„Es stimmt, dass traditionelle signaturbasierte Anti-Virenprogramme keinen zuverlässigen Schutz gegen moderne Malware bieten. Die Cyberkriminellen haben mittlerweile dazugelernt und betreiben Qualitätssicherung, indem sie bei der Schadsoftware-Entwicklung überprüfen, ob die bekannten Virenscanner ihre neue Malware erkennen. Sie verändern diese dann so lange, bis kein Virenscanner mehr anschlägt. Dann haben die Kriminellen ein Zeitfenster von ein paar Minuten bis Stunden, in dem sie die Schadsoftware erfolgreich verbreiten können.
Abhilfe sollen sogenannte NextGen Endpoint Security Lösungen mit Machine Learning Technologien schaffen, die Malware nicht mehr aufgrund der Ähnlichkeit mit bekannten Malwaresignaturen erkennt, sondern durch die Analyse der Eigenschaften einer Datei.
Nur – niemand hindert die Cyberkriminellen daran, sich auch Lizenzen der NextGen-Endpoint-Lösungen mit Machine Learning zu kaufen und die Malware solange zu manipulieren, bis die neue Malware auch von diesen Lösungen nicht mehr erkannt wird. Genau das haben beispielsweise die Entwickler von NotPetya gemacht, einer hochentwickelten Schadsoftware, die über den Update-Mechanismus eines ukrainischen Steuerprogramms auf Rechner aller Unternehmen gelangte, die mit der Ukraine Geschäfte machen. Weder die traditionellen Anti-Malware-Lösungen noch Machine Learning basierte Lösungen haben die Schadsoftware initial zuverlässig erkannt.
Fortgeschrittene NextGen-Endpoint Lösungen wie Intercept X von Sophos, die Dateien nicht nur vor der Ausführung untersuchen sondern Software auch während der Ausführung überwachen, haben die bösartigen Absichten von NotPetya über die Verhaltenserkennung identifiziert und aufgehalten – in diesem Fall fiel der Versuch der bösartigen Verschlüsselung der Festplatte auf und wurde von Intercept X verhindert.
DeepLearning ist performanter
Trotzdem kann der Einsatz von Machine Learning – am besten in der sehr schnellen und effektiven Variante Deep Learning – die Sicherheit in Unternehmen verbessern. Ein gutes Deep-Learning-Modell ist sehr viel schneller als ein traditioneller signaturbasierter Anti-Virus, reduziert also die Systembelastung spürbar. Gleichzeitig werden viele auch unbekannte Bedrohungen erkannt. Grundvoraussetzung für eine hohe Erkennungsrate auf der einen Seite und eine niedrige False-Positive-Rate auf der anderen Seite sind neben einem leistungsfähigen KI-Modell (am besten eignen sich in der Praxis Deep Learning Modelle) auch eine große Menge an Trainingsdaten. Sophos trainiert sein Deep Learning Modell mit praktisch allen Exemplaren von Malware sowie auch unbedenklicher Software der letzten 30 Jahre, um False-Positives zu minimieren. Neue Player im NextGen Endpoint Security Markt nutzen teils auch Machine Learning Modelle, haben jedoch wesentlich weniger Trainingsdaten zur Verfügung, was sich negativ auf die False-Positives auswirken kann.
Es gibt auch schlechte KI-Modelle
Ein schlechtes KI-Modell kann man leicht identifizieren, wenn der Hersteller ein Testszenario vorschlägt, bei dem entweder vom Hersteller vorgegebene „Malware-Samples“ genutzt werden sollen oder wenn das Modell erst auf die Kundenumgebung trainiert werden muss. Dies ist ein Indiz für ein nicht allgemein einsatzbares KI-Modell, das praktisch erst Ausnahmen (de facto Signaturen) für eine spezielle Kundenumgebung generieren muss – was den Ansatz einer signaturlosen Technik ad absurdum führt. Zudem gibt es KI-Modelle, die schlecht skalieren und über die Zeit sehr groß und performancehungrig werden, sodass sie auf eine eigene Scan-Umgebung in der Cloud oder eine Scan-Appliance ausgelagert werden müssen.
Ein gutes KI-Modell zeichnet sich dadurch aus, dass es kompakt, schnell und universell nutzbar ist, also beim Kunden sofort und ohne spezifisches Training eingesetzt werden kann.
KI als Baustein in modernen mehrschichtigen Sicherheitssystemen
Wichtig ist jedoch, dass die Untersuchung bestimmter Dateitypen vor der Ausführung – ob mit oder ohne Methoden der Künstlichen Intelligenz – nur ein Baustein in einer mehrschichtigen Endpoint-Security ist. Nur etwa die Hälfte aller Schadsoftware kommt heute als ausführbare Datei ins Unternehmen (und kann somit mit Methoden der Künstlichen Intelligenz untersucht werden), die andere Hälfte der Bedrohungen kommt heute in Form von Dokumenten- und Medien-Malware sowie komplett dateilos durch infizierte Webseiten oder per Exploit.
Deshalb ist es wichtig, dass man mehrere Schichten der Security implementiert:
1. Schicht – Kontrolle der Einfallswege von Malware: dazu zählt Webfilterung, Device Control, Applikationskontrolle und Desktop/Gateway Firewall mit Netzwerk Intrusion Prevention.
2. Schicht – Untersuchung vor der Ausführung: hier werden Dateien mit Signaturen, Machine Learning oder Heuristiken untersucht.
3. Schicht – Verhaltenserkennung: Hier wird bösartiges Verhalten erkannt wie z.B. Ransomware/Verschlüsselungserkennung, Exploit Prevention, Schutz vor Hacker-technologien wie Schutz vor Passwortdiebstahl.
4. Schicht – Automatische Reaktion: Neben der traditionellen Quarantäne und Bereinigung von Bedrohungen zählt hierzu heute auch die automatische Wiederherstellung von durch Ransomware verschlüsselten Dateien sowie die Kommunikation mit anderen Komponenten zur automatischen Eindämmung von Bedrohungen.
5. Schicht – Analyse: Durch eine nachgelagerte Ursachenanalyse kann identifiziert werden, wie der Schädling eingedrungen ist, wie/ob/wohin er sich ausgebreitet hat und welche Unternehmensressourcen eventuell noch betroffen sind und bereinigt werden müssen.
Angreifer werden es immer schaffen, einzelne Mechanismen zu überwinden, dieser Aufwand steigt jedoch exponentiell bei mehreren Schutzschichten. Deshalb sind ein Mehrschichtenansatz bei der IT-Security sowie die Kommunikation von Sicherheitskomponenten mit der Möglichkeit der automatischen Reaktion auf Bedrohungen (indem beispielsweise die Firewall oder der WLAN-Accesspoint einen infizierten Endpoint automatisch im Netzwerk isoliert) der Schlüssel zu einer modernen und wirkungsvollen IT-Sicherheit.“
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com