Startseite > Security > Schockwellen erkennen

KI deckt die Spuren von Cyberangriffen auf

Schockwellen erkennen

4. Juli 2022, 7:00 Uhr | Paul Smit/jos

Untypisches Mapping verschiedener Domänen zu einzelnen IP-Adressen lässt sich mit einer ML-trainierten KI erkennen. Dies zeigt einen typischen Mechanismus von Malware zum Tarnen der C&C-Kommunikation.

Cyberangreifer agieren auf verschiedene Weisen: Ihre Malware schlägt entweder sofort zu, oder sie nistet sich erstmal in einem Endpunkt ein. Sofort zu sehen ist sie in jedem Fall über den Datenverkehr im Netz, den sie verursacht. Die Spuren zu lesen, um die wirklichen Angriffe zu erkennen, erfordert eine intelligente Analyse der ein- und ausgehenden Datenpakete. Künstliche Intelligenz (KI) und Machine Learning (ML) erkennen feinkörnig ein Abweichen vom Normalmodell eines unternehmenstypischen Datenverkehrs.

Jede Organisation erzeugt einen persönlichen Fingerabdruck in ihrem Netzverkehr. Dafür sorgen ihr Aufbau, ihre Standorte, der Grad der Home-Office-Nutzung sowie alle Applikationen, Daten oder Cloud-Dienste, die zum Einsatz kommen. Diese Struktur und Zugriffsweisen definieren ein Muster sowie die typische Frequenz und den Umfang des ein- und ausgehenden Verkehrs, der die Netzwerkperimeter überschreitet (Nord/Süd-Verkehr) sowie des internen Verkehrs (Ost/West). Künstliche Intelligenz erkennt bereits anhand der Metadaten das normale Verhaltensprofil im Datenverkehrs eines Unternehmens – und im Abgleich jede davon abweichende und damit verdächtige Anomalie.

Lebenslanges Lernen

Neue Prozesse, Mitarbeiter, Filialen und Geräte – wie etwa ständig hinzukommende Sensoren von Hardware im Internet der Dinge – verändern die Blaupause des Datenaustausches kontinuierlich. Dies ist etwa der Fall, wenn eine Unternehmensabteilung für ihre Abläufe auf einen neuen Cloud-Dienst zurückgreift und daher neue Datenströme auslöst. Diese neuen Muster sind jedoch ebenso zu erkennen, zu definieren und als legitim zuzulassen. Dass diese Aktivitäten legitim sind, muss die künstliche Intelligenz lernen. Dafür benötigt sie die menschliche Hilfe von Sicherheitsanalysten.

Aufgabenteilung

Zentrale Aufgabe der künstlichen Intelligenz ist es, legitime von gefährlichen Anomalien zu unterscheiden. Denn auch die Hacker, die in eine IT-Infrastruktur eindringen, prägen den Datenverkehr: Durch das Installieren des Schadcodes, durch das Bewegen im Netz oder durch das Empfangen von Befehlen des Command-and-Control-Server (C&C-Server) mitsamt Rückantwort – und nicht zuletzt durch das Exfiltrieren von Informationen. Mit neuen Varianten alter Angriffe oder mit neuen Möglichkeiten, ihr Vorgehen zu tarnen, verändern Cyberkriminelle den Abdruck ihrer früheren Angriffe im Datenverkehr aber ständig. Eine KI hat also nicht nur ein einmal definiertes Normalmodell mit dem Ist-Zustand abzugleichen. Sie muss auch erkennen können, ob ein neues Muster einer bereits bekannten Anomalie zuzurechnen ist. Darauf aufbauend lassen sich die einschlägigen Gegenmaßnahmen für diese Angriffe starten.