Es ist leider kein Ende mit Schrecken, sondern ein Schrecken ohne Ende: die aktuelle Cyberbedrohungslandschaft. Laut einer kürzlich veröffentlichten Bitkom-Studie führen allein in Deutschland die Schäden von Cyberattacken inzwischen zu einer jährlichen Schadenssumme von über 220 Milliarden Euro. Und weltweit hatte die Wirtschaft in den letzten zwei Jahren einen rasanten Anstieg von Ransomware-Attacken um 800 Prozent zu beklagen. 80 Prozent der erfolgreichen Sicherheitsverletzungen sind dabei auf Zero-Day-Angriffe zurückzuführen, so eine in diesem Jahr durchgeführte Untersuchung des US-amerikanischen Ponemon Institute.
Prävention statt Reaktion
Angesichts einer immer komplexeren und kaum noch zu bewältigenden Cyberbedrohungslandschaft stoßen konventionelle Sicherheitslösungen und Ressourcen in IT-Abteilungen zunehmend an ihre Grenzen. Und Cyberkriminelle werden immer schlauer. Sie nutzen zunehmend fortschrittlichere Techniken, die selbst die raffiniertesten Abwehrmechanismen überwinden. Traditionelle Erkennungs- und Reaktionssysteme reichen nicht mehr aus. Wir sind über den Punkt hinaus, an dem sich ein Unternehmen mit dem "Zweitbesten" auf dem Markt zufriedengeben sollte. Wenn Cyberkriminelle immer ausgefeilter und technisch versierter werden, müssen wir das auch leisten. Es ist an der Zeit, sich nach einer innovativeren und effektiveren Lösung umzusehen, die einen präventiven Ansatz verfolgt.
Hier setzt Deep Learning an, die am weitesten fortgeschrittene, auch als "tiefe neuronale Netzwerke" bezeichnete Untergruppe der künstlichen Intelligenz (KI). Diese Technologie stellt den nächsten Schritt in der intelligenten Sicherheit dar. Ihr präventiver Ansatz unterscheidet sich grundlegend von bisherigen Sicherheitsparadigmen.
Traditionelle Cybersicherheitslösungen sind grundsätzlich reaktiv. Nur wenn eine Kenntnis über eine Bedrohung vorliegt und beispielsweise ein Sicherheitsexperte diese identifiziert hat, kann diese in der Regel blockiert werden. Auch Lösungen, die auf Machine Learning (ML) setzen, können nur einen begrenzten Wirksamkeitsgrad erreichen. Beispielsweise werden dabei nur bestimmte Dateiformate unterstützt und machen so ein menschliches Eingreifen weiterhin erforderlich. Deep Learning hingegen beschleunigt diesen Prozess rapide und ist in der Lage, bekannte und unbekannte Angriffe präventiv vorherzusagen sowie potenzielle Verstöße in etwa 20 Millisekunden zu identifizieren.
Deep Learning ist um mehrere Stufen fortgeschrittener als ML und wird derzeit in der Cybersicherheit durch die Entwicklung eines Ende-zu-Ende Deep-Learning-Frameworks angewandt. Dabei imitiert Deep Learning das menschliche Gehirn, indem es Daten eigenständig lernt und verarbeitet, ohne dass das Eingreifen einer Person nötig ist. Dadurch arbeiten Deep-Learning-Modelle vorausschauend. Dieses neuronale Netzwerk wird mithilfe von Rohdaten trainiert, die Millionen von als bösartig oder gutartig gekennzeichnete Datensätze enthalten. Das Deep-Learning-Modell lernt hierbei selbstständig die Muster, also einen "guten" Code von einem "schlechten" Code zu unterscheiden und einzuordnen. Dazu muss der Code nicht ausgeführt werden. So kann es Angriffe vorhersagen und verhindern, bevor sie stattfinden.
So funktioniert Security mit Deep Learning
Diese Technologie bewegt sich weg vom traditionellen Ansatz der Endpoint-Erkennung und -Reaktion hin zu einem Ansatz der vollständigen Prävention - Bedrohungen zu erkennen und zu stoppen, bevor sie überhaupt zu Bedrohungen werden. Damit verfolgt Deep Learning einen neuen Ansatz innerhalb der Cybersicherheitsbranche, jedoch gibt es bereits heute eine Reihe von realen Anwendungsbeispielen für Deep Learning. Unternehmen wie Tesla, YouTube, Netflix und Amazon nutzen Deep Learning, um ihre eigenen Frameworks zu erstellen, darunter autonomes Fahren, Empfehlungssysteme und Bilderkennung.
Die Entwicklung von Deep-Learning-Technologien ist ein komplexer Prozess. Es erfordert riesige Mengen an Rohdaten, dedizierte, optimierte Hardware, viele Iterationen und den Faktor Zeit, damit die Maschine lernen kann, bösartigen von gutartigem Code zu unterscheiden.
Im Gegensatz zum maschinellen Lernen kommt die Deep-Learning-Technologie hierbei ohne das sogenannte "Feature-Engineering" aus - ein Prozess bei dem ein ML-Experte und Sicherheitsforscher genaue Eigenschaften händisch programmieren und beschreiben müssen, anhand derer ein ML-Modell lernen kann. Da dieser Prozess aufwändig und langwierig ist, können hierbei nicht alle Informationen des Codes verarbeitet werden. In der Regel werden nur ein bis zwei Prozent aller Rohdaten verarbeitet und für das Lernen verwendet. Deep Learning benötigt dieses manuelle "Feature-Engineering" nicht, denn dieses Modell lernt auf Basis der gesamten Rohdaten selbstständig, einen guten von einem bösen Code zu unterscheiden. Dabei erkennt Deep Learning, welche Merkmale und Muster in welcher Form relevant für die Unterscheidung sind. Für Kriminelle birgt das große Schwierigkeiten, die Funktionsweise zu verstehen und zu überwinden.
Kriminelle sind mittlerweile dazu übergegangen, maschinelles Lernen zu ihrem eigenen Vorteil zu manipulieren und gezielt auszunutzen. Bei diesem sogenannten "Adversarial Machine Learning" wird etwa der Datensatz des maschinellen Lernens manipuliert. Auf diese Weise kann die Malware des Angreifers Produkte, die auf maschinellem Lernen basieren, umgehen, indem sie dem System vortäuscht, dass etwas Bösartiges in Wirklichkeit harmlos ist. Sobald die Maschine diesen Datensatz als sicher einstuft, öffnet sich für die Hacker eine Hintertür im Netzwerk.
Deep Learning eliminiert dieses Risiko durch die Verwendung von Rohdaten, die robust und widerstandsfähig gegenüber gegnerischen Angriffen sind. Die oberste Priorität für Sicherheitsteams ist es, Risiken zu prognostizieren, daran zu arbeiten und so Cyberkriminellen einen Schritt voraus zu sein. Die Eigenschaften von Deep Learning machen es Kriminellen schwerer, die Technologie zu kompromittieren, und bieten Unternehmen somit eine stärkere Verteidigung gegen Angriffe.
Ransomware hat in den letzten Monaten internationale Schlagzeilen gemacht. Die Bedrohung durch weit verbreitete und kostspielige Angriffe ist sehr real und außer Kontrolle geraten. Auch die Entwicklungen bei den Angriffen von staatlicher Seite spielen dabei eine große Rolle. Die Unterbrechungen und Ausfallzeiten, die durch diese Angriffe verursacht werden, können sich verheerend auf die Produktivität und den Erfolg von Unternehmen auswirken, da IT-Abteilungen daran arbeiten müssen, verlorene Ressourcen wiederherzustellen. Ein Deep-Learning-Ansatz kann IT-Verantwortlichen die Gewissheit geben, dass sowohl bekannte als auch unbekannte Angriffe gleichermaßen schnell und präzise abgewehrt werden. Die Anwendung von Deep Learning als Teil einer mehrschichtigen Sicherheitsstruktur kann die Anzahl der Alarme, die Sicherheitsteams pro Woche überprüfen, um bis zu 99 Prozent reduzieren und ihnen wertvolle Zeit zurückgeben, die sie zur Weiterentwicklung der Sicherheitsstrategie ihrer Organisation benötigen.
Unternehmen benötigen nach wie vor konventionelle Technologien, um eine starke Infrastruktur aufrechtzuerhalten. Deep Learning wird dazu beitragen, ihre Sicherheitslage zu verbessern und Sicherheitsperimeter zu erweitern, um einen umfassenderen Schutz zu bieten. Anstatt also eine neue Technologie zu entwickeln, die bestehende Systeme ersetzt, wurde Deep Learning mit Blick auf Agilität entwickelt. Unternehmen können diese Technologie zu ihrem bestehenden Sicherheitspaket hinzufügen, um ihre Sicherheitsstellung zu verbessern und zu festigen. So erzielen sie eine unmittelbare Rendite auf ihre Investitionen in der gesamten Sicherheitskette, indem sie weniger Zeit mit der Überprüfung von False Positives, also Falschmeldungen und anderen harmlosen Bedrohungen verbringen.
Die Zukunft von Deep Learning
Deep Learning mag ein relativ neues Konzept in der Welt der Cybersicherheit sein, dennoch bauen Unternehmen Deep Learning bereits in ihre eigenen Produkte ein. Unternehmen wie HP haben Deep Learning implementiert, um ihre Kunden besser vor stark zunehmenden Cyberangriffen zu schützen. Schließlich müssen Unternehmen verhindern, dass sich diese schädlichen Ransomware-Angriffe auf ihren Geschäftsbetrieb, ihre Kundendaten, ihren Ruf und ihren Gewinn auswirken. Der jüngste Angriff auf die US-amerikanische Colonial Pipeline wirft ein Schlaglicht auf die Schwere eines Ransomware-Angriffs. Nicht nur das Unternehmen wird nach diesem Angriff lange in Erinnerung bleiben. Auch der Alltag von Millionen von US-Bürgern war davon betroffen - von der Inspiration für Hacker, einen Angriff auch auf andere Energienetze zu versuchen, ganz zu schweigen. Wäre hingegen Deep Learning im Einsatz gewesen, hätte die Ransomware bereits vor der Ausführung erkannt und gestoppt werden können. So wäre großer Schaden verhindert worden.
Beispiele wie dieses zeigen, dass es zunehmend schwieriger wird, den Kriminellen einen Schritt voraus zu sein. Inzwischen haben die Angreifer die Präventionslösungen des maschinellen Lernens eingeholt und es ist an der Zeit, die nächste Stufe der Verteidigung zu erreichen. Ein präventiver Ansatz ist weitaus effektiver als lediglich Erkennung und Reaktion. Die Fähigkeit, Angreifer zu stoppen, bevor sie überhaupt in die Nähe eines Unternehmensnetzwerks kommen, wird sich als äußerst wertvoll erweisen. Eine Cyberlösung, die unbekannte Angriffe vorhersagen und erkennen kann, und das ganz ohne die Hilfe menschlicher Eingriffe, wird die Cyberabwehr eines Unternehmens revolutionieren. Mit Deep Learning werden Unternehmen nicht nur in der Lage sein, die Angriffe von heute zu verhindern, sondern auch die Angriffe von morgen vorherzusagen und zu unterbinden. Es ist Zeit für einen Paradigmenwechsel - Deep Learning kann sich hierbei als Gamechanger in der Cybersicherheit erweisen. (hi/fm)