Deep Instinct nutzt Deep Learning zur Angriffsabwehr
Das Kind noch vor dem Brunnen stoppen
Dass ein Unternehmen mit Ransomware & Co. zu kämpfen hat, erkennt es oft erst, wenn das Kind schon in den Brunnen gefallen ist. Der israelisch-amerikanische Security-Spezialist Deep Instinct setzt deshalb auf echtzeitnahe Prävention, um Schäden durch Angriffe zu verhindern: Die Deep Instinct Prevention Platform nutzt eine speziell für den Security-Einsatz entwickelte KI (künstliche Intelligenz), die Angriffe laut Hersteller in wenigen Millisekunden und mit hoher Treffsicherheit erkennt.
Deep Instinct setzt dabei auf ein Deep-Learning-Framework, also eine aufwendige KI-Variante, die auf neuronalen Netze mit mehreren Zwischenschichten basiert. Damit, so das Versprechen des Anbieters, erziele man bei unbekannten Bedrohungen eine Treffgerenauigkeit von über 99 Prozent sowie – im Security Operations Center (SOC) nicht minder wichtig – eine False-Positive-Rate von unter 0,1 Prozent. Sprich: Die Lösung verhindere dank ihrer KI-Technik fast alle Bedrohungen, noch bevor sie zur Ausführung kommen. Zugleich vermeide sie Alarmfluten, was dem SOC-Team bei der Bearbeitung der verbleibenden Fälle den Rücken freihält.
Der Security-Anbieter begann, wie Ralph Kreter, Area Vice President CEE bei Deep Instinct, im LANline-Interview erläuterte, schon 2015 damit, ein eigenes Deep-Learning-basiertes Trainings-Framework speziell für das Aufspüren zuvor unbekannter Cyberangriffe zu entwickeln. Inzwischen, so Kreter, nutze man fünf solcher Frameworks, um die erwähnte hohe Erkennungsrate bei niedriger False-Positive-Rate zu erzielen.
Das Geheimnis des Anbieters liegt laut dem Regionalchef in den Elementen, mit denen Deep Instinct seine neuronalen Netze trainiert. Sind die Trainings gut durchgeführt, so der Deep-Instinct-Manager weiter, erziele die Software eine „Wahnsinnsgenauigkeit“ in unter 20 Millisekunden – somit schneller, als Ransomware anfangen könnte, Dateien zu verschlüsseln. Denn dies dauert laut Kreter selbst bei einem modernen Verschlüsselungstrojaner noch zirka 1,5 Sekunden.
Die technische Infrastruktur dahinter beruht unter anderem auch GPUs von Nvidia. Der Chiphersteller ist – neben BlackRock, den IT-Ausrüstern HP, LG und Samsung sowie weiteren – auch einer der Investoren in Deep Instinct. Dank Nvidia-Technik ist es laut Kreter gelungen, die Dauer der Lernverfahren auf unter einen Tag zu beschleunigen, vorher habe man erheblich länger gebraucht. Das Training finde ausschließlich in der Umgebung von Deep Instinct statt, im Anwendernetzwerk lerne die Software nichts hinzu. Damit entfalle die Notwendigkeit, Informationen aus Kundennetzwerken zu sammeln.
Kreter nennt zwei Anwendungsfälle für die hauseigene Technik: Endpunkte und Dateien. Für den Schutz von Endpoints installiere man auf jedem Endgerät einen Agent von nicht einmal 100 MByte Größe. Dieser sei für alle unternehmensüblichen Betriebssysteme ab Windows 10 inklusive Linux, iOS und Android erhältlich und scanne das Gerät ständig im Hintergrund, ohne die CPU zu mehr als 15 Prozent zu belasten.
Für die Analyse von Dateien wiederum sorge eine andere Technik: Dateien wie zum Beispiel Bewerbungen oder Uploads in Kundeninformationssysteme überprüfe man agentenlos und ebenfalls echtzeitnah. Die Deep-Instinct-Software könne damit schon vor Schadcode warnen, bevor Beschäftigte eine Datei auch nur in der Voransicht (Preview) öffnen.
Da der Agent lokal auf dem Endgerät läuft, arbeite jedes Gerät autonom. Er brauche keine laufenden Updates, und man könne das Gerät ohne Sicherheitsverlust vom Netzwerk trennen. Lediglich ein- bis dreimal pro Jahr ersetze man den Agent durch eine neu trainierte Einheit. Laut Kreter erkennt aber auch ein zwei Jahre alter Agent noch alle heute gängigen Bedrohungen.
Die Lösung ist nach seinen Angaben multimandantenfähig und eignet sich damit auch für MSSPs (Managed Security Service Provider). Ein Dashboard zeige die aktuellsten Bedrohungen, gescannte Dateien, abgewehrte Angriffe oder auch generierte Events, zur Klassifizierung nutze man das Mitre-Att&ck-Framework. Per SysLog oder REST-API könne man die Software, wie branchenüblich, an SIEM- oder SOC-Lösungen anbinden.
- Das Kind noch vor dem Brunnen stoppen
- Problemfall Fehlalarme
Lesen Sie mehr zum Thema
