Im Englischen gibt es ein Sprichwort, das die moderne Vorgehensweise der Malware-Erkennung auf den Punkt bringt: „If it smells like a fish, looks like a fish and acts like a fish, then it is probably a fish“. Marc Lueck, CISO EMEA bei Zscaler, beschreibt wie Künstliche Intelligenz schon heute ihre Stärken ausspielen kann, indem sie das, was wie Malware aussieht, tatsächlich auch als Malware behandelt.

Wenn etwas riecht wie ein Fisch, aussieht wie ein Fisch und sich wie ein Fisch verhält, ist es wahrscheinlich auch ein Fisch. Dieses Prinzip ist die Grundlage für die meisten modernen Mechanismen zur Erkennung von Cyber-Angriffen, auf das auch künstliche Intelligenz (KI) setzt.  Denn diese Aussage gilt nicht nur für Fisch, sondern ebenso für Phishing und Malware im Allgemeinen.

Allerdings gibt es einen wichtigen Unterschied im Fischfang mit der Angelrute oder mit einem engmaschigen Netz, wie KI. Die Skalierbarkeit entscheidet über den Erfolg des Fangs. Künstliche Intelligenz setzt dabei auf die Anwendung eines menschlichen, logischen Entscheidungsprozesses, um Malware aufzuspüren. Der gravierende Unterschied liegt allerdings in der Geschwindigkeit und der Menge der Verarbeitung von Informationen.

Ein Mensch, dem all die Informationen eines KI-Systems zur Verfügung stehen, kann ziemlich einfach eine Entscheidung hinsichtlich potenzieller Malware innerhalb eines bestimmten Zeitrahmens treffen. Für dieses Zeitfenster sind allerdings Minuten oder gar Stunden anzusetzen. Allerdings stehen diese Informationen meist nicht in einer Form zur Verfügung, die für den Menschen konsumierbar ist, zumindest nicht ohne weitere Aufbereitung.

Im Gegensatz dazu ist KI richtig gut darin, Entscheidungen auf Basis einer Bandbreite an Daten in ihrer nativen Form zu treffen, die ein Mensch nicht in der nötigen Geschwindigkeit erkennen kann. Die künstliche Intelligenz fällt diese Entscheidungen innerhalb von Millisekunden.

Dementsprechend spielt heute die künstliche Intelligenz in der Malware-Erkennung eine wichtige Rolle, menschenähnliche Entscheidungen zu fällen und der Software darauf aufbauend Festlegungen für Handlungsanweisungen zu programmieren. Dazu zählt auch die Fähigkeit anhand davon, wie etwas aussieht oder sich anfühlt zu erkennen, ob es sich um Malware handelt.

KI: Auf die Geschwindigkeit kommt es an
Einige der erfolgreichen Cyberkriminellen setzen auf KI und maschinelles Lernen, um ihre Tools so zu trainieren, dass sie Opfer noch erfolgreicher durch automatisierte Angriffe oder Social Engineering manipulieren und im Anschluss schneller - ohne langsame menschliche Interaktion - kompromittieren können. Um den Kampf mit einer Maschine aufzunehmen, ist eine Maschine erforderlich.

Deshalb tun Unternehmen gut daran, zur Erkennung und Abwehr von kriminellen Machenschaften mit der gleichen Intelligenz und Geschwindigkeit aufzuwarten. Es gilt dabei, ein System in die Lage zu versetzen, semi-menschliche Entscheidungen auf der Grundlage einer Vielzahl von Datenpunkten zu treffen. In der Korrelationsfähigkeit kann KI tatsächlich ihre Intelligenz ausspielen und zur schnelleren Erkennung von Malware beitragen.

In der Realität wartet eine global operierende Cloud-Sicherheitsplattform mit der nötigen Skalierbarkeit und Rechenleistung auf, um Entscheidungen nahezu in Echtzeit und damit mit der gefragten Effizienz zu treffen. Ein solcher Cloud-Ansatz kann darüber hinaus auf einen großen Daten-Pool zum Training der KI zugreifen, um den „Fisch-Test“ durchzuführen.

Es geht dabei nicht darum, dem System unnötige Komplexität beizubringen, sondern die entscheidenden (virtuellen) Merkmale – Aussehen und Geruch – zu vermitteln. Damit können weitere Kontext-Faktoren, wie beispielsweise Standort, abweichende Verhaltensmuster, Zeitfaktor eines Zugriffs auf Daten und Abgleich neu registrierter Domains angereichert werden.

Durch die Leistungsfähigkeit eines Cloud-Ansatzes und deren Fähigkeit zur Inline-Untersuchung der Datenströme kann Risikotransparenz fast in Echtzeit zur Verfügung gestellt werden. Noch bevor die Daten beim Mitarbeitenden ankommen, wird automatisch die Entscheidung gefällt, ob sich Malware darin verbirgt.

Durch den Inline-Scan lassen sich Reaktionszeiten für die Entscheidung hinsichtlich des Passierens von Datenströmen zum User verkürzen und potenzielle Malware blockieren, während echte Inhalte passieren dürfen. Das Training von KI-Modellen auf die entscheidenden Parameter zur Erkennung von Malware ersetzt den manuellen Drill der permanenten Verfolgung von Security-Alerts durch das IT-Team und die False/Positive-Rate lässt sich deutlich reduzieren.