»KI ist nur ein Baustein in einer mehrschichtigen Endpoint-Security«

»Cyberkriminelle manipulieren Malware solange, bis sie nicht mehr erkannt wird«

CRN: Seit einigen Monaten scheint im Security-Business kein Weg mehr an KI und Machine Learning vorbeizuführen. Was ist dran an dem Hype? Geht IT-Sicherheit noch ohne diese Trendtechnologien?

Veit: Es stimmt, dass traditionelle signaturbasierte Antivirenprogramme keinen zuverlässigen Schutz gegen moderne Malware bieten. Abhilfe sollen IT-Security-Lösungen mit Machine-Learning-Technologien schaffen, die Malware nicht mehr aufgrund der Ähnlichkeit mit bekannten Malware-Signaturen erkennt, sondern durch die Analyse der Eigenschaften einer Datei.

Nur: Niemand hindert Cyberkriminelle daran, sich auch Lizenzen einer NextGen-Endpoint-Lösung mit Machine Learning zu kaufen und die Malware solange zu manipulieren, bis sie von diesen nicht mehr erkannt wird. Genau das haben beispielsweise die Entwickler von NotPetya gemacht.

Die Untersuchung bestimmter Dateitypen vor der Ausführung – ob mit oder ohne Methoden der künstlichen Intelligenz – ist nur ein Baustein in einer mehrschichtigen Endpoint-Security. Nur etwa die Hälfte aller Schadsoftware kommt heute als ausführbare Datei ins Unternehmen und kann somit mit Methoden der künstlichen Intelligenz untersucht werden. Die andere Hälfte der Bedrohungen kommt in Form von Dokumenten- und Medien-Malware sowie komplett dateilos durch infizierte Webseiten oder per Exploit.

CRN: Endpoints sind heute nicht mehr nur klassische Rechner, sondern immer häufiger auch IoT-Geräte. Wie lassen sich diese am besten absichern?

Veit: Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt und erhalten während ihres Lebenszyklus nie oder selten Software- und Sicherheitsupdates. Gleichzeitig werden IoT-Geräte aber oft in denselben Netzwerken betrieben wie Workstations, Mobilgeräte und Server. Dadurch sind diese IoT-Geräte oft einfache Ziele für Cyberkriminelle, welche die IoT-Geräte übernehmen und für ihre Zwecke umfunktionieren können. Wie angedeutet, können auf IoT-Geräten selbst in der Regel keine Endpoint-Sicherheitslösungen installiert werden und auch ein regelmäßiges Einspielen von Software-Updates stellt nicht sicher, dass diese Geräte gegen aktuelle Bedrohungen geschützt sind. Deshalb muss man im Unternehmen IoT-Geräte durch Netzwerksegmentierung in einzelne kleine Netzwerkbereich »einsperren« und die Netzwerkverkehr durch Firewall-Regeln strikt auf die notwendige Kommunikation, zum Beispiel mit der Steuerungszentrale, einschränken und zudem Sicherheitsmechanismen auf Netzwerkebene wie IPS implementieren. Im Heimbereich sollten sich die IoT-Geräte ebenfalls in einem eigenen WLAN/ bzw. Netzbereich befinden und aus dem Internet nicht per Portweiterleitung sondern per sicherer VPN-Verbindung zugreifbar sein.

1. »KI ist nur ein Baustein in einer mehrschichtigen Endpoint-Security«
2. »Cyberkriminelle manipulieren Malware solange, bis sie nicht mehr erkannt wird«

Lesen Sie mehr zum Thema

Weitere Artikel zu Sophos GmbH Fort Malakoff Park

MSP Elevate

Sophos erweitert Partnerprogramm für MSPs

Cybersicherheitslösungen für MSPs

Sophos und Pax8 kooperieren für optimiertes Sicherheitsmanagement

Sophos-Umfrage beim Security-Personal

Cybersicherheit? Absolut simpel, meint der Chef

Sophos-Studie

Ransomware-Angriffe im Gesundheitswesen auf Vier-Jahres-Hoch

Fernwartung als Einfallstor

Ransomware-Attacke nutzt Remote-Access-Programm