Wie würde man sein eigenes Haus sichern? Investierte man lieber in einen sicheren Zaun, in Überwachungskameras, einem sehr lauten Alarm oder in Bewegungsmelder, um auch dunkle Ecken abzusichern? Oder würde man sogar alle Sicherheitsmaßnahmen in Betracht ziehen? Im übertragenen Sinne stellen sich ähnliche Fragen auch in Bezug auf die Sicherheit des eigenen Unternehmensnetzwerks. Das Verlassen auf zunächst nur eine Technologie stellt einen guten Anfang in Sachen Sicherheit dar. Dennoch werden Cyber-Kriminelle schnell einen Weg finden, die Sicherheitsschranken zu umgehen, um wertvolle Daten zu stehlen.

«Unternehmen, die eine starke und zuverlässige Cyber Security Sicherheitslösung anstreben, sollte sich für mehrere komplementäre Technologien entscheiden, die in einer Lösung zusammengefasst sind.»

Unternehmen, die eine starke und zuverlässige Cyber Security Sicherheitslösung anstreben, sollte sich für mehrere komplementäre Technologien entscheiden, die in einer Lösung zusammengefasst sind. Solche Sicherheitslösungen bieten im optimalen Fall hohe Malware-Erkennungsraten mit nur wenigen falschen Erkennungen. Um beim obigen Beispiel zu bleiben, handelt es sich um eine Cyber Security Solution, die den Einbrecher stoppt, aber nicht Alarm schlägt, wenn eine Katze herumschleicht.

Sowohl Schadcodes als auch böswillige Aktivität können unterschiedliche Formen annehmen. Ihnen gemein ist aber das Ziel, unter dem Radar von Cyber Security Sicherheitslösung zu bleiben. Malware-Entwickler unternehmen große Anstrengungen, um dieses Ziel zu verfolgen. Außerdem reifen deren Methoden mit den Fortschritten in der Cyber Security.

Trotzdem propagieren einige postfaktische Antiviren Hersteller, dass alle Cyber Security Bedrohungen mit nur einer Schutzschicht abzuwehren wären. Dazu braucht es nur einen neuartigen Machine Learning Algorithmus. Keine Updates, keine Cloud und keine "sinnlosen" Extra-Schutzschichten. Das ist das Produkt, was sie anbieten.

Trotz der jüngsten Fortschritte durch Facebook, Microsoft, Google und Co. auf dem Gebiet der künstlichen Intelligenz sind auch die aktuellsten Machine Learning Algorithmen keine Wunderwaffe im Kampf gegen Malware. Tatsächlich bieten die Next-Gen Antiviren Hersteller nur einen kleinen Schritt zur Abwehr von Malware an. Allerdings kann diese Technologie durch allgemeine Intelligenz (z.B. Black-Hat Hacker) überlistet werden. Dann steht keine weitere Schutzschicht zur Verfügung.

Eine einzelne Sicherheitskomponente kann also schnell zu einer Kompromittierung führen, wohingegen mehrere Sicherheitsbarrieren in der Lage sind, Schadobjekte selbst dann zu erkennen, wenn sie modifiziert wurden. Damit gestalten sich Angriffe für Cyber-Kriminelle schwieriger und kostenintensiver. Außerdem sind sie dazu gezwungen, das Verhalten ihres Schadcodes mühsam zu verändern.

Warum mehr manchmal besser ist

Unternehmensnetzwerke ähneln komplizierten Organismen. Sie bestehen aus verschiedenen Knotenpunkten – Organen – mit jeweils unterschiedlichen Funktionen, Wichtigkeiten und Rechten. Die Identifizierung von bösartigen Aktivitäten in einem solchen komplexen System kann sich als außerordentlich schwierig erweisen. Das ist insbesondere dann der Fall, wenn die Cyber Security Sicherheitslösung versucht alles durch einen einzigen Punkt zu verfolgen.

Es stimmt, dass ein starker Schutzwall die Cyber Security im Unternehmen verbessern und die Endpunkte vom Scannen schädlicher Aktivitäten befreien kann. Haben Angreifer allerdings erst einmal die einzige Sicherheitsbarriere überwunden, kann sie nichts mehr aufhalten.

«Bei mehrschichtigen Antiviren Lösungen besteht eine größere Chance, dass, selbst beim Versagen einer Schutzschicht, Malware durch die anderen, zur Verfügung stehenden Technologien aufgehalten wird.»

Wer Cyber Security Sicherheitslösungen meidet, stärkt Cyber-Kriminelle. Das wurde in der Vergangenheit immer wieder unter Beweis gestellt. Mit genügend Aufwand kann jedes System oder Feature umgangen werden. Bei mehrschichtigen Antiviren Lösungen besteht eine größere Chance, dass, selbst beim Versagen einer Schutzschicht, Malware durch die anderen, zur Verfügung stehenden Technologien aufgehalten wird.

Selbst wenn Malware schlau genug ist, sich in einer E-Mail zu verstecken, kann sie später, wenn sie versucht Chaos und Verwüstung im Computersystem anzurichten, immer noch blockiert und gelöscht werden. Das Gleiche gilt für Schadcode, der sich erst einmal nur im System festsetzt, ohne aktiv zu werden. Taucht der richtige Dateityp auf, erfolgen weitere bösartige Maßnahmen.

Auch eine smarte Maschine kann ausgetrickst werden

Viele der postfaktischen Antiviren Hersteller argumentieren damit, dass ihre Sicherheitslösungen auf einer anderen Basis funktionieren. Sie sagen, dass ihre Machine Learning Lösungen lokal lernen und viele der von Angreifern verwendeten Techniken aufdecken können. Die Wahrheit ist, dass sich die meisten cyber-kriminellen Methoden weiterentwickeln und teilweise so ausgefeilt sind, dass sie sogar die sogenannten smarten Maschinen austricksen können.

«Die Wahrheit ist, dass sich die meisten cyber-kriminellen Methoden weiterentwickeln und teilweise so ausgefeilt sind, dass sie sogar die sogenannten smarten Maschinen austricksen können.»

Für ein besseres Vorstellungsvermögen dient uns die Steganografie als Beispiel. Angreifer können boshaften Code in ein zunächst harmlos wirkendes Bild schmuggeln. Der Schadcode wird tief in den Pixel-Settings vergraben und die Maschine dadurch ausgetrickst. Sie kann den boshaften Code nicht vom sauberem Sample unterscheiden.

Auf ähnliche Weise kann auch Fragmentierung dazu führen, dass ein Erkennungsalgorithmus eine falsche Auswertung zurückgibt. Angreifer teilen ihre Malware in unterschiedliche separate Dateien auf. Jede einzelne von ihnen ist sauber – Die Malware demonstriert erst im Moment des Zusammenfügens aller einzelnen Teile ihr schädliches Verhalten.

Diese Aktivität kann mit nur einer Schutzschicht unbemerkt bleiben, da der "intelligente" Algorithmus komplexere "Optiken" benötigen würde, um den ganzen Zusammenhang erfassen zu können. Erst mehrere Technologien, die mit regelmäßigen Updates versorgt werden und Zusammenhänge erkennen, können anspruchsvolle Angriffe versuchen zu verhindern.

Warum diese Techniken nicht von vornherein blockieren?

Natürlich können oben genannte Techniken das Werkzeug zur Zielerreichung für Cyber-Kriminelle sein. In einem anderen Kontext verwendet man diese Methoden jedoch ganz legitim. Jeder Geschäftskunde ist anders und jeder Endpunkt kann sehr unterschiedliche Einstellungen besitzen. Einige Unternehmen verwenden beispielsweise Software oder Dateien, die sehr verdächtig aussehen, aber völlig legitim für ihre Einsatzzwecke sind.

In einem kleiner skalierten Maßstab von bis zu 100.000 Usern mag es keine große Rolle spielen, ob ein paar Benutzer auf Probleme stoßen. Unkomfortabel wird es allerdings dann, wenn es in die Millionen geht.

Nur jahrelange Erfahrung und wiederholte Tests können beweisen, wie man eine Cyber Security Sicherheitslösung für eine so große Gruppe von Geschäftskunden am besten optimieren kann. Ebenso braucht es jahrelange Investitionen, um die proaktiven Schutzschichten zu entwickeln, welche Cyber-Kriminelle letztendlich überlistet und die heutigen, vielen Internetnutzer schützt.

Die mit dem "Einfach-Schutz" einhergehenden Probleme haben auch Cyber Security Analysten erkannt. Sie mahnen zur Vorsicht, wenn zwischen den sogenannten «Next-Gen» und seriösen Antiviren Herstellern ausgewählt werden soll. Machine Learning bleibt eine komplementäre Technologie, die aber niemals eine vertrauenswürdige Cyber Security Sicherheitslösung ersetzen kann.

Die Serie im Überblick:

  1. Prolog: Der Kampf um die Wahrheit in der Cyber Security
  2. Was ist Machine Learning und was künstliche Intelligenz?
  3. Häufige Missverständnisse bei Machine Learning und künstlicher Intelligenz
  4. Warum Machine Learning basierte Sicherheit intelligente Gegner nicht interessiert
  5. Warum eine Schutzschicht nicht genügt – auch wenn Machine Learning unterstützt
  6. Geister fangen: Die tatsächlichen Kosten der hohen Falsch-Positiv-Raten in der Cyber Security
  7. Wie Updates Antiviren Software stärkt
  8. Auch wir kennen Machine Learning und nutzen es seit Jahren

 

Mitwirkende: Jakub Debski & Peter Kosinar