KI-Methoden sind aus der IT-Security nicht mehr wegzudenken. Doch längst hat auch die Gegenseite die Vorteile künstlicher Intelligenz entdeckt.
Verdächtige Aktivitäten im Netzwerk, Zero-Day-Exploits und unbekannte Malware-Varianten, Spear-Phishing-Mails und Social Engineering – KI-basierte Security-Lösungen spielen ihre Stärken vor allem bei solchen komplexen Bedrohungen und raffinierten Angriffen aus. Machine-Learning-Algorithmen und andere Methoden der künstlichen Intelligenz können nämlich in großen Datenmengen und bei komplexen Zusammenhängen Muster wesentlich schneller und zuverlässiger erkennen als menschliche Sicherheitsexperten. Es ist also kein Wunder, dass der Markt für KI-basierte IT-Security-Lösungen boomt. Marktforschern zufolge soll sich der Umsatz bis 2030 mehr als verzehnfachen.
KI und Machine Learning sind jedoch auch längst in den Fokus der Angreifer geraten, wie der Sophos 2020 Threat Report zeigt. Viele Ansätze sind aktuell zwar noch auf Forschungsprojekte beschränkt und wurden bei echten Angriffen noch nicht beobachtet. Die Zahl der Cyberattacken, bei denen erkennbar KI zum Einsatz kommt, steigt jedoch. In folgenden Bereichen könnten KI und maschinelles Lernen in Zukunft vermehrt für Angriffe eingesetzt werden:
Spear Phishing
Gezielte, auf eine Person zugeschnittene Phishing-Botschaften zu entwerfen, ist aufwendig und zeitraubend. Die Angreifer müssen zunächst Webseiten, Social-Media-Kanäle und kompromittierte E-Mail-Accounts nach relevanten Informationen durchsuchen, diese analysieren, ein Profil der Zielperson erstellen und geeignete Trigger-Botschaften entwickeln. Wie sich dieser Aufwand mit Machine Learning drastisch reduzieren lässt, zeigen Tools wie SNAP_R und Social Mapper. Beide sind auf GitHub für Forschungs- und Pentest-Zwecke verfügbar. SNAP_R analysiert die Twitter-Timeline eines potenziellen Opfers und generiert aus den Informationen passende Spear-Phishing-Tweets. Im Wettbewerb mit einem menschlichen Security-Experten konnte SNAP_R sechs Mal mehr Tweets pro Minute produzieren und fünf Mal mehr Nutzer zum Klick auf den Phishing-Link motivieren.
Auch Social Mapper kann die Effizienz eines Angriffs deutlich steigern. Das Tool verwendet maschinelle Gesichtserkennung, um Nutzer über Social-Media-Kanäle hinweg zu identifizieren und so die einzelnen Profile zusammenführen zu können. Angreifer können sich so sehr schnell und einfach ein Bild über alle Internetaktivitäten eines potenziellen Opfers machen.
Erpressung
Einer Studie von Risk Based Security zufolge wurden 2020 mehr als 37 Milliarden Datensätze gestohlen. Für die Diebe stellt es natürlich eine große Herausforderung dar, diese Datenmassen auf verwertbares Material zu durchforsten, um Betroffene beispielsweise mit kompromittierenden Bildern oder Nachrichten erpressen zu können.
Auch hier kann die KI helfen. Das von Yahoo entwickelte Tool „open_nsfw“ nutzt beispielsweise neuronale Netze, um Inhalte zu identifizieren, die „NSFW“ (Not Suitable for Work) sind, und die man daher nicht auf einem Arbeitsrechner öffnen oder speichern sollte. So vorgefiltert können Kriminelle erbeutete Daten wesentlich effizienter durchsuchen und die gefundenen kompromittierenden Inhalte für Erpressungsversuche nutzen.
Ausweichmanöver
Cyberkriminelle arbeiten ständig daran, Abwehrmaßnahmen zu unterlaufen und auszutricksen. Beim Kampf gegen KI-basierte Erkennungssysteme hilft es beispielsweise, Malware-Dateien so mit nichtfunktionalem Code zu erweitern, dass sie für Machine-Learning-Modelle harmlos erscheinen.
Wie das funktionieren kann, hat das IT-Security-Unternehmen Skylight am Beispiel der KI-basierten Antivirus-Software von Cylence demonstriert. Bei der Analyse des zugrundeliegenden Machine-Learning-Modells fiel den Forschern dessen Klassifizierung von Computerspielen auf. Programmdateien von Spielen wurden als harmlos eingestuft. Die Forscher konnten daraufhin Malware vor der Erkennung schützen, indem sie Strings aus den ausführbaren Dateien eines Computer-Games an den Schadcode anhängten.
Deepfakes
Bei der sogenannten generativen KI werden neuronale Netze dazu verwendet, Artefakte wie Bilder, Töne oder Texte zu erstellen. Die Leistungen, die hier bereits erzielt wurden, sind erstaunlich. KI schreibt Sportberichte und Börsennachrichten, die sich kaum von menschlichen Texten unterscheiden lassen, entwirft Drehbücher für Filme und komponiert Streichquartette.
Cyberkriminelle machen sich die Fähigkeiten der generativen KI für sogenannte „Deepfakes“ zunutze – einem Kofferwort aus „Deep Learning“ für die verwendete Machine-Learning-Methode und „Fake“, also Fälschung. Die automatisch generierten Videos oder Sprachaufnahmen ähneln den Bildern oder Äußerungen einer realen Person zum Teil so sehr, dass Menschen kaum mehr einen Unterschied erkennen können. Sophos prognostiziert, dass Deepfakes in den kommenden Jahren zu mehr automatisierten Social-Engineering-Angriffen führen werden – ein Phänomen, das der Security-Spezialist als „Wetware“-Attacken bezeichnet.
Machine Learning und andere KI-Methoden haben nicht nur die IT-Sicherheit revolutioniert, sie werden auch zunehmend von der Gegenseite eingesetzt. Unternehmen müssen daher ständig nachrüsten, um den Cyberkriminellen Paroli bieten zu können. Security-Lösungen wie Intercept X , Intercept X for Server und XG Firewall von Sophos sind auf dem neuesten Stand der KI-Technik. Kombiniert mit einem 24/7-Service wie Managed Threat Response bieten sie daher modernsten Schutz gegen die neuen intelligenten Bedrohungsszenarien.