com!-Academy-Banner

Gefahrenabwehr mit KI-Unterstützung

Authentifizierung von Nutzern

von - 14.10.2020
Um zu verhindern, dass Angreifer die Rolle eines rechtmäßigen Nutzers übernehmen, setzen Unternehmen bereits seit einigen Jahren Künstliche Intelligenz und maschinelles Lernen beim Authentifizieren und Authentisieren von Nutzern ein. „Diese Technologien, in Verbindung mit Lösungen für die Authentisierung von Nutzern, ermöglichen es, benutzerfreundliche Sicherheitskonzepte aufzubauen. Ein Beispiel ist die Absicherung von Transaktionen beim Online-Banking“, erläutert beispielsweise Stephan Schweizer, CEO des IT-Sicherheitsunternehmens Nevis Security aus Zürich.
Bei solchen und vergleichbaren Lösungen, etwa für das Identity- und Access-Management (IAM), wird maschinelles Lernen verwendet, um ein verhaltensbiometrisches „Scoring“ von Nutzern umzusetzen. Eine Authentisierungslösung erstellt dazu im Rahmen von Online-Sessions ein Profil eines Nutzers. Ein Finanzdienstleister kann dieses Profil bei der Prüfung von Zahlungen verwenden. Weichen die Schreibgeschwindigkeit des Nutzers oder der Druck auf dem Touchscreen eines Smartphones erheblich vom Profil des Kunden ab, erfolgt eine manuelle Überprüfung der Transaktion durch einen Mitarbeiter.

Datenverkehr überwachen

Zu den Einsatzfeldern, die sich in besonderem Maß für KI- und ML-gestützte Sicherheitssysteme eignen, zählt die Überwachung des Netzwerkverkehrs. Nach Einschätzung des Beratungshauses Gartner erfassen solche NDR-Systeme (Network Detection and Response) den Datenverkehr in einem Unternehmensnetzwerk in Echtzeit. Durch ein sogenanntes Baselining der Verkehrsmuster wird der Normzustand des Netzwerks ermittelt. Mit Hilfe von Machine Learning sind die Systeme dann in der Lage, Anomalien zu entdecken und die IT-Abteilung zu informieren.
Wichtig bei NDR-Lösungen sind Funktionen, die auf eine Attacke automatisch reagieren oder zumindest manuelle Gegenmaßnahmen durch Administratoren erlauben. Doch da­ran, inwieweit ein KI- beziehungsweise ML-Algorithmus eigenständig auf einen Angriff reagieren darf, scheiden sich die Geister. Christine Schönig von Check Point Software sieht keinen Interessenkonflikt zwischen Mensch und Maschine: „Die Entscheidungskontrolle durch den Fachmann wird nicht aus der Hand gegeben, sondern durch qualifizierte Informationen erhöht.“
Thierry Karsenti
Thierry Karsenti
VP Systems Engineering - EMEA bei Palo Alto Networks
www.paloaltonetworks.de
Foto: Palo Alto Networks
„KI- und ML-gestützte Technologien werden immer wichtiger, weil sie sich durch die
Bewältigung unbekannter Angriffe und hochgradig evasiver Bedrohungen auszeichnen.“
Dagegen sieht Achim Freyer von Rubrik nach wie vor bei IT-Fachleuten den Wunsch, selbst zu entscheiden, was bei verdächtigen Aktivitäten im Netzwerk zu tun ist: „IT-Experten befürworten den Einsatz von KI- und ML-basierten IT-Sicherheitslösungen, wollen aber meistens die Möglichkeit eines manuellen Eingriffs nicht missen. Hinweise und Vorschläge seitens einer derartigen Lösung sind erwünscht, jedoch präferieren die meisten Benutzer, den letzten Klick dann doch noch selbst auszuführen.“
Thierry Karsenti von Palo Alto Networks wiederum sieht sehr wohl eine Tendenz, dass IT-Security-Lösungen eigenständig und vollautomatisch auf Bedrohungen reagieren, dies allerdings nur bei Aktionen, „die keine Validierung durch Menschen erfordern“.

Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1)

Anbieter

Lösung

Details

BlackBerry Cylance

Cylance AI Platform

Diverse KI-basierte Lösungen und Services für Endpoint Protection, Threat Hunting, Root Cause Analysis, Antivirus-Funktionen; auch als gemanagte Services verfügbar

BlackBerry Spark

Spark UES Suite

KI-gesteuerte Endpoint Protection, Detection & Response, integrierte Mobile Threat
Defense, kontinuierliche Authentifizierung, adaptive Risikobewertung und dynamische Richtlinienübernahme

Blue Hexagon

Blue Hexagon

Lösung für Network Detection and Response mit Deep-Learning-Funktion; Anbindung an Endpoint-Security-Lösungen, SIEM-Systeme und Firewalls anderer Anbieter möglich; automatische Reaktion auf Angriffe möglich; auch für Schutz von Cloud-Umgebungen von AWS und Microsoft Azure verfügbar

Broadcom (Symantec)

Integrated Cyber Defence

Plattform für Endpoint Security, Netzwerksicherheit, Schutz von Identities und Informationsbeständen; als Cloud-Service oder für Implementierung On-Premise und in Hybrid Clouds; Anbindung an Security-Lösungen von Drittanbietern; KI-basierte Threat-Intelligence-Funktion über Global Intelligence Network

Callsign

Callsign Platform

Plattform für Authentifizierung und Authentisierung von Usern; Basis: Intelligence Engine mit Machine-Learning-Funktionen; Auswertung von Datenpunkten wie Nutzerverhalten, Art des Endgeräts, Aufenthaltsort des Users und so weiter

Check Point Software

u. a. SandBlast Network, SandBlast Mobile,
CloudGuard, Check Point ThreatCloud

KI-Modelle für die Abwehr von Angriffen auf Netzwerk und mobile Geräte (SandBlast) und für cloudbasierte Sicherheitslösungen (ThreatCloud, CloudGuard); Ausrichtung auf Erkennen und Blockieren von Angriffen (Prävention); Blockade von Malware, Spam, Phishing-Mails

Cisco

SecureX

Cloudbasierte Sicherheitsplattform mit allen IT-Sicherheitsangeboten von Cisco; Auswertung von Daten mithilfe von KI und ML, um Sicherheitsrisiken zu identifizieren; auf Wunsch automatische Reaktion auf Angriffe

Stealthwatch Enterprise; Stealthwatch Cloud

Haupteinsatzfeld: Network Detection and Response; Überwachung von Cloud-Umgebungen (AWS, Azure, GCP) und Unternehmensnetzen; Verwendung von Machine-Learning- und Deep-Learning-Algorithmen; Anbindung an SecureX-Plattform möglich

Crowdstrike

Falcon Platform

Cloud-Plattform für Schutz von Endgeräten (Endpoints); Identifizierung und Steuerung von Endgeräten; Analyse und Bewertung von Schwachstellen (Threat Hunting); Virenschutz

Cybereason

Cybereason Defence Platform

Plattform für Cloud, On-Premise-Systeme, Hybrid und Private Clouds; Schutz von Endpoints; Sicherheitsanalysen; Cybereason DER für Prävention, Abwehr und automatische Reaktion auf Angriffe; Absicherung mobiler Systeme

Darktrace

Enterprise Immune System; Industrial Immune System; Darktrace Antigena

Einsatzfeld: Network Detection and Response; Einsatz von Machine Learning und Deep Learning; Aufspüren und Analysieren von verdächtigen Aktivitäten in Büro- und Industrienetzwerken; Antigena bietet automatische Reaktion auf Angriffe, etwa Blockade verdächtiger Datenübermittlungen

Digital Shadows

SearchLight

Lösung Digital Risk Management; Analyse von Cyberbedrohungen, Risiken für Daten, von Schwachstellen der IT- und Cloud-Infrastruktur; Threat Intelligence; Monitoring von Quellen im Dark Web und Deep Web; Überprüfung der digitalen Angriffsfläche

Emisoft

Emisoft Business Security

Verhaltensbasierte Antiviren-Software und Anti-Ransomware-Lösung; Zielgruppe: kleinere und mittelständische Unternehmen

FireEye

MalwareGuard; FireEye Network Forensic

MalwareGuard: Machine-Learning-Funktion für Endpoint-Security-Lösungen von FireEye; Network Forensics für Analyse von Datenverkehr mit Hilfe von Machine Learning

Fortinet

FortiAI Virtual Security Analyst

Appliance für automatische Identifizierung und Abwehr von Bedrohungen; Basis: neuronales Netzwerk für detaillierte Analysen; auf Nutzer zugeschnittene Threat Intelligence, um Zahl falscher Alarmmeldungen zu reduzieren; Konzeption und Umsetzung von Abwehrmaßnahmen, um Risiken schnellstmöglich auszuschalten

u. a. FortiSandbox, FortiEDR, FortiGuard Labs, FortiSIEM, FortiInsight

Für KI- und ML-basierte Endpoint Protection (EDR); Sandbox (FortiSandbox) mit zwei ML-Engines für Schutz vor Malware, Ransomware, Cryptojacking; FortiSIEM für ML-basierte Analyse des Nutzerverhaltens; FortiInsight für Endpoint Protection

F-Secure

Rapid Detection & Response

Lösung für Endpoint Detection and Response (EDR); Basis: Kombination von Echtzeit-Verhaltens-, Reputations- und Big-Data-Analysen sowie maschinellem Lernen

G-Data

DeepRay

Machine-Learning-Funktion für IT-Sicherheitslösungen von G-Data; DeepRay analysiert Datenpakete und erkennt getarnte Malware

IBM

QRadar

Security-Intelligence-Plattform; Aufspüren von bekannten und nicht bekannten Bedrohungen; Absicherung von Cloud-Ressourcen; Schutz vor Insider-Angriffen

QRadar Advisor with Watson

Erweiterung von QRadar SIEM; Analyse des Netzwerkverkehrs und des Verhaltens von Maschinen und Usern, um Indikatoren für Angriffe aufzuspüren

QRadar User Behavior Analytics; QRadar Network Insights; Vulnerability
Manager; Data Store

KI-/ML-basierte weitere Versionen der QRadar-Familie für spezielle Einsatzfelder, etwa Netzwerkanalyse und Schutz vor Schwachstellen

Verwandte Themen