Cylance zufolge ist es nur eine Frage der Mathematik, wenn man Hacker aufhalten will

Ein intelligenter Ansatz für Cybersicherheit

Tweet

Die Grundlage der Technologie-Branche ist Disruption. Die Branche lebt davon, alte Modelle umzustürzen und zu transformieren, um so ständig wechselnde Herausforderungen zu meistern. Das ist in der Medienbranche genauso passiert wie im Verkehrswesen; in der Technologie-Branche ist es aber so, dass die Technologie sich selbst immer wieder revolutioniert.

Cylance erfindet gerade Cybersicherheit neu: Mithilfe von Mathematik und Maschinenlernen will das Unternehmen eine sicherere Art des Schutzes erschaffen, die Bedrohungen einfängt, bevor sie zu einem Problem werden.

Cylance wurde 2012 von Stuart McClure gegründet, dem Autor des zum Bestseller gewordenen Praxisleitfadens zur Cybersicherheit: Hacking Exposed. Als Unternehmer, der mit Foundstone bereits ein Beratungsunternehmen für IT-Sicherheit gegründet und verkauft hatte, kannte McClure sich bestens mit Cybersicherheit aus und wusste, welche Ansätze scheitern.

McClure musste schon früh erfahren, wie eine simple Schwachstelle zu einer Katastrophe führen kann. 1989 flog er als Passagier in einer Boeing 747 mit, deren vordere Frachttür explosionsartig hinausgeschleudert wurde. Durch den Druckabfall starben neun Menschen, der Pilot schaffte es gerade noch, die anderen Passagiere zu retten. Die Ursache des Unfalls war ein Designfehler gewesen, diese Erkenntnis wurde für McClure zum Antrieb, bessere Wege zu finden, wie man Einzelne und Organisationen schützt.

Seine Reise führte ihn durch mehrere Unternehmen in der Cybersicherheitsbranche, wo er verschiedene Ansätze und Architekturen erforschte. Auf seinem Weg erkannte er, dass Designfehler auch in der Cybersicherheitsbranche weit verbreitet sind.

Durch ihre Architektur waren herkömmliche Cybersicherheitsprodukte weitgehend reaktiv ausgelegt. Die Anbieter analysierten jede neue Malware, extrahierten daraus einen digitalen Fingerabdruck und speicherten diesen in einer Datenbank. Jede neu hereinkommende Datei wurde dann mit der Datenbank abgeglichen, um zu prüfen, ob sie eine Bedrohung darstellte.

Damit lagen sie immer einen Schritt hinter den Cyberkriminellen. Diese ließen ihre Malware oft erst einmal durch die Sicherheitstools prüfen, um zu sehen, ob sie unentdeckt bleiben, bevor sie sie freisetzten. Das machte es noch weit schwieriger, neue Angriffe zu verhindern.

Keins dieser Sicherheitstools war jemals komplett erfolgreich - und das ist ein Problem in einer Branche, in der es Angreifern reicht, wenn sie ein einziges Mal Erfolg haben. McClure bezeichnete sich scherzhaft selbst als „Chief Apology Officer“ („Für Entschuldigungen zuständiger Geschäftsführer“). Schließlich bestand der Großteil seiner Aufgabe darin, Kunden mitzuteilen, dass ihre Systeme kompromittiert worden waren, und nach einem Angriff die Post-Mortem-Analyse durchzuführen.

McClure selbst setzte lange keine Cybersicherheitsprodukte ein, sondern verließ sich stattdessen auf sein über Jahrzehnte gesammeltes Know-how. Er wusste, was er am Computer nicht tun sollte, und entwickelte ein implizites Bewusstsein für die Bedrohungsvektoren, mit denen sich der durchschnittliche Nutzer konfrontiert sieht.

Eines Tages erkannte er: Wenn die vorhandenen Tools nicht funktionieren, ihn aber sein Wissen um Cybersicherheit schützte, war es dann nicht möglich, Computern das beizubringen, was er wusste? Damit war die Idee zu Cylance geboren.

So funktioniert die Cylance-Lösung

Wenn man einem Computer etwas beibringen will, liegt das Problem bei der herkömmlichen Programmierung darin, dass man ihm alles mit einer Reihe von Regeln explizit erklären muss. Implizites Wissen, das jemand über Jahrzehnte angesammelt hat, lässt sich auf diese Weise nicht beschreiben.

Um ein wirklich wirksames Werkzeug zu entwickeln, das vorbeugend vor Cyberbedrohungen schützt, musste McClure einen komplett anderen Ansatz wählen. Anstatt Dateien zu scannen und sie mit den digitalen Fußabdrücken in einer Datenbank abzugleichen, musste er den Maschinen beibringen, wie Menschen zu denken. Erfreulicherweise war ein solches Verfahren bereits im Entstehen.

Maschinenlernen ist eine Teildisziplin der Künstlichen Intelligenz. Das Konzept gibt es bereits seit Mitte der 50er Jahre. Damals versammelten sich Wissenschaftler am Dartmouth College in New Hampshire, USA, um zu diskutieren, wie Maschinen menschliche Intelligenz simulieren könnten.

Aber erst in den letzten Jahren haben sich die Computerressourcen und Softwarealgorithmen so weit entwickelt, dass Computer Informationen intuitiv verarbeiten können. So erzielen sie Ergebnisse, die menschliche Anwender teilweise noch nicht einmal erklären können.

Die Ära des Maschinenlernens ist also angebrochen und stellt bereits verschiedene Branchen auf den Kopf - vom Verkehrswesen bis zur Finanzbranche. Für McClure war die Zeit gekommen, Maschinenlernen auch in der Cybersicherheit einzusetzen.

Im Zentrum der Cylance-Methode steht Mathematik. Die Methode lässt sich unterteilen in die Phasen Sammeln, Extrahieren, Lernen und Klassifizieren.

Sammeln

Die Analysetools von Cylance erfordern große Mengen an empirischen Daten. Dieser Prozess umfasst das Sammeln zahlreicher Dateien - von Word-Dokumenten bis zu PDF- und Flash-Dateien. Diese stammen aus verschiedensten Quellen, sodass man ein ausgewogenes und vielfältiges Datenmaterial erhält.

Sobald die Dateien gesammelt sind, werden sie in drei Typen kategorisiert: „gültig“, „schädlich“ und „nicht bekannt“. Auf diese Weise lernt der Maschinenlern-Algorithmus, was er wissen muss.

Extrahieren

In dieser Phase geht es darum, so viel wie möglich über jede einzelne Datei herauszufinden. Dazu wird sie in ihre Einzelteile zerlegt, es werden Tausende von Eigenschaften untersucht. Diese Datenpunkte gehen weit über Eigenschaften wie Erstellungsdatum, Größe und Name hinaus. So ist beispielsweise auch der Compiler relevant, mit dem die Datei erstellt wurde, und auch Aspekte wie die Logik innerhalb der Datei sind von Bedeutung. In vielen Fällen hängen die berücksichtigten Eigenschaften vom Datenformat der Datei ab.

Aus den ermittelten Eigenschaften wird dann eine komplexe Informationsstruktur zu jeder Datei erzeugt, die die Grundlage für den Lernprozess darstellt.

Lernen

In der Lernphase werden Millionen Eigenschaften der gültigen, schädlichen und nicht bekannten Dateien analysiert. Die Ergebnisse werden als numerische Werte dargestellt und zu einem statistischen Modell zusammengefasst, anhand dessen jede beliebige neue Datei untersucht werden kann. Wenn das Modell eine neue Datei erkennt, kann es anhand von Millionen bereits untersuchter Dateien präzise vorhersagen, ob sie schädlich ist oder nicht.

Dieser mathematische Ansatz hat mehr als einen Vorteil. Da die Maschine gelernt hat, was eine schädliche Datei ausmacht, kann sie neue Bedrohungen erkennen, selbst wenn sie sie noch nie zuvor gesehen hat. Cylance hat neue Exploits schon Monate vor der Klassifizierung durch Mitarbeiter von Antiviren-Unternehmen erkannt.

Obwohl das statistische Modell aus zig Millionen Dateien abgeleitet wurde, belegt es weitaus weniger Speicherplatz und erfordert weniger Rechenleistung als bisherige Datenbanken, die jede einzelne Malware-Signatur dokumentieren.

Cylance ist ein Pionier in einem Markt, der gerade viel Aufmerksamkeit anzieht. Neue Akteure wie Crowdstrike, Darktrace, Invincea und SparkCognition konkurrieren um einen Platz in dieser dynamischen neuen Branche. Sie alle tragen mit ihren Innovationen dazu bei, die Technologie des Maschinenlernens voranzubringen.

Der neue Ansatz ist dabei, die bisherigen Ansätze in der Cybersicherheit durcheinander zu rütteln. Den Kunden kann das nur recht sein - sie profitieren davon.