KI in der Cybersicherheit: 6 Anwendungsfälle

Cyber-Bösewichte nutzen künstliche Intelligenz (KI), um raffiniertere und erfolgreichere Angriffe zu planen. Es liegt auf der Hand, dass auch Cybersecurity-Organisationen die KI-Cybersecurity in ihr Arsenal aufnehmen sollten, um sich zu schützen. "Unternehmen können es sich nicht mehr leisten, Messer zu Schießereien mitzubringen", sagt Dr. Herbert Roitblat, Principal Data Scientist bei Mimecast.

KI in der Cybersicherheit kann auch ein willkommener Verbündeter für überlastete und unterbesetzte Cyber-Funktionen sein, indem sie ihnen hilft, die unaufhörliche Flut von Bedrohungen zu entschlüsseln, die auf ihre Organisationen zukommen, damit sie sich auf übergeordnete Aufgaben konzentrieren können. In der Tat wird erwartet, dass die Verantwortlichen im Bereich Cybersecurity in den kommenden Jahren mehr für KI-gestützte Tools ausgeben werden. Laut Meticulous Research wird der globale Markt für KI-Cybersicherheitstechnologien bis 2027 mit einer durchschnittlichen Wachstumsrate von 23,6 % wachsen und dann 46,3 Milliarden US-Dollar erreichen.[1]

Einsatz von AI in der Cybersicherheit

Wie binden führende Cybersicherheitsunternehmen KI-Funktionen wie maschinelles Lernen und Computer Vision in ihre Cyberabwehr ein? Zu den sechs wichtigsten Anwendungen gehören:

• Social Engineering und Spam-Erkennung
• Erkennung von Anomalien
• Verhinderung der Exfiltration von DNS-Daten
• Erweiterte Malware-Erkennung
• Verringerung der Ermüdung
• Identifizierung von Zero-Day-Exploits

Die Untersuchung dieser Beispiele für KI in der Cybersicherheit kann Führungskräften helfen, sich Anwendungen in ihren eigenen Organisationen vorzustellen, um die wachsende Vielfalt, Menge und Geschwindigkeit von Cyberrisiken zu erkennen und abzuwehren.

Erkennung von Social Engineering und Spam

Deep Learning, ein Teilbereich des maschinellen Lernens, ist eine statistische Technik, die es Computern ermöglicht, komplexere Probleme als je zuvor zu lösen. Wie der Name schon sagt, ist es leistungsfähiger als das "seichtere", überwachte maschinelle Lernen, bei dem der Computer anhand von Beispielen aus markierten Daten lernt. Stattdessen werden beim Deep Learning große Datenmengen erfasst, um ein tiefes neuronales Netz zu trainieren, das dann im Laufe der Zeit selbständig lernt, Bilder zu erkennen oder andere Aufgaben auszuführen.

Deep-Learning-Modelle können selbst bei nur vage definierten Angriffsaktivitäten hohe Trefferquoten erzielen. Sie werden eingesetzt, um nicht sichere Bilder für die Arbeit und andere Bilder (z. B. Logos) zu identifizieren oder um Spam-E-Mails und Phishing-Versuche besser zu erkennen . Google hat Deep Learning eingesetzt, um schwer zu erkennende bildbasierte E-Mails, E-Mails mit verstecktem Inhalt und Nachrichten von neu eingerichteten Domänen zu blockieren.[2]

Erkennen von Anomalien

Die ausgefeilte Mustererkennung ist eine der besten Anwendungen des maschinellen Lernens für die Cybersicherheit. Cyber-Angreifer verstecken sich oft in Netzwerken und entziehen sich der Entdeckung, indem sie ihre Kommunikation verschlüsseln, gestohlene Anmeldedaten verwenden und Protokolle löschen oder verändern. Aber ein Algorithmus für maschinelles Lernen, der ungewöhnliche Verhaltensweisen erkennt, kann sie dennoch auf frischer Tat ertappen.

Da maschinelles Lernen bei der Erkennung von Mustern in Daten hervorragend ist - viel schneller als ein menschlicher Sicherheitsanalytiker - kann es Aktivitäten erkennen, die bei herkömmlichen Ansätzen übersehen werden. Durch die kontinuierliche Überwachung des Netzwerkverkehrs auf Abweichungen kann[3] ein maschinelles Lernmodell beispielsweise riskante Muster in der Häufigkeit des E-Mail-Versands erkennen, die auf die Nutzung von E-Mail für einen ausgehenden Angriff hindeuten. Modelle können auch so programmiert werden, dass sie auf Insider-Bedrohungen achten.[4] Darüber hinaus kann sich maschinelles Lernen auf Veränderungen einstellen, indem es neue Daten aufnimmt und sich an dynamische Umgebungen anpasst.

Verhinderung der Exfiltration von DNS-Daten

Böswillige Akteure sind entschlossen, bestehende Cyberabwehrsysteme wie Firewalls und Systeme zur Erkennung und Verhinderung von Eindringlingen zu umgehen. Diejenigen, die darauf aus sind, wertvolle Kunden- oder Geschäftsinformationen zu stehlen, nutzen zunehmend das Domain Name System (DNS), das Adressverzeichnis des Internets, das laut Black Hat, einer Organisation für Veranstaltungen und Veröffentlichungen, "ein schwaches Glied in der Cybersicherheitspraxis" sein kann.[5]

DNS-Daten dürfen in der Regel Firewalls passieren und werden von Angreifern gekapert, um ihre Malware zu übertragen, die Kontrolle über Geräte zu übernehmen und Kundendaten, E-Mails und andere sensible Daten zu stehlen.[6]

Laut Black Hat kann maschinelles Lernen sogenanntes "DNS-Tunneling" zur Datenexfiltration erkennen und verhindern, wobei die Modelle kontinuierlich auf Billionen von DNS-Anfragen trainiert werden, die täglich weltweit generiert und gesammelt werden.

Erkennung von fortgeschrittener Malware

Bei der Erkennung von Malware wird traditionell der Netzwerkverkehr auf Übereinstimmungen mit Signaturen überwacht und durchsucht, d. h. auf Ähnlichkeiten mit bekannten Indikatoren für eine Gefährdung [7] . Deep Learning bietet jedoch die Möglichkeit, riesige Datenmengen zu analysieren, um Rückschlüsse auf Malware zu ziehen, bevor diese überhaupt geöffnet wird. Da sich Malware schnell weiterentwickelt, können Deep-Learning-Modelle damit Schritt halten. SearchSecurity sagt: "Die Verfügbarkeit von Dutzenden Millionen markierter Proben von Malware und gutartigen Anwendungen hat dies zu einer der erfolgreichsten Anwendungen von Deep Learning und KI in der Cybersicherheit gemacht." [8]

Bekämpfung der Alert-Müdigkeit

KI in der Cybersicherheit kann dazu beitragen, dass das Team im Security Operations Center (SOC) nicht durch ständige Warnmeldungen zu einem Vorfall überfordert wird. Maschinelles Lernen kann einspringen, um Warnmeldungen mit geringem Risiko zu sortieren, sich wiederholende Aufgaben zu übernehmen und die Basiswerte für Bedrohungsdaten zu erhöhen, die ein menschliches Eingreifen erfordern.[9] Sicherheitsexperten und -analysten bleiben zuständig, aber ihre maschinellen Pendants können sie entlasten, damit sie sich auf übergeordnete Aufgaben und Entscheidungen konzentrieren können.

Ein MIT-Startup hat kürzlich einen geschlossenen Kreislauf entwickelt: Modelle des maschinellen Lernens zeigen mögliche Angriffe an, menschliche Analysten überprüfen sie, und dieses Feedback wird wieder in das Modell integriert. Die Sicherheitsanalysten können produktiver arbeiten, und der Algorithmus kann seine Leistung im Laufe der Zeit optimieren.[10]

Jagd auf Zero-Day-Exploits

Die Abwehr von Zero-Day-Exploits ist eine der größten Herausforderungen für die moderne Cybersicherheitsfunktion. Bei einem Zero-Day-Angriff schleusen die Täter Malware ein, indem sie eine Software-Schwachstelle ausnutzen, die der Hersteller noch nicht kennt (oder die noch nicht gepatcht wurde). Herkömmliche Endpunktsicherheitsmethoden wie Antivirensoftware oder Patch-Management-Lösungen können einen Zero-Day-Angriff nicht erkennen oder verhindern - er ist zu neu, als dass signaturbasierte Tools ihn erkennen könnten. KI kann jedoch helfen.

Deep-Learning-Architekturen können eingesetzt werden, um verborgene oder latente Muster aufzudecken und mit der Zeit kontextbezogener zu werden - beides ist nützlich, um Zero-Day-Schwachstellen oder -Aktivitäten zu erkennen. Die Verarbeitung natürlicher Sprache kann den Quellcode durchkämmen, um bösartige Dateien zu erkennen. "Generative adversarische Netzwerke" , die lernen können, eine beliebige Datenverteilung nachzuahmen, können sich ebenfalls als hilfreich erweisen, um komplexe Schwachstellen zu erkennen.

Ein Team der Arizona State University hat mit Hilfe des maschinellen Lernens den Datenverkehr im Dark Web überwacht, um Daten über Zero-Day-Exploits zu ermitteln. Seitdem haben sie ein Startup-Unternehmen gegründet, das fortschrittliche Algorithmen des maschinellen Lernens einsetzt, die auf Daten aus Tausenden von Beiträgen und Diskussionen bösartiger Akteure basieren, um vorherzusagen, welche Software-Schwachstellen sie als nächstes angreifen werden.[11],[12]

Die Quintessenz

KI verbessert die Cybersicherheit in wichtigen Bereichen, wie dem Schutz vor Zero-Day-Exploits und der Bekämpfung von Alarmmüdigkeit. Unternehmen sollten aktuelle und neue Anwendungsfälle für KI in der Cybersicherheit untersuchen, um ihre Verteidigungsstrategien weiter voranzutreiben.

[1] "Artificial Intelligence (AI) in Cybersecurity Market Worth $46.3 Billion by 2027," Meticulous Research

[2] "Gmail blockiert jetzt jeden Tag 100 Millionen zusätzliche Spam-Nachrichten mit KI," The Verge

[3] "Erkennung von Anomalien bei Cybersecurity-Angriffen auf Netzwerke mit MLP Deep Learning," IEEE.org

[4] "Deep Learning for Unsupervised Insider Threat Detection in Structured Cybersecurity Data Streams," AAAI-17 Workshop on Artificial Intelligence for Cybersecurity

[5] "DNS als Weg für Infiltration und Exfiltration," Black Hat

[6] "Cybersicherheit - Einführung in DNS-Tunneling," GeeksforGeeks

[7] "Cybersecurity Spotlight - Signature-Based vs Anomaly-Based Detection," Center for Information Security

[8] "Verstehen Sie die 4 wichtigsten Anwendungsfälle für KI in der Cybersicherheit," SearchSecurity

[9] "Setzen Sie KI für Cybersicherheit ein und profitieren Sie schneller von einer starken Verteidigung," SearchSecurity

[10] "Eine Mensch-Maschine-Zusammenarbeit zur Abwehr von Cyberangriffen," MIT News

[11] "Machine Learning Goes Dark And Deep To Find Zero-Day Exploits Before Day Zero," Forbes

[12] "Startup bietet Aufklärung für das Schlachtfeld der Cybersicherheit," Arizona State University