Wie KI die Erkennung von Cyberbedrohungen revolutioniert

Für die Leser dieses Artikels dürfte es keine Überraschung sein, dass die Anzahl, Raffinesse und das Ausmaß von Angriffen auf die Cybersicherheit zunehmen. Gleichzeitig sind Unternehmen und wir als Gesellschaft insgesamt mehr denn je von einer intakten digitalen Infrastruktur abhängig.

Hinter den Kulissen wird jedoch oft völlig unbemerkt Technologie zur Erkennung von KI-Bedrohungen eingesetzt, die es ermöglicht, mit den Angreifern Schritt zu halten. In diesem Artikel befassen wir uns mit dem maschinellen Lernen (ML) als Teilgebiet der Künstlichen Intelligenz (KI) und seinen Anwendungen in der Cybersicherheit.

Die Bedeutung von machine learning für die Bedrohungserkennung

Die meisten Menschen kennen KI durch ChatGPT und seine Verwandten. KI im Allgemeinen gibt es jedoch seit den 1960er Jahren und umfasst viele Bereiche wie generative KI, Computer Vision, autonome Fahrzeuge, natürliche Sprachverarbeitung, Sprachassistenten und mehr.  

Die größte Herausforderung für uns Verteidiger ist die Leichtigkeit, mit der Massen an neuen Angriffsvarianten entstehen, die sich nur geringfügig voneinander unterscheiden. Sei es ein Schadensprogramm wie ein Virus oder ein Wurm oder verschiedene Versionen einer Phishing-E-Mail.

Dadurch ist es unmöglich, etwas aufgrund seiner Eigenschaften als „bösartig“ zu identifizieren, da es jedes Mal sein Aussehen ändert. Wir müssen es stattdessen anhand seines Verhaltens erkennen – eine Fähigkeit, die ML hervorragend beherrscht

Die Grenzen der traditionellen Bedrohungserkennung 

Manuelle Analyse ist nicht nachhaltig

Als ich in der IT-Branche anfing (vor langer Zeit), wurden Antivirenprogramme (AV) durch Signaturen gesteuert. 

Die Analysten sammelten Proben echter Computerviren, analysierten sie manuell und erstellten einen „Fingerabdruck“, sodass die AV-Lösung sie blockierte, wenn sie heruntergeladen oder geöffnet wurden. Als die Zahl der neuen Viren pro Woche von einer Handvoll auf Hunderte und dann Tausende anstieg, war dies offensichtlich nicht nachhaltig tragbar. 

Deinstallieren Sie Ihr Virenschutzprogramm jedoch nicht. Nur weil es neuere Bedrohungen gibt, heißt das nicht, dass ältere nicht mehr verwendet werden. Am besten geeignet ist deshalb ein mehrschichtiger Ansatz mit verschiedenen Erkennungstechniken, die zusammenwirken.

Neue Bedrohungen entstehen schneller, als Updates bereitgestellt werden können

Eine weitere Herausforderung bei signaturbasierten Erkennungen oder manuell erstellten Regeln ist die Erkennungsverzögerung. Wenn Sie Ihre Signaturen nur einmal täglich oder auch mehrmals täglich aus der Cloud aktualisieren, gibt es ein Zeitfenster, in dem Ihr System anfällig für neue Bedrohungen ist.

Ein Wendepunkt für die Endpoint Security war die Einführung von Endpoint Detection and Response (EDR). Diese Technologie verfolgt alle Prozess-, Datei- und Registrierungsaktivitäten auf einem System und liefert umfangreiche Protokolldaten, die Machine-Learning-Modelle zur Identifizierung bösartiger Aktivitäten nutzen können.

Wie kann KI dazu beitragen, Bedrohungen im Bereich der Cybersicherheit besser zu erkennen?

Um die Leistungsfähigkeit von ML für die Erkennung von KI-Bedrohungen zu verstehen, schauen wir uns an, wie es funktioniert. Nehmen Sie eine große Menge an Protokolldaten – je mehr, desto besser – und markieren Sie bösartige Einträge als solche und gutartige als gut. 

Geben Sie diese Daten an das ML-Modell weiter.Dieses ist dann besonders gut in der Lage, neue Protokolldaten zu erkennen, die die von ihm gelernten Merkmale aufweisen,  die mit böswilligen Aktivitäten in Verbindung stehen.Im Gegensatz zu einem menschlichen Analysten berücksichtigen ML-Modelle viele tausend verschiedene Merkmale jedes Eintrags, gewichten sie und sind so in der Lage, Anomalien zu erkennen, die wir Menschen nicht korrelieren könnten. 

Die drei Hauptvarianten von ML sind: 

• Überwachtes Lernen, bei dem Sie, wie oben beschrieben, markierte Trainingsdaten bereitstellen, 
• Unüberwachtes Lernen, bei dem das Modell die Muster selbst herausfindet 
• Verstärkungslernen, bei dem Sie es für korrekte Ergebnisse belohnen und so Anreize schaffen, weitere Möglichkeiten zur Erkennung von Anomalien zu finden. 

Wenn neue Bedrohungsvarianten auftauchen, können wir die Modelle optimieren, um ihre Erkennung effizienter zu gestalten. 

Manchmal werden diese ML-Modelle direkt auf dem Endpunkt oder System ausgeführt, auf dem die neuen Protokolldaten generiert werden. In anderen Fällen sind sie in der Cloud untergebracht, wo sie über mehr Rechenkapazität verfügen und schneller aktualisiert werden können. 

Manchmal werden beide Ansätze verwendet á la „Diese Datei, die Sie gerade heruntergeladen und geöffnet haben, verhält sich etwas verdächtig, aber ich bin mir nicht sicher. Lassen Sie mich sie in die Cloud hochladen, damit meine leistungsstärkeren ML-Kollegen ein endgültiges Urteil abgeben können.“

Damit haben wir ein System, das nicht nur die Art eines Objekts berücksichtigt, um zu beurteilen, ob es bösartig ist oder nicht, sondern auch sein Verhalten.

Herausforderungen der KI-basierten Bedrohungserkennung

Da kein ML-System perfekt ist, bestehen die Herausforderungen bei der Erkennung von KI-Bedrohungen in Falsch-Positiven (FPs). Dabei wird etwas als gefährlich identifiziert, obwohl es das nicht ist. Dies führt zur Blockierung legitimer Geschäftsprozesse und erfordert zusätzlich Zeit und Aufwand für manuelle Eingriffe der IT-/Sicherheitsmitarbeiter zur Behebung des Problems.

Es gibt auch falsche Negative (FNs), bei denen etwas bösartig war, aber nicht als solches identifiziert wurde, was natürlich auch nicht gut ist.  

Beispiele für die Erkennung von Cyberbedrohungen mittels KI und maschinellem Lernen

KI-gestützte Bedrohungserkennung ist in der Cybersicherheit allgegenwärtig. Sie ist in Dienste und Lösungen integriert und unterstützt im Hintergrund diejenigen, die versuchen, Ihre Daten zu verteidigen.

Sentiment Analyse mit ChatGPT & Co.

Eine neuere Anwendung der künstlichen Intelligenz im Bereich der Cybersicherheit ist die Verwendung generativer KI (wie Copilot oder ChatGPT) zur Analyse der in E-Mails und anderen Nachrichten verwendeten Sprache. Hier geht es weniger darum, einen bösartigen Link zu identifizieren, sondern vielmehr darum, die Stimmung und den Ton der Nachricht zu verstehen. 

Wenn der Angreifer versucht, den Benutzer dazu zu bringen, seine Kontonummer für eine Rechnungszahlung zu ändern, werden sie wahrscheinlich zunächst einige E-Mails austauschen, um eine Beziehung und Vertrauen aufzubauen. Das versteht das System nur, wenn es die Absicht des Textes selbst analysiert und nicht nur bösartige Links.  

Analyse des Netzwerkverkehrs

Ein Bereich ist die Analyse des Netzwerkverkehrs, bei der riesige Mengen von Protokolldaten in Echtzeit verarbeitet werden, um nach Anomalien und Ausreißern zu suchen. Auch wenn der meiste Webverkehr durch Transport Layer Security (TLS über das HTTPS-Protokoll) geschützt ist, gibt es immer noch eine Menge Metadaten, die zur Identifizierung bösartiger Aktivitäten verwendet werden können.  

Authentifizierung & Identitätsschutz

Ein weiterer Bereich, der von der automatischen Erkennung von Bedrohungen profitiert, ist die Authentifizierung und der Schutz der Identität von Nutzern.

Alle großen Cloud-Anbieter verfügen über Identitätsplattformen. Wenn Sie Microsoft 365 verwenden, ist das Entra ID. Es werden über 7000 Passwortangriffe pro Sekunde sowie viele andere Angriffsversuche empfangen und ML verwendet, um Angreifer zu blockieren. Gleichzeitig können legitime Benutzer eine Verbindung herstellen.   

Attack Surface Management

Ein weiterer interessanter Bereich ist das Attack Surface Management, bei dem ungepatchte und falsch konfigurierte Dienste Lücken bieten, über die Kriminelle Ihr Unternehmen angreifen können. Das Aufspüren all dieser Lücken und die Priorisierung derjenigen, die zuerst behandelt werden müssen, ist ein Hauptanwendungsfall für KI-gesteuerte Sicherheitslösungen. 

Microsofts Threat Intelligence Tracking

Ähnlich wie beim Übergang von signaturbasierter KI für Antivirus zu modernen ML-basierten EDR-Lösungen hat Microsoft Threat Intelligence Tracking via Dynamic Networks (TITAN) entwickelt. 

Anstatt IP-Adressen, URLs usw. manuell aus dem riesigen Pool von 78 Billionen Signalen, die täglich gesammelt werden, als bösartig zu identifizieren, verwenden Analysten ML-Modelle. Diese identifizieren die Beziehung zwischen Entitäten und erkennen die Infrastruktur von Angreifern. Diese wird dann in ihren Sicherheitsdiensten blockiert – oft bevor die Angreifer Zeit hatten, sie zu nutzen.

Threat Detection von Hornetsecurity

Bei Hornetsecurity nutzen wir seit vielen Jahren intensiv die KI-basierte Bedrohungserkennung und ML. Unser Advanced Threat Protection Service analysiert mehr als 500 verschiedene Merkmale jeder E-Mail und jedes Anhangs, bevor sie in den Posteingang Ihrer Endbenutzer gelangen, und erkennt mit einem sehr hohen Maß an Sicherheit, ob sie schädlich sind. 

Wir verwenden auch KI in unserem AI Recipient Validation Service, der sicherstellt, dass Ihre Benutzer nicht versehentlich E-Mails an die falschen Empfänger senden.  

Weitere Beispiele für den Einsatz generativer KI in der Cybersicherheit

Auch die generative KI selbst hält Einzug in Sicherheitsprodukte. Microsoft bietet beispielsweise Copilot for Security als Add-on für seine Sicherheitsprodukte an, sodass Analysten mithilfe von Natural Language Processing (NLP) mit Sicherheitsvorfällen, Bedrohungsinformationen und Richtlinien interagieren können.  

Seien Sie nicht überrascht, wenn Ihre Sicherheitsdienste anfangen, chatbasierte Schnittstellen für die Analyse von Bedrohungen und Vorfällen, für Feedback zu bestehenden Richtlinien und Konfigurationen anzubieten.  

---

Mit KI-gesteuerter Bedrohungserkennung Cyber-Bedrohungen immer einen Schritt voraus 

Maschinelles Lernen verändert die Spielregeln der Cybersicherheit. Schnellere Erkennung, weniger Fehlalarme und proaktive Bedrohungsabwehr machen KI für die moderne Sicherheit unverzichtbar. 

Die Advanced Threat Protection-Lösung von Hornetsecurity nutzt maschinelles Lernen, um die Sicherheit Ihres Unternehmens zu gewährleisten. 

• Erkennung und Analyse von Bedrohungen in Echtzeit; 
• Weniger Fehlalarme, schnellere Reaktion; 
• Schutz vor Zero-Day-Angriffen und APTs. 

Entdecken Sie, wie maschinelles Lernen Ihre Cybersicherheit verbessern kann – vereinbaren Sie noch heute eine Demo Termin für!  

---

Fazit – Die Zukunft der Bedrohungserkennung mit künstlicher Intelligenz 

Es besteht kein Zweifel daran, dass KI und ML in der Cybersicherheitsverteidigung nicht mehr wegzudenken sind. Es gibt zu viele Daten, zu viele Warnungen und zu viele Korrelationen, die wir Menschen ohne sie nicht bewältigen können. 

Sie sind nicht nur in der Lage, gigantische Mengen an Protokolldaten zu verarbeiten, sondern auch schneller als wir. Da Cyber-Angreifer von der ersten Kompromittierung eines Unternehmens bis zur vollständigen Übernahme oft nur Stunden statt Tage oder Wochen benötigen, wird eine schnelle Reaktion immer wichtiger.

Hornetsecurity’s Advanced Threat Protection ist eine Komplettlösung für E-Mail-Sicherheit, die abfängt, was andere übersehen und Ihr Unternehmen vor dem wohl wichtigsten Angriffsvektor schützt – der E-Mail.