Die Macht der Algorithmen

So werden Algorithmen für moderne Lösungen in der IT-Security entwickelt

Um Algorithmen des Maschinellen Lernens so zu programmieren, dass sie beispielsweise gut und böse voneinander unterscheiden können, muss man zuerst einmal alles Mögliche über Gut und Böse lernen. Hierfür werden sehr große Datensätze benötigt, die idealerweise alle möglichen Attribute abdecken, an denen man gutartig von bösartig unterscheiden könnte. Aus den in beide Lager kategorisierten Dateien werden anschließend Schulungssets erstellt, auf deren Basis dann die Modelle entwickelt werden, die zukünftig neue, unbekannte Dateien auf ihre Gut- oder Bösartigkeit untersuchen können. Das Ziel jedes Algorithmus ist es, eine Erkennungsgenauigkeit von 100 Prozent zu erreichen, um nicht korrekte Fehlerkennungen, sogenannte False Positives, zu vermeiden, die die Produktivität der IT beeinträchtigen. In der Praxis ist eine hundertprozentige Erkennung zwar unrealistisch, mittels der Kombination und ständiger Abstimmung verschiedener Algorithmen ist es je nach Aufgabe des Algorithmus jedoch möglich, sehr nah an 100 Prozent zu gelangen.

Um Malware zu entdecken, untersuchen Modelle Dateien anhand ausgefeilter Techniken und extrahieren bestimmte Merkmale. Dazu nutzen sie sorgsam definierte Entpackungsroutinen oder Emulationen vor der Ausführung oder sie identifizieren den Packer einer Datei, um anhand dessen Reputation Rückschlüsse zu ziehen. Ausgereifte Lösungen können pro Datei auf diese Weise Tausende von Merkmalen untersuchen, um schließlich zu entscheiden, ob eine untersuchte Datei gut oder bösartig ist. Beim Aufspüren von Malware können beispielsweise für das Aufspüren von Phishing spezialisierte Algorithmen zur Identifizierung von betrügerischen Command and Control (C&C)-Domänen genutzt werden.

Der Einsatz im Unternehmensalltag

Gerade große Unternehmen sind einer sehr hohen Anzahl an Bedrohungen ausgesetzt und benötigen daher Lösungen, die idealerweise komplett automatisch arbeiten. Das heißt, dass die Sicherheitslösung alle Fälle untersucht, nach Gut und Böse unterscheidet und die gefährlichen Fälle direkt entschärft, ohne dass manuelles Eingreifen notwendig ist. Bei einem solchen Ansatz erhöht sich leider auch die Anzahl von False Positives, da die Modelle nicht nur bekannte, sondern auch neue Bedrohungen identifizieren wollen. Genau dies ist bei vielen Sicherheitslösungen, die auf Maschinelles Lernen setzen, eine Herausforderung für die IT-Verantwortlichen. Eine Möglichkeit, die negativen Auswirkungen durch mögliche Fehlalarme zu minimieren, ist das Tuning der Schwellwerte: IT-Administratoren können einstellen, wie aggressiv oder permissiv die Erkennung des maschinellen Lernens sein soll. Aggressive Erkennung bedeutet, dass man im Zweifelsfall lieber eine Datei zu viel blockt, permissive, dass man mehr Wert auf einen effizienten IT-Betrieb legt. Ebenso lässt sich im Idealfall einstellen, was genau mit bestimmten Arten von Vorgängen passieren soll: Zulassen, weiter beobachten oder Alarm schlagen.

Maschinelles Lernen in allen Sicherheitsschichten

Neue, immer komplexere Bedrohungen, die auf Verschlüsselung, Verschleierung und Polymorphismus beruhen, haben dazu geführt, dass einfache, eindimensionale Erkennungsmethoden bei der Bewältigung der riesigen Anzahl von Bedrohungen wirkungslos geworden sind. Algorithmen und Maschinelles Lernen sind hier kein Allheilmittel, das alle herkömmlichen Sicherheitsschichten ersetzen kann. Die neuen Technologien schaffen es jedoch die Effektivität jeder einzelnen bestehenden Schicht zu verbessern, insofern diese mit den Algorithmen ausgestattet ist. In der Realität kommt man heute im Bereich IT-Security um Lösungen, die Maschinelles Lernen nutzen nicht mehr herum, will man hohen Erkennungsleistung und starken Schutz vor Angriffen bei niedrigem Verwaltungsaufwand erzielen.

Liviu Arsene ist Leitender Bedrohungsanalyst bei Bitdefender

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Die Macht der Algorithmen
2. So werden Algorithmen für moderne Lösungen in der IT-Security entwickelt

Lesen Sie mehr zum Thema

Weitere Artikel zu BitDefender GmbH

Bitdefender Labs: Gefahr durch RedCurl

Ransomware attackiert Hypervisoren

7 Trends für IT-Sicherheitsdienstleister

Wenn sich die Hacker neu aufstellen, kann das der Channel auch

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn

Supply-Chain-Angriffe aufgedeckt

Kompromittierte Word-Dokumenten gegen Behörden eingesetzt

Jährlich 1,5 Billionen Dollar Beute

So hocheffizient sind die Taktiken der Cybercrime-Szene

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus