Künstliche Intelligenz und Machine-Learning decken frühzeitig Angriffe auf

Heutzutage nutzen die Urheber komplexer Angriffe bisweilen selbst künstliche Intelligenz (KI), um Zugang zu den IT-Systemen von Unternehmen zu erhalten. Daher ist eine gleichwertige KI auf Seiten der Cyberabwehr essenziell, die zweifelhafte Muster im Netzverkehr frühzeitig entlarvt. KI, die durch Machine-Learning (ML)-Methoden geschult und trainiert wird, kann aber bei herkömmlichen Angriffen effektiv, schnell und mit dem erforderlichen Detailgrad feststellen, wie sich der reale interne und externe Netzverkehr im Falle eines Angriffs etwa vom gewohnten Muster unterscheidet. Wenn sich Anzeichen für bösartige Aktivitäten häufen, kann ein Network-Detection-and-Response-Ansatz auf der Basis solcher Erkenntnisse Angriffe beizeiten unterbinden.

Inzwischen ist der Einsatz von künstlicher Intelligenz für eine robuste Cyberabwehr unverzichtbar. Sie ermöglicht ein gründliches und frühzeitiges Entdecken von Risiken, noch bevor Malware einen Endpunkt erreicht und dort aktiv wird. Indes verbessern auch Hacker laufend die Intelligenz, Effektivität und damit den Erfolg ihrer Werkzeuge: Beispielsweise verwenden Cyberkriminelle derzeit automatisiertes Profiling und entwickeln ihre Social-Engineering-Taktiken weiter. Außerdem nutzen sie künstliche Intelligenz, um die wichtigsten Systeme und Ziele zu identifizieren. Zusätzlich modifizieren sie das Verhalten ihrer Werkzeuge im Netzwerk, so dass Abwehrlösungen die Malware nicht entdecken.

 

Machine-Learning schult die KI in der Bewertung des Netzverkehrs

Doch selbst die kompetentesten Hacker verändern den Netzwerkverkehr. Deshalb sollte alles, was sich von einem vorgegebenem Normalverhalten bei der Datenübertragung unterscheidet, hinterfragt und untersucht werden. Aufgabe einer KI in einer modernen Network-Detection-and-Response-Technologie ist es zunächst, ein möglichst genaues Muster des normalen IT-Verkehrs festzulegen.

Um diesen Soll-Zustand für die Zukunft zielgenau immer wieder neu zu definieren, ist Machine-Learning erforderlich: So kann die KI zulässige Veränderungen berücksichtigen, diese von Angriffen unterscheiden und ihre Fähigkeit kontinuierlich trainieren.

Es gibt drei Arten des Machine Learning: Beim unüberwachten Lernen geht es darum, Muster in ungekennzeichneten Daten zu finden. Dieses freie Lernen benötigt komplexe manuelle Analysen, um für die Abwehr nützliche Informationen zu erhalten. Das überwachte Lernen nutzt zunächst ein Modell von gekennzeichneten Trainingsdaten. Die Datenanalyse hat das Ziel, zukünftige Ereignisse zu prognostizieren. Wenn nötig, wird das Modell weiter aktualisiert. Beim halbüberwachten Lernen werden Attribute auf niedriger Ebene mit abstrakteren High-Level-Attributen zusammengestellt. Mit einer begrenzten Menge von gekennzeichneten Daten ist es möglich, bekannte und unbekannte Gefahren miteinander zu verknüpfen. Ziel ist es, die Sensoren der KI kontinuierlich durch ML zu trainieren, damit sie zweifelhafte Muster im externen und internen Datenverkehr entdeckt.

 

Indikatoren für anomalen Netzverkehr

Untypische Muster in der Kommunikation innerhalb einer Unternehmens-IT führen eine sich anbahnende Gefahr buchstäblich vor Augen. Bildquelle: Forenova.

Die Verhaltensweisen von Cyberkriminellen und daraus resultierende Muster im externen und internen Netzverkehr sind durch deren Abgleich mit dem Sollzustand erkennbar. Dazu einige Beispiele:

  • Malware benutzt Algorithmen zum Erstellen neuer Domänen:

Malware verwendet Algorithmen, um kontinuierlich viele Zufallsdomänen als Zieladressen zu generieren. Diese sind allerdings mit einer IP der Hacker verknüpft. Die lokale Malware wechselt ständig zwischen den verschiedenen Domänen, damit die Abwehr nicht die Kommunikation mit dem Command-and-Control- (C&C)-Server entdecken. Eine dritte Ebene einer so geschaffenen Domäne – zum Beispiel der Hostname – nutzen Hacker zur Exfiltration von Daten. Beobachtet ein Mensch die Daten zum Netzverkehr, wird er dieses Vorgehen fast nicht wahrnehmen. Aber die KI einer Network-Detection kann es leicht erkennen.

  • Bösartige Kommunikation ist oft verschlüsselt:
Untypisches Mapping verschiedener Domänen zu einzelnen IP-Adressen lässt sich mit einer ML-trainierten KI erkennen. Damit wird ein typischer Mechanismus von Malware zum Tarnen der C&C-Kommunikation augenfällig.

Die verschlüsselte Kommunikation mit dem C&C-Server für den Austausch von Befehlen und für die Exfiltration von Daten dient Angreifern dazu, das geenterte Netzwerk zu infiltrieren und Sicherheitsmechanismen zu umlaufen. Ein entsprechender Datenfluss ist im ein- und ausgehenden Datenverkehr eines Jump Hosts, also eines Systems im Netzwerk, der den Zugriff und das Verwalten von Geräten in einer separaten Sicherheitszone ermöglicht, vorhanden. Bösartigen Verkehr kann man im Datenverkehr der Pakete und Bytes wahrnehmen. Die verschlüsselte Datenübertragung ist durch ungewöhnliche Spitzen oder eine hohe Menge von verschlüsselten Daten gekennzeichnet.

  • Brute-Force-Angriffe können verschlüsselt sein:

In diesem Fall erkennt die KI die Verschlüsselungsprotokolle und das ungewöhnliche Login-Verhalten. Die Künstliche Intelligenz erfasst den Zeitraum einer Zugriffssitzung, das Zusammenspiel der Protokolle und die Kommunikation des Brute-Force-Tools mit dem C&C-Server. Dadurch registriert sie den Missbrauch von Anmeldedaten oder ein Ausweiten von Privilegien und kann dies verhindern.

  • Malware und Ransomware-Modifikationen:
Künstliche Intelligenz erkennt die einzelnen Elemente einer Malware – vom Byte-Level bis zum großen Merkmalbündel.

Unter anderem mit der Hilfe von vorhandener Threat-Intelligence erstellt Machine Learning eine Bibliothek von Malware-Modellen, die das Verhalten, die gängigen Infektionswege sowie die maßgeblichen Prozesse für bekannte Schadsoftware beschreiben. Auf dieser Grundlage kann man bedrohliches Verhalten und zweifelhaften Code ausfindig machen und in eine bekannte Malware-Familie einsortieren.

  • Das Verhalten von Benutzern und Netzwerkeinheiten:

Anmeldezeiten und -orte, die Frequenz und der Zugriff auf Applikationen oder Systeme können atypisch sein. Dies scheint offensichtlich und banal. Doch in Zeiten von Homeoffice und Remote-Hybridarbeit muss die KI ihre Wahrnehmung und Einschätzung an die neuen Realitäten anpassen: Denn ein Login aus einem Urlaubsort in den späten Abendstunden kann ein zulässiger Zugriff sein. Zudem ermittelt die KI Normalkurven des Datenverkehrs, der zu einem bestimmten Zeitpunkt ansteht und signalisiert, wo und wann davon abweichende, verdächtige Ereignisse auftreten. Eine Network Detection and Response analysiert solche Vorkommnisse beinahe in Echtzeit und veranlasst Abwehrmaßnahmen.

 

Indizien im Netzwerkverkehr

Paul Smit, Director Professional Services bei Forenova

Angreifer verbessern ständig ihre Angriffsmethoden. Mithilfe von integrierter KI in Malware und APIs gestalten sie ihre Schadsoftware gefährlicher und tarnen sie besser. Doch Angriffe von der Stange oder von menschlichen Experten sind ebenso häufig. Die Unternehmenssicherheit ist angesichts wachsender Gefahren kaum in der Lage, diese ohne eigene KI-Technologien Gefahren rechtzeitig – oder überhaupt – zu erkennen, zu stoppen oder zu analysieren. Der Netzwerkdatenverkehr enthält viele Hinweise auf neu auftretende Risiken, die eine moderne Network-Detection and Response mithilfe von KI und ML entdecken und gegen die sie Abwehrmaßnahmen ergreifen können. So sinkt die Zahl der Fehlalarme auf ein Minimum. Selbst kleinere und mittelständische Unternehmen mit begrenzten Budget- und Personalressourcen können damit eine kontinuierliche Überwachung des gesamten Netzwerkverkehrs wirkungsvoll nutzen und sich gegen moderne Cyberangriffe wehren.

Von Paul Smit, Director Professional Services bei Forenova