Wenn Cyberkriminelle KI und ML einsetzen, sollten das die Institute auch

Mit Ransomware verhält es sich ähnlich wie mit Coronaviren. Sie mutieren. Das BSI gibt an, dass täglich mehr als 400.000 neue Typen entwickelt werden – Tendenz steigend. Blackberry habe zudem herausgefunden, dass Cyber-Kriminelle sich untereinander vernetzen, austauschen und sogar KI/ML einsetzen, um Schadsoftware und Phishing-Methoden möglichst effektiv weiterzuentwickeln.

Wie geschickt Cyber-Kriminelle beim Einschleusen von Malware in fremde Netzwerke vorgehen, zeige der Umstand, dass KI- und ML-Anwendungen inzwischen nachweislich in der Lage sind, bessere Phishing-Mails zu verfassen als ein Mensch. Damit stelle sich die Frage, ob intelligente Systeme perspektivisch nicht die gefährlicheren Hacker sind.

Angriffen gezielt mit Clustering und Klassifizierung begegnen

Wenn Angreifer zunehmend auf künstliche Intelligenz setzen, sollten laut Blackberry (Website) auch Unternehmen zur Abwehr auf KI- und ML-Technologien setzen – in anderen Worten Feuer mit Feuer bekämpfen. Ein Beispiel sei die Clustering-Analyse: Ihr Zweck bestehe darin, Daten-Samples auf Grundlage zuvor unbekannter Ähnlichkeiten zwischen ihren Hauptmerkmalen oder -attributen in diskrete Gruppen oder Cluster einzuteilen. Je ähnlicher die Stichproben sind, desto wahrscheinlicher ist es, dass sie demselben Cluster angehören. Die auf KI und ML basierenden Modelle von Cylance (jetzt Blackberry Cybersecurity) würden etwa auf über 1,4 Billionen Daten basieren.

Knapp 20 Milliarden Merkmale wurden bislang extrahiert und werden kontinuierlich in das Datenmodell eingeflochten.”

Ein Schaubild soll helfen: Menschen erleben die Welt in drei räumlichen Dimensionen. Dadurch wird es möglich, die Entfernung zwischen zwei beliebigen Objekten durch Messung der Länge der kürzesten geraden Linie zu bestimmen, die sie verbindet. Clustering-Algorithmen funktionieren ähnlich im virtuellen Raum; sie weisen Daten-Samples Koordinaten in einem Merkmalsraum zu und messen dann den Abstand zwischen ihnen. So entstehen Cluster aus den Datensätzen, die besonders nah beisammen liegen.

Nach Abschluss der Analyse werde den Sicherheitsexperten eine Reihe von Clustern mit unterschiedlicher Anzahl von Inhalten präsentiert.”

Da bösartiges Verhalten eher selten vorkomme, werden die Cluster mit der größten Anzahl von Samples im Allgemeinen mit gutartigen Aktivitäten in Verbindung gebracht. Cluster mit wenigen Inhalten könnten auf anormale, potenziell bösartige Aktivitäten hinweisen, die eine weitere Analyse erfordern. Insofern funktioniert Clustering als mathematisch strenger Ansatz zur Erkennung von Mustern und Beziehungen zwischen Netzwerk-, Anwendungs-, Datei- und Benutzerdaten, die auf andere Weise nur schwer oder gar nicht zu erkennen sind.

Klassifizierung von Merkmalen

Im Bereich der Sicherheit ermögliche eine systematische Klassifizierung von Merkmalen die Vorhersage, ob eine E-Mail als Spam eingestuft werden sollte, beziehungsweise ob eine Netzwerkverbindung gutartig ist oder zu einem Botnet gehört.

Im ML-Kontext würden die verschiedenen Algorithmen, die zur Kategorisierung verwendet werden, als Klassifikatoren bezeichnet.”

Um ein genaues Klassifizierungsmodell zu erstellen, benötige man eine große Menge an markierten Daten, die korrekt erfasst und kategorisiert wurden. Die Stichproben werden dann in der Regel in zwei oder drei verschiedene Sätze für Training, Validierung und Test aufgeteilt. Wie immer gilt: Je größer die Trainingsmenge ist, desto wahrscheinlicher ist es, dass der Klassifikator ein genaues Modell erstellt, mit dem sich verlässliche Zuordnungen treffen lassen.ft