Neue KI-Ansätze

Edge Computing: Modernste Sicherheit gegen Zero-Day-Angriffe

Uhr
von Sergio Peleato, Chief Business Officer – Business Unit Cloud, Teldat Gruppe

Im traditionellen Ansatz für die Erkennung von Bedrohungen und Angriffen wird auf bekannte Bedrohungen reagiert. Neue KI-Ansätze befassen sich jedoch mit Früherkennungsmodellen, die an den Netzwerkgrenzen ausgeführt werden, um unbekannte Angriffe und Schwachstellen zu verhindern.

Sergio Peleato, Chief Business Officer – Business Unit Cloud, Teldat Gruppe. (Source: zVg)
Sergio Peleato, Chief Business Officer – Business Unit Cloud, Teldat Gruppe. (Source: zVg)

Bisher funktioniert IT-Sicherheit durch die Kategorisierung und Auflistung bekannter Bedrohungen. Obwohl sich diese Methoden wiederholt als wirksam gegen herkömmliche Angriffe erwiesen haben, gab es zwischen dem Auftauchen einer neuen Bedrohung und der Aktualisierung der Sicherheitssysteme immer eine Sicherheitslücke, sodass Bedrohungen eindringen konnten. Mit diesem Ansatz konnten Sicherheitsfirmen nur wenig tun, um Kunden vor neuen Angriffen zu schützen, ausser zu versuchen, das Zeitfenster zwischen der Bedrohungserkennung und der Aktualisierung der Endsysteme zu verkleinern.

Seit dem Aufkommen von KI-Systemen gibt es jedoch einen neuen Ansatz zur Lösung dieses Problems. KI ist in der Lage, Bedrohungen nicht anhand von Hashtags oder Listen, sondern anhand von Verhaltensmustern zu bewerten. Dieser Ansatz erfordert neue Reaktionsmechanismen, um Alarme auszulösen, bietet aber auch eine neue Sicherheitsebene, um Organisationen agil vor Zero-Day-Angriffen zu schützen.

Dazu wird zunächst ein markierter Datensatz mit bekannten Bedrohungen in Aktion erstellt. Dabei kann es sich entweder um allgemeine oder bestimmte Angriffsarten handeln. In einem Honeypot-System werden dann Verhalten von Organisationen imitiert und Angriffe simuliert. Da es sich dabei um kontrollierte Angriffe handelt, können durch die Kennzeichnung der Netzwerk- und Protokolldaten der unentdeckte Angriff und die Auswirkungen auf das System nachverfolgt werden (Grafik Stufe 1).

(Source: zVg)

Sobald ein ausreichend grosser Datensatz aufgebaut ist, kann das Training beginnen. Mithilfe eines künstlich erzeugten Datensatzes und unter Verwendung von Oversampling-Methoden wird die KI so trainiert, dass sie Angriffe anhand von bisher unbekannten Mustern erkennt und darauf mit einer Alarmmeldung reagiert. Mit dem föderalen Lernen scheint sich aktuell eine Alternative zum Oversampling zu etablieren. Durch die Zusammenarbeit von Organisationen und je nach Modell und Teilnehmern des föderalen Netzwerks erwies sich dieser Ansatz als erfolgreich.

Diese Modelle können zentral oder dezentral ausgeführt werden, beide Ansätze sind technisch möglich. Angesichts der erforderlichen Rechenleistung und der damit verbundenen Herausforderungen bei der Übermittlung aller benötigten Informationen an eine zentrale Stelle, insbesondere in grossen Organisationen, scheint der Markt den Edge-Computing-Ansatz zu bevorzugen. Das Beispiel in Stufe 3 zeigt ein Machine-Learning-Modell zur Angriffserkennung auf der Grundlage von Netzwerkdaten. Mit Edge-Computing kann dieses Modell auf dem Router ausgeführt und Netzwerkmuster in jeder beliebigen Umgebung überwacht werden. Kommt es etwa zu einem Wannacry-Angriff, wäre das KI-Modell in der Lage, eine Anomalie in den Netzwerkdaten zu erkennen und einen Alarm auszulösen. Damit haben Sicherheitsabteilungen die Möglichkeit, auf den Angriff zu reagieren, auch wenn ein solcher Angriff noch nie festgestellt wurde.

Webcode
DPF8_248862