Start

KI schützt vor Schadsoftware

KI schützt vor Schadsoftware

Für eilige Leser

  • Maschinelles Lernen spürt im modernen Endgeräteschutz verdächte Verhaltensmuster auf, die auf einen Missbrauch oder eine Schadsoftware hindeuten.
  • Dieser dynamische Schutz vor neuartigen Gefahren ergänzt den statischen Schutz, welcher Schadsoftware anhand ihrer bekannter Fingerabdrücken (Signatur) identifiziert.
  • Maschinelles Lernen wird zudem genutzt, um das Nutzerverhalten fortwährend zu beobachten und darauf basierende Attacken zu identifizieren sowie anschließend deren Ursache sowie Auswirkungen zu beheben.
  • Wirksamer Endgeräteschutz verlangt nach einer sich selbst anpassenden Software, die neuartige Bedrohungen zuverlässig identifiziert und entsprechende Maßnahmen veranlasst.

Tipp zum Ausprobieren

Wer eine großartige Einführung in das Thema Sprachmodelle (LLM) erhalten will, welche u.a. bei der Analyse von Schadsoftware in PowerShell Skripten zum Einsatz kommen, sollte sich folgendes einstündige Video von Andrej Karpathy ansehen. Darin wird annähernd jeder Aspekt von Generativer AI und LLM behandelt und anhand konkreter Beispiele verdeutlicht. Auch das Thema Sicherheit kommt nicht zu kurz. Ein „Must-Read“ für jeden technik-affinen AI-Enthusiasten.

Die Dynamik von ML

Klassische Virenscanner und Schadsoftware Erkennungsprogramme arbeiten mit sogenannten Signaturerkennungen: Der Virenscanner versucht, bekannte Abfolgen von Bytes einem Virus zuzuordnen, um diese infizierte Datei anschließend zu isolieren.

Das hat jedoch den Nachteil, dass der Schädling dem Scanner bekannt sein muss. Zudem können findige Schadsoftware-Entwickler die Signatur immer wieder leicht abändern, sodass der Scanner nicht greift – ein Katz- und Mausspiel.

Moderner Endgeräte Schutz setzt daher auf KI-Mechanismen, genauer gesagt maschinelles Lernen, bei dem die Schutzsoftware alle Programmvorgänge beobachtet und daraus selbsttätig Muster ableitet, um Anomalien zu erkennen. Solche Anomalien können verdächtige WLAN-Einwahlpunkte sein, neue Benutzer-Accounts mit hohen Berechtigungsstufen, Versuche der Herabsetzung von Sicherheitsniveaus auf dem PC, der Datenweitergabeversuch an bösartige IP-Adressen oder verdächtige Muster im Netzwerk-Verkehr.

„Behavioural ML“ – auch UEBA genannt für user and entity behavior analytics – geht in dieselbe Richtung, in dem es auf das Benutzerverhalten vermehrt Augenmerk richtet, z.B.: Versucht ein Benutzer plötzlich Dateien zu öffnen, auf die er keinen Zugriff hat.

Wird so ein verdächtiges Verhalten erkannt, löst die Schutzsoftware einen Alarm aus.

Die schützende Hand

Tritt ein Bedrohungsfall oder gar ein Angriff ein, so kommt ebenfalls maschinelles Lernen zum Einsatz. Beispielsweise versucht die führende Endgeräteschutzsoftware CrowdStrike nicht nur Schadsoftware frühzeitig zu erkennen, sondern auch deren Ursache zu identifizieren sowie Vorschläge für deren Beseitigung zu unterbreiten.

Zudem werden AI-Algorithmen eingesetzt, um veränderte Signaturen von Schadsoftware aufzuspüren, die sonst unbemerkt bleiben würden. Auch Schadsoftware, die keine Signatur hat, wird aufgrund ihres auffälligen Verhaltens detektiert – z.B. wenn sie Sicherheitsmechanismen versucht zu umgehen.

Um nicht das Rad von Neuem zu erfinden, greift CrowdStrike auf eine Vielzahl von Quellen zurück, welche kombiniert werden, um die eigenen ML-Modelle weiter zu trainieren und zu verfeinern. Denn wirksamer Schutz vor Schadsoftware ist ein kontinuierlicher Kampf gegen das „Böse“. Ein Stillstand führt regelmäßig zu einem Problem und dem Unterliegen in diesem „Kampf“.

Beispiel: Zero-day Exploit

Wir wollen die Arbeitsweise von KI bei CrowdStrike anhand eines Beispiels verdeutlichen. Dazu haben wir die gefürchteten Zero-day Exploits gewählt. Für diese Schädlinge gibt es kein Hilfsmittel, selbst wenn man sie entdeckt hat. Nur die restlose Beseitigung der Schwachstelle, kann das Problem lösen. Wir haben dazu bereits näher berichtet. Wie geht CrowdStrike damit um?

  1. Ein Malware-Autor erstellt eine neue Malware und modifiziert sie, um die signaturbasierte Erkennung zu umgehen. Der Malware-Autor veröffentlicht die Malware dann im Internet, wo seine Opfer auf sie stoßen.
  2. Signaturbasierte Malware-Scanner sind nicht in der Lage, die neue Malware zu erkennen, da sie die Signatur der Malware nicht in ihrer Datenbank haben. Die ML-Modelle von CrowdStrike sind jedoch in der Lage sein, die neue Malware zu erkennen, da sie auf einem riesigen Datensatz bekannter Malware-Signaturen trainiert wurden, einschließlich Signaturen, die modifiziert wurden, um die herkömmliche signaturbasierte Erkennung zu umgehen. Sie haben gleichsam das Verhalten von Malware-Programmieren erlernt, Signaturen zu verschleiern, und nutzen das zur Identifikation.
  3. Darüber hinaus ist die Verhaltensanalyse von CrowdStrike in der Lage, die neue Malware zu erkennen, da sie deren verdächtiges Verhalten auszeigt, z. B. den Versuch, auf sensible Daten zuzugreifen oder Sicherheitskontrollen zu deaktivieren.
  4. Schließlich können die Bedrohungsdaten von CrowdStrike die neue Malware erkennen, weil CrowdStrike Bedrohungsdaten aus einer Vielzahl von Quellen sammelt und analysiert, unter anderem von seinen eigenen Kunden, den Strafverfolgungsbehörden und anderen Sicherheitsanbietern. Diese Bedrohungsdaten enthalten Informationen über neue Malware-Varianten und Umgehungstechniken. CrowdStrike nutzt diese Informationen dann, um seine ML-Modelle und Erkennungsregeln zu aktualisieren.

Auf diese Weise nutzt CrowdStrike KI/ML gleichsam in einem Verbund von Maßnahmen und Quellen, um Zero-Day-Exploits möglichst verlässlich zu erkennen – auch wenn sie neuartig sind.

Beispiel: PowerShell

Die unter Windows beliebte und sehr mächtige PowerShell wird ebenfalls gerne von Hackern genutzt, um Schadsoftware in Unternehmen einzuschleuen. Hier kommen Deep Learning Modelle zum Einsatz, welche den Source Code des Angreifers analysieren und entsprechend erkennen.

  1. Mithilfe von Deep Learning-Modellen werden automatisch die wichtigsten Codeabschnitte aus PowerShell-Skripten extrahiert.
  2. Die KI analysiert die extrahierten Codeabschnitte, um bösartige Codeflüsse zu identifizieren.
  3. Die KI vergleicht die Codelogik mit einer Datenbank bekannter bösartiger und gutartiger PowerShell-Skripte.
  4. Wenn die KI eine bösartige Codelogik erkennt, generiert sie eine Warnung.

Ohne künstliche Intelligenz wird es schwierig werden, die Gefahren aus dem Internet zu bannen. Aus diesem Grund ist ein Verständnis der Wirkungsweise der im eigenen Unternehmen eingesetzten Security-Software unerlässlich.

Wer die richtigen Fragen stellt, ist klar im Vorteil.

Über Business Automatica GmbH:

Business Automatica senkt Prozesskosten durch Automatisierung manueller Tätigkeiten, hebt die Qualität beim Datenaustausch in komplexen Systemarchitekturen und verbindet On-premise Systeme mit modernen Cloud- und SaaS-Architekturen. Angewandte künstliche Intelligenz im Unternehmen ist dabei ein integraler Bestandteil. Zudem bietet Business Automatica auf Cybersicherheit ausgerichtete Automatisierungslösungen aus der Cloud.