KI und Automation für effektive Endpoint-Protection

Matthias Canisius, Regional Director von SentinelOne erläutert im Interview wie KI-basierte Technologien und Automation vereint den Endpunkt effektiver schützen.

Je mehr wir voll automatisiert und digital basiert arbeiten, desto angreifbarer werden Endpoints und Devices gegen ungewünschten Fremdzugriff, Manipulation und Missbrauch.
Herr Canisius, was ändert sich in diesem Kontext für die IT-Security, die Sicherheitskultur und das Risikomanagement in den Unternehmen?

Absolut korrekt. Mit zunehmender Vernetzung und Digitalisierung von Systemen, vergrößert sich die Angriffsoberfläche. Und das gilt sowohl für den privaten wie auch für den professionellen Bereich. Privat und Beruf, drinnen und draußen, sind heute im digitalen Sinne kaum noch zu trennen. Was zur Folge hat, dass die Bedeutung des klassischen Perimeterschutzes zunehmend schwindet und eine enorme Konzentration auf die Sicherheit des Endpunktes zu beobachten ist. Diese Entwicklung wird weiter zunehmen.

Ferner wird der Begriff des Endpunktes zukünftig noch weiter gefasst werden und – wie wir ja auch bereits erleben – ausgeweitet werden auf Produktionssysteme und den gesamten IoT/OT-Bereich sowie Container-basierte (z.B. Docker)-Umgebungen, um hier nur einige zu nennen.

Matthias Canisius, Regional Director, SentinelOne

Wie gestaltet sich die heutige Bedrohungslandschaft?

Das größte Bedrohungspotenzial geht heute von hochentwickelter Schadsoftware aus, die aufgrund der Kombination komplexer Verschleierungstechniken immer schwerer aufzuspüren ist. Zudem sehen wir einen massiven Trend hinsichtlich Angriffen, die nicht mittels einer Datei ausgeführt werden, sondern die „fileless“ bspw. mittels Powershell, Macros, Scripten oder dergleichen Zugriff auf unsere Systeme erlangen. Für klassische Sicherheitslösungen sind diese kaum aufzuspüren und wirksam zu verhindern. Antivirus, Firewalls oder auch Intrusion-Prevention-Systems (IPS) erfassen nur einen sehr engen Sicherheitswinkel und können gegen moderne Bedrohungen, die eben auch Techniken benutzen, die zuvor nur staatlichen Geheimdiensten vorbehalten waren, nicht mehr ankommen. Das zeigt auch der aktuelle Lagebericht des BSI. 

Wie unterstützen Sie hier Unternehmen in ihrem Kampf gegen Cyberkriminalität?

Mit unserer Endpoint Security-Plattform bieten wir Unternehmen eine vollständige und benutzerfreundliche Sicherheitslösung, die sie zuverlässig vor allen Arten von Malware schützt. Hierbei setzen wir auf einen intelligenten Agenten, der direkt auf dem Endpunkt ausgeführt wird und potenzielle Bedrohungen dort mit Hilfe von KI in Echtzeit analysiert und eben auch in Echtzeit reagieren kann. Der Vorteil von diesem Ansatz ist, dass verdächtige Dateien nicht erst in eine Sandbox oder andere externe Systeme geschickt werden müssen, sondern direkt auf dem Endpunkt selbst, d.h. in natürlicher Umgebung, für die Malware ja schließlich auch geschrieben wird, analysiert werden. Dies erhöht die Erkennungsquote erheblich. Ein weiterer Vorteil ist, dass der SentinelOne-Agent auch offline arbeitet und bei einem Sicherheitsvorfall automatisiert die richtigen Maßnahmen zur Eindämmung der Bedrohung und Wiederherstellung betroffener Systeme und Dateien anstößt.

Autonomer Endpunktschutz zur Prävention, Identifikation, Abwehr und Reaktion – wie wichtig ist hier Automatisierung?

Sicherheitsbeauftragte stehen heute vor der großen Herausforderung, jeden Winkel ihres Netzwerks überwachen und schützen zu müssen – vom Endpunkt bis zur Cloud. Wer dabei auf passive Bedrohungserkennung setzt, kommt schnell an seine Grenzen, denn er muss eine schier unendliche Zahl von Daten manuell in Zusammenhang bringen, analysieren und bewerten. In Zeiten von Fachkräftemangel, überarbeiteten IT-Teams und einer komplexen Bedrohungslandschaft ist dies kaum noch zu schaffen. Integration und Automatisierung sind Themen, die in jedem CISO-Office ganz oben auf der Prioritätenliste stehen. Was nutzt mir zudem die intelligenteste Lösung, wenn ich ein Heer von Menschen für den Betrieb brauche und nicht in der Lage bin, diese sauber zu integrieren.

Unsere Endpoint Detection und Response Lösung ActiveEDR ermöglicht es, potenzielle Bedrohungen automatisiert – inklusive Kontext – zu verstehen und mögliche Angriffe ohne manuelles Eingreifen zu blockieren. Durch den hohen Grad an Automatisierung reduziert ActiveEDR die Kosten und den Zeitaufwand, der erforderlich ist, um die enormen Datenmengen auszuwerten, die bei detaillierten Analysen anfallen. Dabei arbeitet der Agent wie ein SOC-Analyst auf jedem einzelnen Endpunkt; er wandelt die einfließenden Daten in Echtzeit in komplette „Attack-Stories“ um und reagiert im Fall, dass die „Story“ „böse enden“ würde, sofort automatisch. Dafür brauchen wir lediglich 1-2% CPU auf dem System.

Welche Rolle wird Künstliche Intelligenz (KI) in Zukunft im Rahmen von IT-Security einnehmen?

Wie schon eingangs erwähnt werden KI und Machine Learning die Zukunft der Cybersicherheit wie kaum eine andere Technologie prägen. Künstliche Intelligenz kann uns dabei helfen, selbst hochentwickelte und verschleierte Arten von Cyber-Bedrohung in Echtzeit zu identifizieren und abzuwehren – vor allen Dingen unbekannte Bedrohungen, die heute etwa 90% aller Angriffe ausmachen.

Und natürlich haben auch Cyberkriminelle die Vorzüge von Artificial Intelligence längst für sich entdeckt, um potentielle Opfer damit gezielter und noch raffinierter angreifen zu können – man denke etwa an DeepFakes, d.h. erstaunlich real wirkende Audio- und Video-Nachrichten oder KI-basierte Captcha Bypass-Dienste wie Death by Captcha. Um mit diesen Entwicklungen Schritt halten zu können, sind Unternehmen letztlich dazu gezwungen, ihre Sicherheitsstrategie zu hinterfragen und neue auf KI-basierte Technologien zu erproben.

Wie sollten vor diesem Hintergrund IT-Sicherheitsstrategien aufgebaut sein?

Die Basis einer effektiven Cyber-Sicherheitsstrategie ist und bleibt eine umfassende IT-Infrastrukturanalyse. Nur wenn sie den Stand ihrer IT-Systeme kennen und mögliche Schwachstellen identifiziert haben, sind Unternehmen in der Lage, entsprechend sinnvolle Schutzmaßnahmen zu implementieren. Die Durchführung einer solchen Infrastrukturanalyse ist anspruchsvoll, da sie umfangreiche Kenntnisse über Netzwerkstrukturen sowie die aktuelle Bedrohungslandschaft verlangt, letztlich aber unumgänglich. Eine wichtige Rolle spielen dabei auch individuelle Compliance-Anforderungen sowie gesetzlich verpflichtende Regelungen wie die DSGVO, die von Anfang an mitgedacht werden müssen.

Wir als Hersteller können an dieser Stelle nur ein Teil der Lösung sein und empfehlen daher die Zusammenarbeit mit kompetenten IT-Sicherheitspartnern und Beratungsunternehmen.  Am Ende geht es immer um die gleichen Dinge: Wir möchten ein möglichst hohes Sicherheitsniveau umgesetzt wissen. Die Performance der Systeme darf darunter nicht leiden und ich möchte einen einfachen Betrieb sichergestellt wissen. Dazu wünschen wir uns Integrations- und Automatisierungsmöglichkeiten. Zu guter Letzt wünschen wir uns umfangreiche Sichtbarkeit, die letztliche Grundlage für unsere Sicherheitsmaßnahmen bildet.

Cybercrime-Trends 2020: Worauf können wir uns gefasst machen?

Das ist im Detail sicher schwer zu sagen. Doch was man mit Sicherheit sagen kann: Die technologischen Möglichkeiten werden auf beiden Seiten – bei Angreifern wie bei denjenigen, die Sicherheitstechnologien entwickeln – maximal ausgelotet werden. Wir haben bereits sich selbst verändernde Malware, Malware, die ohne Datei daherkommt und vieles mehr. Haben wir ein Loch gestopft, wird versucht, an anderer Stelle bzw. mit anderen Mitteln zu bohren.

Es ist und bleibt ein Wettlauf. Und hier schließt sich der Kreis wieder zu Ihrer ersten Frage: Entscheidend wird sein, in wie weit wir neue Entwicklungen zum Schutz unseres Unternehmens zulassen und wie schnell wir diese adaptieren.  Was hilft es, wenn wir uns nach wie vor mit kunstvoll geschmiedetem Schild und Schwert gegen Angreifer mit modernen Schusswaffen wehren wollen – und das nur, weil wir es immer so gemacht haben.

https://www.sentinelone.com/

Aufmacherbild / Quelle / Lizenz
Bild von Gerd Altmann auf Pixabay