Malware-Erkennung: KI fällt Entscheidungen innerhalb von Millisekunden

KI gut geeignet, Entscheidungen auf Basis einer Bandbreite an Daten in nativer Form zu treffen

[datensicherheit.de, 10.08.2022] Nach dem Motto „Wenn es sich anfühlt, wie Phishing und es aussieht wie Phishing, muss es Phishing sein“ erörtert Marc Lueck, „CISO EMEA“ bei Zscaler, in seiner aktuellen Stellungnahme den KI-Einsatz für die Cybersecurity:

Foto: Zscaler

Marc Lueck: Skalierbarkeit entscheidet über den Erfolg…

KI setzt auf Anwendung menschlicher, logischer Entscheidungsprozesses zur Aufspürung von Malware

Im Englischen gebe es ein Sprichwort, welches die moderne Vorgehensweise der Malware-Erkennung auf den Punkt bringt: „If it smells like a fish, looks like a fish and acts like a fish, then it is probably a fish“ (wenn etwas riecht, wie ein Fisch und es aussieht wie ein Fisch und sich so verhält, ist es wahrscheinlich auch ein Fisch). Lueck erläutert: „Dieses Prinzip ist die Grundlage für die meisten modernen Mechanismen zur Erkennung von Cyber-Angriffen, auf das auch Künstliche Intelligenz (KI) setzt. Denn diese Aussage gilt nicht nur für Fisch, sondern ebenso für Phishing und Malware im Allgemeinen.“ Allerdings gebe es einen wichtigen Unterschied im Fischfang mit der Angelrute oder mit einem engmaschigen Netz, wie mit KI. „Die Skalierbarkeit entscheidet über den Erfolg des Fangs.“

KI setze dabei auf die Anwendung eines menschlichen, logischen Entscheidungsprozesses, um Malware aufzuspüren. Der gravierende Unterschied liege allerdings in der Geschwindigkeit und der Menge der Verarbeitung von Informationen. „Ein Mensch, dem all die Informationen eines KI-Systems zur Verfügung stehen, kann ziemlich einfach eine Entscheidung hinsichtlich potenzieller Malware innerhalb eines bestimmten Zeitrahmens treffen. Für dieses Zeitfenster sind allerdings Minuten oder gar Stunden anzusetzen. Allerdings stehen diese Informationen meist nicht in einer Form zur Verfügung, die für den Menschen konsumierbar ist, zumindest nicht ohne weitere Aufbereitung“, so Lueck.

Im Gegensatz dazu sei KI richtig gut darin, Entscheidungen auf Basis einer Bandbreite an Daten in ihrer nativen Form zu treffen, welche ein Mensch nicht in der nötigen Geschwindigkeit erkennen könne. Die KI fälle diese Entscheidungen innerhalb von Millisekunden. Dementsprechend spiele heute die KI in der Malware-Erkennung eine wichtige Rolle, menschenähnliche Entscheidungen zu fällen und der Software darauf aufbauend Festlegungen für Handlungsanweisungen zu programmieren. „Dazu zählt auch die Fähigkeit anhand davon, wie etwas aussieht oder sich anfühlt zu erkennen, ob es sich um Malware handelt.“

KI: Erfolgsfaktor Geschwindigkeit

Einige der erfolgreichen Cyber-Kriminellen setzten auf KI und Maschinelles Lernen, „um ihre Tools so zu trainieren, dass sie Opfer noch erfolgreicher durch automatisierte Angriffe oder ,Social Engineering‘ manipulieren und im Anschluss schneller – ohne langsame menschliche Interaktion – kompromittieren können“. Um den Kampf mit einer Maschine aufzunehmen, sei eine Maschine erforderlich.

Lueck rät daher: „Deshalb tun Unternehmen gut daran, zur Erkennung und Abwehr von kriminellen Machenschaften mit der gleichen Intelligenz und Geschwindigkeit aufzuwarten. Es gilt dabei, ein System in die Lage zu versetzen, semi-menschliche Entscheidungen auf der Grundlage einer Vielzahl von Datenpunkten zu treffen.“ In der Korrelationsfähigkeit könne KI tatsächlich ihre Intelligenz ausspielen und zur schnelleren Erkennung von Malware beitragen.

In der Realität warte eine global operierende „Cloud“-Sicherheitsplattform mit der nötigen Skalierbarkeit und Rechenleistung auf, um Entscheidungen nahezu in Echtzeit und damit mit der gefragten Effizienz zu treffen. Ein solcher „Cloud“-Ansatz könne darüber hinaus auf einen großen Daten-Pool zum Training der KI zugreifen, um den „Fisch-Test“ durchzuführen. „Es geht dabei nicht darum, dem System unnötige Komplexität beizubringen, sondern die entscheidenden (virtuellen) Merkmale – Aussehen und Geruch – zu vermitteln. Damit können weitere Kontext-Faktoren, wie beispielsweise Standort, abweichende Verhaltensmuster, Zeitfaktor eines Zugriffs auf Daten und Abgleich neu registrierter Domains angereichert werden.“

KI kann schon heute ihre Stärken ausspielen

Durch die Leistungsfähigkeit eines „Cloud“-Ansatzes und deren Fähigkeit zur Inline-Untersuchung der Datenströme könne Risikotransparenz fast in Echtzeit zur Verfügung gestellt werden. „Noch bevor die Daten beim Mitarbeitenden ankommen, wird automatisch die Entscheidung gefällt, ob sich Malware darin verbirgt.“ Durch den Inline-Scan ließen sich Reaktionszeiten für die Entscheidung hinsichtlich des Passierens von Datenströmen zum Nutzer verkürzen und potenzielle Malware blockieren, während echte Inhalte passieren dürften.

Das Training von KI-Modellen auf die entscheidenden Parameter zur Erkennung von Malware ersetze den manuellen Drill der permanenten Verfolgung von „Security Alerts“ durch das IT-Team und die „False/Positive“-Rate lasse sich deutlich reduzieren.

„Die Magie liegt darin, die KI so zu beeinflussen, dass sie ihre Fähigkeiten zur Malware-Erkennung aufbauend auf umfangreichen Datensätzen tatsächlich ausspielen kann“, betont Lueck abschließend und empfiehlt Unternehmen dementsprechend, damit aufzuhören kompliziert zu denken. „Künstliche Intelligenz kann schon heute ihre Stärken ausspielen, indem sie das, was wie Malware aussieht, tatsächlich auch als Malware behandelt.“

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2019
Cyber-Abwehr: Erfolgsfaktor Künstliche Intelligenz / Rund die Hälfte der Unternehmen mit dem Erkennen und Verhindern von Cyber-Angriffen überfordert

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk / Durch die dynamische Analyse des Verhaltens der Nutzer können Bedrohungen besser und schneller erkannt werden