfolgreich aufzuspüren und auszuhebeln. Laut einer aktuellen Check Point Research-Studie hatten sie im vergangenen Jahr zwischen Oktober und Dezember im Schnitt jeden Tag rund zehn Angriffe zu erkennen, zu identifizieren und abzuwehren – ein Anstieg zu 2020 um sage und schreibe 50 Prozent [1].

Um die Sicherheit ihrer Netzwerke bei dieser hohen Angriffsfrequenz noch effektiv gewährleisten zu können, setzen IT-Sicherheitsteams schon lange auf eine Automatisierung ihrer Arbeitsprozesse. Wertvolle Unterstützung liefern ihnen dabei Tools und Plattformen, die auf der Basis von künstlicher Intelligenz (KI) operieren.

Anzeige

 

Auch deutsche Bedrohungslandschaft in Bewegung. Auch hierzulande hatten IT-Sicherheitsteams 2021 einen überdurchschnittlich starken Anstieg ihrer Arbeitsbelastung zu verkraften. Laut der erwähnten Check-Point-Studie stieg die Zahl der Angriffe auf die deutsche Wirtschaft im vergangenen Jahr um ganze 62 Prozent. Kaum ein Unternehmen blieb verschont. 88 Prozent, so eine aktuelle Bitkom-Umfrage, waren einer oder gleich mehreren Attacken ausgesetzt [2]. Ein Jahr zuvor waren es noch 15 Prozent weniger gewesen.

Doch nicht nur die Quantität der Angriffe, die Angriffsfrequenz, auch die Qualität der Bedrohungslandschaft, die Angriffsdiversität, hat im vergangenen Jahr noch einmal deutlich zugelegt – um 22 Prozent, schenkt man dem BSI-Bericht Die Lage der IT-Sicherheit in Deutschland 2021 Glauben [3]. Über das Jahr verteilt wurden 144 Millionen neue Malware-Versionen entdeckt. Umgerechnet bedeutet dies: eine Zunahme von im Schnitt 394.000 Varianten pro Tag.

Um diese quantitative wie qualitative Flut an Bedrohungen effektiv erkennen und eindämmen zu können, nutzen nicht wenige deutsche IT-Sicherheitsteams KI-basierte Tools und Plattformen oder planen sie in naher Zukunft zu implementieren. Allerdings ist die bloße Nutzung einer vermeintlich »intelligenten« Lösung noch lange kein Erfolgsgarant, denn viele der hier derzeit zum Einsatz kommenden Sicherheitslösungen setzen auf traditionelle KI-Verfahren, auf symbolische KI. Und die stößt bei zunehmender Diversität der Bedrohungslandschaft rasch an ihre Grenzen.

Symbolische KI – zu statisch für die moderne Bedrohungslandschaft. Um künstliches intelligentes Verhalten bezüglich eines Systems zu erzeugen, kombiniert symbolische KI-Informationen auf Basis logischer Regeln. Sie nimmt Daten des Systems als Symbole (Zahlen, Wörter, etc.) auf und kombiniert sie, auf Basis der vorprogrammierten Regeln eines Expertensystems, mit den Daten einer Wissensdatenbank. Die Wissensdatenbank kann dabei mit Signaturen, Machine Learning-Modellen oder auch einer Kombination aus beidem bestückt werden.

IT-Sicherheitslösungen können sich dieses Verfahren zunutze machen. Beispielsweise, um Daten, die in ein Netzwerk eingehen, automatisch auf einen möglichen Malware-Befall hin zu überprüfen. Jedoch hat symbolische KI den Nachteil, dass ihre Architektur für einen Einsatz in der heutigen, modernen Bedrohungslandschaft zu unflexibel geworden ist. Das liegt nicht zuletzt daran, dass Cyberkriminelle ihre Angriffsvektoren ständig erweitern, verbessern und an Sicherheitsarchitekturen anpassen.

Verhaltensbasierte KI-Sicherheitslösungen – ein Ansatz mit Flexibilität. Eine bessere Alternative bietet hier der Einsatz verhaltensbasierter KI-Verfahren. Um künstliches intelligentes Verhalten bezüglich eines Systems herbeizuführen, werden auch hier erhobene Daten des Systems mit einer Wissensdatenbank in Bezug gebracht. Der Unterschied: Anstatt den Zustand einzelner Daten, also etwas Statisches, zu analysieren, wird die Entwicklung und das Verhalten des Gesamtsystems analysiert und ausgewertet. Die Wissensdatenbank wird dazu mit einem stets aktuell gehaltenen Modell des Systems bestückt.

IT-Sicherheitslösungen, die dieses KI-Verfahren nutzen, können so statt nach spezifischer Malware, nach auffälligem Verhalten im System, das auf einen Malware-Befall hindeuten könnte, suchen. Sie machen sich zunutze, dass Angreifer, so gut sie ihre Attacken auch tarnen, so ausgefallen ihre Angriffsvektoren auch sein mögen, auf bestimmte Aktivitäten im Opfersystem beim besten Willen nicht verzichten können. Das KI-Verfahren ist so flexibel gehalten, dass es nicht nur mit der Quantität, sondern auch mit der Qualität der heutigen, modernen Bedrohungslandschaft erfolgreich Schritt halten kann.

Beispiel Endpunktschutz – mit verhaltensbasierter KI zu aktiven XDR-Tools. Ein gutes Einsatzbeispiel für eine verhaltensbasierte KI-Sicherheitslösung liefert der Endpunktschutz eines Netzwerksystems. KI-basierte Threat-Detection-Lösungen gibt es hier schon lange. Bereits auf Endpoint Protection Platforms (EPP) kam symbolische KI zum Einsatz, um unter Zuhilfenahme von Signaturen oder Modellen Angriffe, die über die Endpunkte eines Netzwerks liefen, zu erkennen und abzuwehren. Gegenüber dateibasierter Malware waren diese Lösungen auch erfolgreich. Dateiloser Malware, lateralen Bewegungen der Angreifer oder auch Zero-Day-Angriffen standen sie aber weitgehend hilflos gegenüber. 

Die Entwicklung von EPP- hin zu EDR-Lösungen (Endpoint Detection and Response) schuf hier Abhilfe. Nicht zuletzt, da diese erstmals mit verhaltensbasierter KI operierten. EDR-Tools zeichnen das Verhalten aller Endpunkte eines Netzwerks auf und analysieren die diesbezüglichen Daten. Im Fall einer Anomalie erhält die IT-Sicherheitsabteilung eine Alarmmeldung samt zugehöriger Datenpakete, um Rückschlüsse ziehen und die erforderlichen Entscheidungen treffen zu können. Jedoch hat dieser Ansatz zwei Schwachstellen: Zum einen sind die gelieferten Datenpakete zu umfangreich und werden ohne Kontext geliefert, was bei jedem Alarm eine langwierige Analyse durch hochspezialisierte Experten erforderlich macht. Zum anderen ist das Verfahren sehr anfällig für False Positives. In der Flut aus Anomalie-Meldungen können IT-Sicherheitsteams leicht den Überblick verlieren.

Mittlerweile konnten beide Schwachstellen aber behoben werden: mit der Weiterentwicklung von EDR zu XDR (Extended Detection and Response). Auch hier kommt verhaltensbasierte KI zum Einsatz – jedoch per Agenten direkt an den Endpunkten und darüber hinaus auch auf allen anderen Ebenen des Netzwerks, wie Servern, Cloud-Workloads und IoT-Geräten. Diese Agenten überwachen alle Entwicklungen und kontextualisieren sie automatisch und in Echtzeit in Form von Storylines. Letztere geben IT-Teams einen leicht verständlichen Ein- und Überblick über jede entdeckte Anomalie in ihrem Netzwerk. Und nicht nur das: Auf Basis der Storylines kann XDR auch prognostizieren, welche Entwicklung ein Netzwerk beim derzeitigen Stand der Lage aller Wahrscheinlichkeit nach einschlagen wird – eine gutartige oder eine bösartige. Die False-Positive-Rate der Alarmmeldungen kann so spürbar reduziert werden. 

Fazit. Der Begriff KI fällt in der IT und speziell in der Cybersicherheit immer wieder, jedoch ist KI nicht gleich KI – es kommt auf die zugrunde liegende Technologie und deren Umsetzung an. Das Beispiel XDR zeigt: Lassen sich IT-Sicherheitsteams von automatischen Sicherheitslösungen, die mit verhaltensbasierter KI operieren, unterstützen, kann ihnen neben der Quantität auch die Qualität moderner Bedrohungslandschaften nur noch wenig anhaben.

 


Matthias Canisius,
Regional Director Central Europe
bei SentinelOne

 

[1] https://blog.checkpoint.com/2022/01/10/
check-point-research-cyber-attacks-increased-50-year-over-year/
[2] https://www.bitkom.org/Presse/Presseinformation/
Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr
 
[3] https://www.bsi.bund.de/SharedDocs/
Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf

 

Illustration: © TeddyandMia/shutterstock.com