Meldung

Vernetzte Angreifer

Ransomware gehört zu den besonders variantenreichen Angriffstaktiken im Bereich Cyber-Kriminalität. Die jüngsten Entwicklungen um einen neuen Bedrohungsakteur sind Gegenstand der aktuellen Forschungsergebnisse von BlackBerry. Dessen Research and Intelligence-Team hat jüngst eine ungewöhnliche Verbindung zwischen den Aktionen dreier verschiedener Bedrohungsgruppen aufgedeckt, in deren Zentrum ein vierter Akteur namens Zebra2104 steht.
Die neueste Erkenntnis laut BlackBerry [1]: Die Cyber-Kriminellen vernetzen sich untereinander, tauschen sich aus, entwickeln immer wieder neue Schadsoftware und überarbeiten die eigenen Phishing-Methoden. Wie geschickt Cyber-Kriminelle beim Einschleusen von Malware in fremde Netzwerke vorgehen, zeigt der Umstand, dass KI- und ML-Anwendungen inzwischen nachweislich in der Lage sind, bessere Phishing-Mails zu verfassen als ein Mensch.

Damit stellt sich die Frage, ob intelligente Systeme perspektivisch nicht die gefährlicheren Hacker sind. Woran sich bei aller fortschreitenden Entwicklung im Segment Bedrohungsszenarien wenig ändert, ist das Erfordernis an IT-Sicherheitsexperten, den Angreifern möglichst immer den entscheidenden Schritt voraus zu sein, um Attacken wirksam zu vereiteln.

Angriffen gezielt mit Clustering und Klassifizierung begegnen
Wenn Angreifer zunehmend auf KI und ML setzen, wie es verlässliche Analysen bestätigen, sind Unternehmen im Umkehrschluss gut beraten, zur Abwehr erstklassige Tools einzusetzen, die ebenfalls auf KI- und ML-Technologien basieren. Beispiel Clustering-Analyse: Ihr Zweck besteht darin, Daten-Samples auf Grundlage zuvor unbekannter Ähnlichkeiten zwischen ihren Hauptmerkmalen oder -attributen in diskrete Gruppen oder Cluster einzuteilen. Je ähnlicher die Stichproben sind, desto wahrscheinlicher ist es, dass sie demselben Cluster angehören. Die auf KI und ML basierenden Modelle von Cylance basieren etwa auf über 1,4 Billionen Daten, knapp 20 Milliarden Merkmale wurden bislang extrahiert und werden in das Datenmodell eingeflochten.

Menschen erleben die Welt in drei räumlichen Dimensionen. Dadurch wird es möglich, die Entfernung zwischen zwei beliebigen Objekten durch Messung der Länge der kürzesten geraden Linie zu bestimmen, die sie verbindet. Clustering-Algorithmen funktionieren ganz einfach dadurch, dass sie Daten-Samples Koordinaten in einem Merkmalsraum zuweisen und den Abstand zwischen ihnen messen.

Nach Abschluss der Analyse wird den Sicherheitsexperten eine Reihe von Clustern mit unterschiedlicher Anzahl von Inhalten präsentiert. Da bösartiges Verhalten selten vorkommt, werden die Cluster mit der größten Anzahl von Samples im Allgemeinen mit gutartigen Aktivitäten in Verbindung gebracht. Cluster mit wenigen Inhalten können auf anormale, potenziell bösartige Aktivitäten hinweisen, die eine weitere Analyse erfordern. Insofern funktioniert Clustering als mathematisch strenger Ansatz zur Erkennung von Mustern und Beziehungen zwischen Netzwerk-, Anwendungs-, Datei- und Benutzerdaten, die auf andere Weise nur schwer oder gar nicht zu erkennen sind.

Klassifizierung von Merkmalen
Im Bereich der Sicherheit ermöglicht eine systematische Klassifizierung von Merkmalen die Vorhersage, ob eine E-Mail als Spam eingestuft werden sollte, beziehungsweise ob eine Netzwerkverbindung gutartig ist oder zu einem Botnet gehört. Im ML-Kontext werden die verschiedenen Algorithmen, die zur Kategorisierung verwendet werden, als Klassifikatoren bezeichnet.

Um ein genaues Klassifizierungsmodell zu erstellen, benötigen Datenwissenschaftler eine große Menge an markierten Daten, die korrekt erfasst und kategorisiert wurden. Die Stichproben werden dann in der Regel in zwei oder drei verschiedene Sätze für Training, Validierung und Test aufgeteilt. Als Faustregel gilt: Je größer die Trainingsmenge ist, desto wahrscheinlicher ist es, dass der Klassifikator ein genaues Modell erstellt, mit dem sich verlässliche Zuordnungen treffen lassen.

Entwicklung smarter Abwehrstrategien
Die beiden genannten Beispiele liefern einen Einstieg in die Welt der Tools und Prozesse, die Data Scientists bei BlackBerry aktuell zur Lösung komplexer Cyber-Sicherheitsherausforderungen einsetzen. Was im Einzelfall den entscheidenden Unterschied macht, sind die Expertise der Entwickler sowie der ständig wachsende Bestand an proprietären Sicherheitsdaten, die zur Modellbildung zur Verfügung stehen. Dank dieser Ressourcen können versierte Experten Herausforderungen in puncto Sicherheit richtig einordnen und Lösungen entwickeln, die Unternehmen dabei helfen, ihre Cyber-Risiken zu minimieren und ihre Widerstandsfähigkeit zu optimieren.
12.01.2022/dr

Tipps & Tools

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [27.01.2022]

Immer neue erfolgreiche Ransomware-Attacken lassen nicht zuletzt angesichts des oft enormen materiellen Schadens aufhorchen, den ihre Opfer erleiden – und der sich für die betroffenen Organisationen bis zur Überlebensfrage ausweiten kann. Eine junge Verteidigungsstrategie gegen die Erpresser ist die Zero-Trust-Segmentierung, die unser Fachartikel vorstellt. Dabei erfahren Sie unter auch, wie es die Mikrosegmentierung im Zusammenspiel mit einer Livekarte vermag, den modernen Cybergefahren mehr Granularität und Flexibilität entgegenzusetzen, als das die traditionellen Werkzeuge schaffen. [mehr]

KMU-Strategien gegen Ransomware [20.01.2022]

Kriminelle finden immer schneller Möglichkeiten, um mit Ransomware und vielen anderen Angriffsarten Sicherheitsvorkehrungen zu knacken – und haben damit bei zahlreichen KMU leichteres Spiel, die mit der Planung und Ausführung entsprechender IT-Sicherheitsmaßnahmen hinterhinken. Deshalb thematisiert unser Onlinebeitrag unter anderem, wie sich Mittelständler aus einer riskanten abwartenden Haltung befreien und sich mit der richtigen Cybersecurity-Strategie vor Bedrohungen aus dem Netz schützen. [mehr]

Fachartikel

Mehr Cloudsicherheit durch Zero-Trust-Segmentierung [26.01.2022]

Die jüngsten Ransomware-Attacken lassen aufhorchen. Über Nacht wurden gut aufgestellte Firmen zu Fall gebracht und Millionenwerte vernichtet. Gerade wenn sich Lieferverträge in einer Just-in-time-Lieferkette nicht einhalten lassen, gerät der entstandene Schaden schnell zu einer Überlebensfrage. Warum Zero-Trust-Segmentierung der neue Standard gegen Erpresser ist und im Zusammenspiel mit einer Livekarte dabei hilft, Risiken zu minimieren und Applikationen gegen Angriffe zu sichern, verdeutlicht dieser Fachartikel. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen