Nachrichten

Cyberkriminellen einen Schritt voraus mit KI

Da sich die Bedrohungslandschaft ständig weiterentwickelt, gibt es heute immer ausgefeiltere Zero-Day-Malware, gegen die herkömmliche Sicherheitsansätze meist nichts ausrichten können. Infolgedessen schätzen Sicherheitsforscher, dass die Kosten durch Cyberkriminalität die Ausgaben für Sicherheit um mehr als das 16-fache übertreffen und bis Ende 2019 insgesamt 2,1 Billionen US-Dollar erreichen werden. Um den beschleunigten Trendwechseln der Cyberkriminalität stets einen Schritt voraus zu sein, ist es erforderlich, künstliche Intelligenz (KI) in die Netzwerk-Security-Strategie von Unternehmen einzubinden.

Aufstieg der künstlichen Intelligenz

Das Ziel von KI ist es, analytische Prozesse der menschlichen Intelligenz nachzubilden und dabei Entscheidungen mit Maschinengeschwindigkeit zu ermöglichen. Die effektivste KI verwendet ein Deep-Learning-Modell, das auf einem künstlichen neuronalen Netzwerk basiert (Artificial Neural Network, ANN). Dieses Netzwerk besteht aus Hard- und Softwarekomponenten, die nach dem Vorbild der Neuronenstrukturen des menschlichen Gehirns konfiguriert sind. Dieses Design beschleunigt nicht nur die Datenanalyse und Entscheidungsfindung, sondern ermöglicht es dem Netzwerk auch, sich auf der Grundlage neuer Informationen anzupassen und sich selbst zu verbessern.

Um dies zu erreichen, durchläuft ein ANN einen maschinellen Lernprozess (ML), bei dem vorgegebene Lernmodelle sorgfältig und kontinuierlich mit riesigen und zunehmend komplexen Datenmengen versorgt werden. Sobald das System Muster und Problemlösungsstrategien identifiziert hat, erhält es neue Informationen, die es ihm ermöglichen, seine Algorithmen so anzupassen, dass es neue Taktiken und Fähigkeiten von Malware oder anderen Angriffsvektoren bearbeiten und identifizieren kann.

Fortinet und KI

Als Early Adopter von KI begann Fortinet schon vor sechs Jahren mit der Entwicklung eines sich selbst verbessernden Systems zur Erkennung von Bedrohungen. Dieses System nutzt ein speziell angepasstes ANN aus Milliarden von Knoten, das seitdem jeden Tag sorgfältig mit neuen Bedrohungsdaten trainiert wird. Es verschafft Fortinet einen erheblichen Wettbewerbsvorteil gegenüber allen anderen Anbietern auf dem Sicherheitsmarkt.

Das FortiGuard Labs-Team von Fortinet nutzt nun diese leistungsstarke KI-Technologie, um Dateien und URLs zu analysieren und sie als ungefährlich oder bösartig zu kennzeichnen – mit Maschinengeschwindigkeit und hoher Genauigkeit. Durch die jahrelange sorgfältige Vorbereitung ist die von FortiGuard AI erzeugte Bedrohungsbeobachtung so schnell und zuverlässig geworden, dass sie inzwischen als grundlegende Cloud-basierte Komponente jeder Lösung im Fortinet Security Fabric und sogar als In-Line-Komponente der FortiWeb Web Application Firewall integriert wurde.

Trainieren einer KI

Das wichtigste Element jeder KI-Lösung ist die Methodik, mit der die Analyse- und Entscheidungsalgorithmen trainiert werden. Das ML-Modell, das für die Schulung von FortiGuard KI verwendet wird, nutzt die drei Lernmodellstrategien, die derzeit unter KI-Spezialisten als wesentlich angesehen werden:

  • Überwachtes Lernen. Dieses erste Modell beginnt mit dem Training der KI, indem es ihr eine riesige Menge markierter Daten zuführt, bei denen Merkmale jedes markierten Datensatzes eindeutig identifiziert sind. Anschließend werden diese Merkmale wiederholt auf unmarkierte Daten angewendet.
  • Unüberwachtes Lernen. In dieser nächsten Phase ist für den Algorithmus keine bekannte Lösung vorgegeben, der er folgen soll. Stattdessen erkennt er die in der ersten Phase erlernten Muster, die es ihm ermöglichen, Daten ohne menschliche Hilfe zu kennzeichnen. Von dieser Phase an können langsam neue Daten zugeführt werden, um die künstliche Intelligenz zu veranlassen, mit Daten umzugehen, die sie noch nie zuvor gesehen hat, und neue Entscheidungen zu treffen.
  • Bestärkendes Lernen. Die Ergebnisse des überwachten und unüberwachten Lernens werden dann „getestet“, indem die Leistung des Systems bei unmarkierten Dateien bewertet und das System für gute Ergebnisse „belohnt“ wird. Das Training wechselt dann fortlaufend zwischen den drei Lernstrategien.
    Aufgrund der rekursiven Anforderungen des maschinellen Lernens ist jedes KI-System, das nicht alle drei Lernmodelle nutzt, unvollständig. Jedes Lernmodell hilft, die Ergebnisse zu verfeinern und die Genauigkeit zu verbessern.

Echte KI für Kunden

Viele Cyber Security-Unternehmen behaupten, KI-Fähigkeiten in ihre Lösungen integriert zu haben. Faktisch erfüllen die meisten Anbieter aber die Anforderungen für KI nicht, weil ihre Infrastruktur zu klein ist oder ihre Lernmodelle unvollständig sind. Andere weigern sich, die verwendeten Methoden offenzulegen, was Anlass zu Bedenken hinsichtlich der Zuverlässigkeit ihrer KI gibt. Fortinet hat sich im Gegensatz dazu für mehr Transparenz hinsichtlich seiner Methodik entschieden, damit die Kunden die Breite und Tiefe der Analyse kennen.

Auch das beste Lernverfahren benötigt zunächst Daten. Um ein komplexes Problem wie die aktuelle Bedrohungslandschaft anzugehen, werden kontinuierlich riesige Datenmengen benötigt, mit denen das ANN seine Regeln im Laufe der Zeit anpassen und verbessern kann. Dies ist ein weiterer Bereich, in dem sich Fortinet von Wettbewerbern unterscheidet. Fortinet sammelt Informationen von mehr als 4 Millionen Sicherheitssensoren rund um den Globus. Diese Informationen werden dann über das künstliche neuronale Netzwerk (ANN) verarbeitet, wo Dateien gegen mehr als 5 Milliarden Knoten gescannt werden, um einzigartige Merkmale für Unversehrtheit und Schädlichkeit zu identifizieren. Auf diese Weise entstehen Erkennungsfähigkeiten, die dann allen Produkten des Fortinet-Portfolios zugutekommen. In vergleichbarer Weise verarbeitet das KI/ML-Webfilterprogramm täglich mehr als 100 Milliarden Webanfragen und nutzt diese Daten, um pro Sekunde mehr als 2.600 bösartige URLs zu blockieren.

Neben dem überwachten, unüberwachten und bestärkenden Lernen verwendet FortiGuard AI auch die folgenden wesentlichen Elemente echter KI:

  • Bei mehreren Lösungen wird User and Entity Behavior Analytics (UEBA) verwendet. Bei FortiSIEM 5.0, FortiAnalyzer und FortiWeb wird zum Beispiel UEBA eingesetzt, um Muster im typischen Benutzerverhalten aufzudecken: Ort, Tageszeit, verwendete Geräte und Anwendungen, spezielle angesteuerte Server und Websites. Werden ungewöhnliche Aktivitäten erkannt, kann das UEBA automatische Aktionen von Anwendungen auslösen und Sicherheitsteams benachrichtigen. 
  • Proprietäre Entpacker führen eine gründliche Inspektion und Analyse komprimierter Dateien und Wrapper durch, die häufig zum Verstecken von bösartigem Code verwendet werden. Auf diese Weise lässt sich Malware am Perimeter stoppen, bevor sie zu einer Bedrohung für das Netzwerk wird.

Informationenaustausch im Security Fabric

Intelligenz in der Isolation ist nutzlos. Je offener sie geteilt wird, desto effektiver können Verteidigungssysteme arbeiten. Aus diesem Grund sorgt FortiGuard AI bei jeder Bedrohungserkennung für eine automatische Aktualisierung der Erkennungssignaturen aller Lösungen im Fortinet Security Fabric. Mit kompatiblen Security-Tools können Kunden die Leistung ihrer Erkennungs- und Schutzlösungen weiter optimieren.

Und weil KI dahinter steht, geschieht all dies nahtlos und ohne manuelle Eingriffe, es entsteht also kein Zeitaufwand für die Mitarbeiter und Sicherheitsanalysten von Unternehmen. Der Echtzeit-Austausch von Bedrohungsinformationen unter allen Sicherheitselementen ermöglicht Fortinet Security Fabric die Integration, Kooperation und Automation der Bedrohungserkennungs-, Bedrohungsabwehr- und Bedrohungsreaktionsfunktionen.

Da Fortinet das Netzwerk Ende-zu-Ende abdeckt, lassen sich einzigartige und umfassende Einblicke gewinnen, die alle Komponenten umfassen, die beim Schutz des Ökosystems eines Unternehmens relevant sind: vom Rechenzentrum bis zu mehreren Clouds. Dieser branchenweit einzigartige Ansatz verbessert die Effizienz des Betriebs und reduziert drastisch die Risiken. Und weil die FortiGuard KI-Bedrohungserkennung in die zentralisierte Sichtbarkeit und Steuerung des Security Fabric integriert ist, ermöglicht sie es gleichzeitig auch dem Netzwerksicherheitsteam, auf der Grundlage genauer und aktueller Informationen proaktiv zu agieren. 

22 November 2019

Diese Seite teilen: