Check Point Software Technologies freut sich, seine kontinuierlich trainierte KI-Engine vorstellen zu können, die wichtige Informationen über Websites analysiert und bemerkenswerte Ergebnisse bei der Erkennung von Phishing-Versuchen erzielt. Integriert in die Threatcloud-AI bietet sie umfassenden Schutz für Check Points Quantum-Gateways, Harmony-Email, Endpoint und Harmony Mobile.
Phishing ist nach wie vor eine der am weitesten verbreiteten und sich am schnellsten entwickelnden Cyber-Bedrohungen. Jedes Jahr tauchen Millionen neuer bösartiger Domains auf und die Angriffe auf bekannte Marken nehmen stetig zu. Hacker entwerfen Phishing-Websites, die legitime Dienste genau nachahmen – sie übernehmen Logos, Layouts und sogar Anmeldeabläufe – um Personen zu verleiten, ihre Anmeldedaten preiszugeben.
Viele Phishing-Websites entziehen sich der Erkennung, indem sie bewusst die offensichtlichsten Fehler vermeiden, die sie leicht auffällig machen würden. So entfernen sie beispielsweise häufig Markenverweise aus dem HTML-Code, die verraten würden, welches Unternehmen imitiert wird, und achten darauf, gültige SSL/TLS-Zertifikate zu verwenden, anstatt selbstsignierte oder nicht-übereinstimmende. Auch variieren sie in ihrem Vorgehen, um Erkennung durch wiederholte Muster auf mehreren Websites zu verhindern.
Doch durch die Analyse der vielen Merkmale dieser Websites lässt sich zwischen den bösartigen und harmlosen Websites dennoch unterscheiden.
Ein Beispiel hierfür ist die folgende Website, die als Netflix verkleidet worden ist:
Diese Website kann nicht mit herkömmlichen Methoden identifiziert werden, wie durch Erkennen der gefälschten Marke in der URL, im Seitentitel oder in Textelementen, da der Markenname nicht explizit auf der Website erscheint. Darüber hinaus stammen die meisten Web-Funktionen der Websites von der Hosting-Domain, die legitim und anerkannt ist. Durch die Analyse wichtiger Indikatoren – wie defekte Links, ein fehlendes Favicon, eine Webhosting Domain und ein Anmeldeformular – ergibt sich jedoch ein klares Muster, das bestätigt, dass es sich bei der Website tatsächlich um einen Phishing-Versuch handelt.
Cyber-Kriminelle passen ihre Methoden ständig an und entwickeln Angriffe, die zu unzähligen Variationen der oben beschriebenen Indikatoren führen. Daher reicht es nicht aus, sich auf einen festen Satz von Regeln für diese Indikatoren zu verlassen, um neue Angriffe zu erkennen. Um eben diese Herausforderung zu bewältigen, wurde ein Modell trainiert, das sowohl die Muster des regulären als auch des Phishing-Datenverkehrs lernt. Dadurch kann das Modell eine Website als neuen Phishing-Versuch kennzeichnen, selbst wenn jeder einzelne Indikator harmlos erscheint und die spezifische Kombination der Indikatoren auf der Website zuvor noch nicht aufgetreten ist.
Vorstellung von Risk-Model-NG
Risk Model NG wurde anhand eines umfangreichen Datensatzes sowohl harmloser als auch Phishing-Websites trainiert und nutzt dabei Fachwissen und die umfangreichen Daten zu bösartigen Websites von Check Point.
Das Modell nutzt Hunderte von Merkmalen, die auf DNS-Daten, SSL-Zertifikaten, Whois-Daten, Link-Analysen und vielem mehr basieren. Diese Merkmale wurden von Cyber-Analysten sorgfältig zusammengestellt und abgeleitet, um ein umfassendes Verständnis des Verhaltens und der Eigenschaften von Websites zu ermöglichen.
Im Kern basiert das Modell auf einem hocheffizienten und robusten Algorithmus, der für diese Art von Analyse gut geeignet ist. Dies ermöglicht blitzschnelle Berechnungen, sodass Risk Model NG Phishing-Websites in Echtzeit mit außergewöhnlicher Genauigkeit blockieren kann. Was diesen Ansatz auszeichnet, ist die gründliche datenwissenschaftliche Forschung, die in die Entwicklung des Modells eingeflossen ist. Dadurch bietet das Modell einen weitaus umfassenderen Überblick der Phishing-Muster als kleinere oder engere Lösungen und stellt durch das kontinuierliche Training mit den neuesten Daten sicher, dass es aktuell und wirksam gegen neue Bedrohungen bleibt.
Die Trainingspipeline
Einer der Schlüsselfaktoren für die Leistungsfähigkeit dieses Modells ist die automatisierte Trainingspipeline. Sie verarbeitet riesige Datenmengen und gibt neben Merkmalsverteilungen mehrere Modellvarianten aus, sodass Forscher analysieren können, wie sich verschiedene Merkmale auf das Modell auswirken, und es so für eine optimale Leistung feinabstimmen können.
Ein wichtiger Aspekt dieser Pipeline ist die Fähigkeit, das Modell kontinuierlich mit neuen Daten zu trainieren. Dadurch ist es nicht nur möglich, neuen Phishing-Trends immer einen Schritt voraus zu sein, sondern auch die Erkennungsfähigkeiten an saisonale Trends anzupassen. Von Black.Friday-Phishing-Betrug im November bis hin zu Urlaubs- und Buchungsbetrug im Sommer – die Pipeline sorgt dafür, dass die Engine stets leistungsfähig, anpassungsfähig und auf dem neuesten Stand bleibt.
Das Ergebnis: Die Verfügbarkeit riesiger Datenmengen für Threatcloud-AI in Verbindung mit dem Fachwissen von Check Point im Bereich Cybersicherheit ermöglicht es, Echtzeit-KI-Engines zu entwickeln, die in der Lage sind, bisher unbekannte Angriffe verhindern zu können.
Da Phishing-Angriffe immer raffinierter werden, entwickelt Check Point mithilfe seines Daten- und Sicherheitsforschungs-Teams weiterhin Echtzeit-KI-Engines, um Zero-Day-Angriffe zu verhindern. Diese Synergie ermöglicht es, außergewöhnliche Erkennungsfähigkeiten zu erreichen und das gesamte Web vor neuen Bedrohungen zu schützen. Die Engine ist als Teil von ThreatCloud AI über die Produktlinien Quantum, Harmony und Cloudguard von Check Point nahtlos mit allen IT-Umgebungen verbunden – darunter Netzwerke, Endgeräte, E-Mail, Mobilgeräte und Cloud – und gewährleistet so einen umfassenden Schutz der gesamten Unternehmensinfrastruktur.
Check Points Kunden, die Quantum- und Harmony- Produkte mit aktivierter Bedrohungsemulation verwenden, sind vor den in diesem Bericht beschriebenen Kampagnen geschützt.
#CheckPoint
