Definiert wird Machine Learning (ML) als "Fähigkeit (eines Computers), ohne entsprechende Programmierung zu lernen". Für die IT-Sicherheitsbranche ist das ein großer Wurf. Schließlich hat die Technologie das Potenzial, den menschlichen Sicherheitsanalysten unter die Arme zu greifen, um Schwachstellen und Einfallstore in der IT schnellstmöglich zu identifizieren und schließen zu können. Neben der Malware-Detektion und dem Auswerten von Logfiles könnte sich maschinelles Lernen im Security-Bereich auch positiv auf die Sicherheit von Endpoints auswirken und zur Automatisierung repetitiver Aufgaben zum Einsatz kommen.
Diese Entwicklung hat vielerorts zu der Überzeugung geführt, dass mit Hilfe von Machine-Learning-Lösungen (im Gegensatz zu Legacy Tools) auch die nächste WannaCry-Attacke postwendend entdeckt und verhindert wird. Fakt ist: Die explosionsartige Vermehrung von Daten und Apps machen den Einsatz von Automatisierungslösungen unumgänglich - vielerorts braucht man maschinelles Lernen und Künstliche Intelligenz, um dem Netzwerk-Traffic und den User-Interaktionen überhaupt noch Herr werden zu können.
Das Problem an der Sache: Kriminelle Hacker wissen das. Und werkeln fleißig an ihren eigenen KI- und Machine-Learning-Tools, die künftig für Angriffe bisher nicht gekannter Komplexität sorgen könnten.
Wie nutzen Hacker Machine Learning?
Durch einen zunehmenden Organisationsgrad und eine blühende Darknet-Servicelandschaft treiben kriminelle Hacker inzwischen ihre Innovationen so schnell voran, dass die IT-Sicherheit kaum mehr Schritt halten kann. Das Szenario wird umso bedrohlicher, wenn man bedenkt, dass sich sowohl die Machine-Learning-, als auch die KI-Technologie erst am Anfang ihrer Entwicklung befindet.
"Machine Learning, Deep Learning und KI werden die Grundpfeiler der IT-Sicherheit von morgen sein. Dennoch müssen wir erkennen, dass unsere Gegner ebenso enthusiastisch arbeiten und Innovationen auf den Weg bringen", meint Steve Grobman, CTO bei McAfee. "Wie so oft wenn es um die IT Security geht, liegt der Schlüssel zum Sieg im Rennen zwischen Angreifern und Verteidigern darin, menschliche Intelligenz gezielt mit Technologie zu erweitern."
Eine Entwicklung, die eine menschliche Urangst auf den Plan ruft: KI bekämpft KI á la "Terminator 2". "Wir werden 2018 erstmals miterleben, dass es im Cybersecurity-Umfeld Künstliche Intelligenzen miteinander zu tun bekommen", offenbart Nick Savvides, CTO bei Symantec. "Die Angreifer werden künftig viel effektiver kompromittierte Netzwerke durchsuchen können. Deshalb sind jetzt die Security-Provider gefragt, darauf mit intelligenten, automatisierten Lösungen zu antworten."
"Autonome Gegenmaßnahmen sind die Zukunft der IT-Sicherheit", unterstreicht Dave Palmer, Director of Technology bei Darktrace. "Algorithmen, die intelligente und gezielte Rehabilitationsmaßnahmen durchführen können und laufende Hackerangriffe verlangsamen oder gar stoppen können, während der Betrieb normal weiterlaufen kann, werden zum Standard."
Von Hackerangriffen mit Machine-Learning-Tools war bislang zwar noch nicht viel zu hören oder zu lesen, doch einige Angriffs-Techniken werden bereits von Cyberkriminellen adaptiert. Wir zeigen Ihnen sechs Wege, wie Machine Learning zum Verhängnis werden kann.
1. Malware
Die "Kreation" von Malware stellt für kriminelle Hacker in der Regel einen manuellen Prozess dar: Sie schreiben Scripts, erdenken Viren und Trojaner und nutzen Rootkits, Passwort-Scraper und andere Tools, um ihr schadhaftes Werk an den Mann zu bringen. Was aber, wenn die Cyberkriminellen diesen Prozess massiv beschleunigen könnten? Gibt es einen Weg, wie maschinelles Lernen bei der Malware-Erstellung und -Verbreitung helfen kann?
Das erste bekannte Beispiel für ML-unterstütze Malware-Erstellung wurde bereits 2017 präsentiert. Die Erkenntnisse wurden im Rahmen eines Forschungspapiers veröffentlicht. Die Autoren beschreiben hier, wie sie mit Hilfe eines GAN ("Generative Adversarial Networks") -Algorithmus Malware-Samples erstellt haben, die pikanterweise auch ML-basierte Detection-Systeme umgehen konnten.
Ein weiteres Beispiel: Der Sicherheitsanbieter Endgame enthüllte auf der DEFCON 2017 "maßgeschneiderte" Malware, die mit Elon Musks OpenAI-Framework erstellt wurde und ebenfalls nicht von gängigen Sicherheitslösungen erkannt wurde. Um das zu bewerkstelligen, bedienten sich die Security-Experten eines einfachen Tricks: Binärdateien, die den Anschein machten maliziös zu sein, wurden in Details modifiziert - schon hielten die Antivirus-Engines sie für vertrauenswürdig.
Einige Experten rechnen auch damit, dass kriminelle Hacker Machine Learning dazu nutzen werden, ihren Schadcode "on the fly" zu verändern - polymorphe Malware 2.0 sozusagen.
2. Botnetze
Der US-Sicherheitsanbieter Fortinet rechnet fest damit, dass 2018 das Jahr der selbstlernenden "hivenets" und "swarmbots" wird. Enden könnte das Ganze damit, dass IoT-Devices benutzt werden, um die Größenordnung von Attacken skalieren zu können. "Die Devices werden in der Lage sein, miteinander zu kommunizieren und auf Basis gemeinsam genutzter Intelligenz Maßnahmen ergreifen", erklärt Derek Manky, Sicherheitsforscher bei Fortinet.
"Darüber hinaus werden die Zombie-Rechner innerhalb von Botnetzen künftig ‚smart‘ und werden in der Lage sein, selbständig zu ‚handeln‘. Das wird ein exponentielles, schwarmartiges Wachstum von ‚hivenets‘ in Gang setzen, die mehrere Ziel zeitgleich angreifen können und Gegenmaßnahmen so drastisch erschweren."
Interessanterweise nutzen solche Attacken nach den Worten von Manky noch gar keine Schwarmintelligenz, die die "hivenets" dazu befähigen würde, aus dem Verhalten der Vergangenheit zu lernen. Die Schwarmtechnologie ist ein Teilfeld der Künstlichen Intelligenz und kommt heute bereits bei Drohnen und Robotern zum Einsatz.