Cyber-Bedrohungen 2019: Unternehmen sollten auf Automatisierung und künstliche Intelligenz setzen

Cyber-Angriffe werden intelligenter und ausgereifter

Viele Kriminelle bewerten Angriffstechniken nicht nur hinsichtlich ihrer Wirksamkeit. Vielmehr ist ihnen auch wichtig, wie viel Aufwand erforderlich ist, um sie zu entwickeln, zu modifizieren und umzusetzen. Demzufolge lassen sich einige Angriffe durch Änderungen an Zuständigkeiten, Prozessen und Technologien unterbinden. Eine Möglichkeit ist etwa, neue Technologien und Strategien wie maschinelles Lernen und Automatisierung im Unternehmen einzuführen. So lassen sich langwierige und zeitaufwendige Aufgaben automatisieren, die normalerweise ein hohes Maß an menschlicher Überwachung und Intervention erfordern. Diese neueren Verteidigungsstrategien wirken sich mit großer Wahrscheinlichkeit auf das Verhalten von Cyber-Kriminellen aus: Sie müssen ihre Angriffsmethoden ändern und stärker in die Entwicklung investieren. Um sich an den zunehmenden Einsatz von maschinellem Lernen und Automatisierung anzupassen, werden Cyber-Kriminelle in Zukunft aller Wahrscheinlichkeit nach, die folgenden Strategien verfolgen.

1. „Künstliche Intelligenz-Fuzzing“ (AIF) erleichtert Auffinden von Schwachstellen: Fuzzing ist eine hochentwickelte Technik, die in Laborumgebungen zur Erkennung von Schwachstellen in Hardware- und Softwareschnittstellen und -anwendungen eingesetzt wird. Dabei werden ungültige, ungewöhnliche oder halb zufällige Daten in eine Schnittstelle oder ein Programm eingeschleust und im Anschluss überprüft, ob Ereignisse wie Abstürze, undokumentierte Sprünge zu Debug-Routinen, fehlgeschlagene Code-Befehle und Speicherverluste auftreten. Mithilfe von Machine-Learning-Modellen wird diese Technik heute immer effizienter und individueller. Das bedeutet: Wenn Cyber-Kriminelle maschinelles Lernen nutzen, um automatisierte Fuzzing-Programme zu entwickeln, können sie Zero-Day-Schwachstellen schneller erkennen – folglich werden Zero-Day-Angriffen gegen verschiedene Programme und Plattformen zunehmen.

• Zero-Day-Mining mit AIF: Sobald AIF eingerichtet ist, kann auf den Code in einer kontrollierten Umgebung verwiesen werden, um Zero-Day-Exploits zu suchen. Dies wird die Geschwindigkeit, mit der Zero-Day-Exploits entwickelt werden, erheblich beschleunigen. Sobald dieser Prozess etabliert ist, wird auch "Zero-Day-Mining-as-a-Service" möglich, mit dessen Hilfe sich individuelle Angriffe auf einzelne Ziele erstellen lassen. Unternehmen müssen ihre Herangehensweise an Security also grundlegend ändern. Denn zukünftig lässt sich nicht vorhersagen, wann es zu einem Zero-Days kommt und wie man sich dagegen verteidigen kann. Isolierte und veraltete Security-Tools kommen in vielen Unternehmen erschwerend hinzu.

• Zero-Days zum kleinen Preis: In der Vergangenheit war der Preis für Zero-Day-Exploits sehr hoch – vor allem wegen des zeitlichen Aufwands und des Know-hows, das erforderlich ist, um sie aufzudecken. Doch da immer mehr KI-Technologie zum Einsatz kommt, werden solche Exploits immer mehr zu einem Massenprodukt. In der Vergangenheit haben Cyber-Kriminelle bereits Exploits wie Ransomware und Botnets einfach nutzbar gemacht und damit viele traditionelle Security-Lösungen an ihre Grenzen gebracht. In Zukunft wird die Anzahl verfügbarer Schwachstellen und Exploits rasant zunehmen – ebenso wie die Möglichkeit, Zero-Day-Exploits schnell zu erzeugen und als Service bereitzustellen. Dies wird sich auch auf die Kosten und unterschiedlichen Typen von Services auswirken, die im Dark Web verfügbar sind.

2. Swarm-as-a-Service wird marktfähig: Signifikante Fortschritte bei Angriffen, die auf Schwarmintelligenz aufbauen, bringen uns auch schwarmbasierten Botnets näher – auch als Hivenets bekannt. Es werden große Schwärme intelligenter Bots erzeugt, die kollaborativ und autonom arbeiten können. Genau wie das Zero-Day-Mining beeinflussen diese ebenfalls das zugrunde liegende Geschäftsmodell von Cyber-Kriminellen. Derzeit ist ihr Vorgehen noch sehr stark an den Faktor Mensch gebunden: Professionelle Hacker erstellen gegen eine Gebühr maßgeschneiderte Exploits. Doch sobald autonome, selbstlernende Swarms-as-a-Services auf dem Markt sind, sinkt die Anzahl der direkten Interaktionen zwischen Kunden und Hackern dramatisch.

• A-la-Carte Swarms: Schwarmbasierten Botnets verschiedene Aufgaben zuzuordnen, um ein gewünschtes Ergebnis zu erzielen, ist dem Konzept der Virtualisierung sehr ähnlich. In einem virtualisierten Netzwerk können Ressourcen flexibel hinzugezogen werden, um ein bestimmtes Problem wie etwa die Bandbreite zu adressieren. Das gleiche gilt für ein Schwarmnetzwerk: Hier lassen sich Ressourcen ebenfalls flexibel zu- oder umverteilt, um bestimmte Herausforderungen eines Cyber-Angriffs zu bewältigen. Heute programmieren Cyber-Kriminelle Schwarmnetzwerke mit einer Reihe von Analyse-Tools und Exploits bereits vor. In Kombination mit selbstlernenden Protokollen, mit denen die einzelnen Botnets Angriffsprotokolle als Gruppe verfeinern, macht dies den Kauf eines Cyber-Angriffs so einfach, wie von einem A-la-Carte-Menü zu wählen.

3. Manipulation von Machine Learning: Maschinelles Lernen ist eines der vielversprechendsten Werkzeuge im defensiven Security Toolkit. Security-Lösungen und -systeme können so trainiert werden, dass sie bestimmte Aufgaben autonom ausführen, zum Beispiel Baselining, Bedrohungsanalysen oder das Patchen von Geräten. Leider kann dieser Prozess auch von Cyber-Kriminellen ausgenutzt werden. So können sie etwa Geräte oder Systeme so manipulieren, dass sie keine Patches oder Updates mehr fahren, bestimmte Anwendungen oder Befehle ignorieren oder bestimmten Datenverkehr nicht protokollieren, um keine Spuren zu hinterlassen. Dies wird einen großen Einfluss auf die Zukunft des maschinellen Lernens und KI-Technologie haben.

Unternehmen müssen ihre Verteidigungsstrategien weiterentwickeln
Um diesen Entwicklungen entgegenzuwirken, müssen Unternehmen die Hürden für Cyber-Kriminelle weiter erhöhen. Die beiden folgenden Verteidigungsstrategien wirken sich auf Cyber-Kriminelle aus und zwingen sie, ihre Taktik zu ändern, Angriffe neu zu konfigurieren und neue Wege zur Bewertung von Möglichkeiten zu entwickeln. Dadurch werden sich die Kosten für Angriffe auf Seiten von Cyber-Kriminellen erhöhen. So müssen sie entweder mehr Ressourcen für das gleiche Ergebnis aufwenden oder ein besser zugängliches Unternehmens-Netzwerk finden, das sie ausnutzen können.

• Täuschungsmanöver: Eine Möglichkeit ist die Einbindung von Täuschungen in die Security-Strategie. Dabei werden Netzwerk-Variationen eingeführt, die auf falschen Informationen basieren. So sind Angreifer gezwungen, ihre Bedrohungsdaten ständig zu überprüfen. Sie müssen Zeit und Ressourcen aufwenden, um Fehlalarme zu erkennen und um sicherzustellen, dass die vernetzten Ressourcen, die sie sehen, tatsächlich echt sind. Angriffe auf falsche Netzwerk-Ressourcen können sofort erkannt werden und lösen automatisch Gegenmaßnahmen aus. Daher müssen Angreifer selbst bei der Anwendung grundlegender Taktiken, wie der Untersuchung eines Netzwerks, sehr vorsichtig vorgehen.

• Unified Open Collaboration: Eine der einfachsten Möglichkeiten für einen Cyber-Kriminellen, um maximalen Gewinn aus einem bestehenden Cyber-Angriff zu erwirtschaften und gleichzeitig nicht erkannt zu werden, besteht darin, eine geringfügige Änderung vorzunehmen – etwa der IP-Adresse. Ein wirksamer Weg, um solche Änderungen zu erkennen, ist der fortlaufende und aktive Austausch von Bedrohungsinformationen. So bleiben Security-Anbieter und Kunden stets auf dem neuesten Stand und können die aktuelle Bedrohungslandschaft besser einschätzen. Mit Unified Open Collaboration zwischen Forschungsinstituten für Cyber-Bedrohungen, Industrieverbänden, Security-Anbietern und Strafverfolgungsbehörden können Cyber-Bedrohungen wesentlich schneller erkannt werden. Denn so lassen sich die von Angreifern verwendeten Taktiken offenlegen und teilen.

Um mit der zunehmenden Komplexität von Bedrohungen fertig zu werden, müssen Unternehmen alle Security-Elemente integrieren und den Informationsaustausch automatisieren, um schnell und angemessen zu reagieren. Die Integration von Point-Produkten, die im gesamten verteilten Netzwerk eingesetzt werden, in Kombination mit strategischer Segmentierung wird erheblich dazu beitragen, zunehmend intelligente und automatisierte Angriffe abzuwehren.

Derek Manky, Chief, Security Insights & Global Threat Alliances, Fortinet:

„Bei Tools und Diensten für Cyber-Kriminelle kommen zunehmend Automatisierung und Vorläufer von künstlicher Intelligenz zum Einsatz. Organisationen müssen ihre Strategie daher überdenken. Es gilt, Bedrohungen besser vorherzusehen und sie wirtschaftlich unrentabel zu machen. So können wir Cyber-Kriminelle zurück an das Zeichenbrett zwingen. Anstatt Security-Lösungen immer weiter aufzurüsten, müssen Unternehmen Automatisierung und künstliche Intelligenz einsetzen, um die Zeitfenster zwischen Eindringen und Erkennung sowie zwischen Erkennung und Bekämpfung zu verkleinern. Dies lässt sich erreichen, indem Security-Elemente miteinander integriert werden. So können sie Bedrohungsinformationen dynamisch austauschen und Transparenz über jedes Netzwerksegment hinweg bieten – von IoT bis hin zu Multi-Clouds.“