Gefahrenabwehr mit KI-Unterstützung
Authentifizierung von Nutzern
Um zu verhindern, dass Angreifer die Rolle eines rechtmässigen Nutzers übernehmen, setzen Unternehmen bereits seit einigen Jahren Künstliche Intelligenz und maschinelles Lernen beim Authentifizieren und Authentisieren von Nutzern ein. «Diese Technologien, in Verbindung mit Lösungen für die Authentisierung von Nutzern, ermöglichen es, benutzerfreundliche Sicherheitskonzepte aufzubauen. Ein Beispiel ist die Absicherung von Transaktionen beim Online-Banking», erläutert beispielsweise Stephan Schweizer, CEO des IT-Sicherheitsunternehmens Nevis Security aus Zürich.
Bei solchen und vergleichbaren Lösungen, etwa für das Identity- und Access-Management (IAM), wird maschinelles Lernen verwendet, um ein verhaltensbiometrisches «Scoring» von Nutzern umzusetzen. Eine Authentisierungslösung erstellt dazu im Rahmen von Online-Sessions ein Profil eines Nutzers. Ein Finanzdienstleister kann dieses Profil bei der Prüfung von Zahlungen verwenden. Weichen die Schreibgeschwindigkeit des Nutzers oder der Druck auf dem Touchscreen eines Smartphones erheblich vom Profil des Kunden ab, erfolgt eine manuelle Überprüfung der Transaktion durch einen Mitarbeiter.
Datenverkehr überwachen
Zu den Einsatzfeldern, die sich in besonderem Mass für KI- und ML-gestützte Sicherheitssysteme eignen, zählt die Überwachung des Netzwerkverkehrs. Nach Einschätzung des Beratungshauses Gartner erfassen solche NDR-Systeme (Network Detection and Response) den Datenverkehr in einem Unternehmensnetzwerk in Echtzeit. Durch ein sogenanntes Baselining der Verkehrsmuster wird der Normzustand des Netzwerks ermittelt. Mit Hilfe von Machine Learning sind die Systeme dann in der Lage, Anomalien zu entdecken und die IT-Abteilung zu informieren.
Wichtig bei NDR-Lösungen sind Funktionen, die auf eine Attacke automatisch reagieren oder zumindest manuelle Gegenmassnahmen durch Administratoren erlauben. Doch daran, inwieweit ein KI- beziehungsweise ML-Algorithmus eigenständig auf einen Angriff reagieren darf, scheiden sich die Geister. Christine Schönig von Check Point Software sieht keinen Interessenkonflikt zwischen Mensch und Maschine: «Die Entscheidungskontrolle durch den Fachmann wird nicht aus der Hand gegeben, sondern durch qualifizierte Informationen erhöht.»
“KI- und ML-gestützte Technologien werden immer wichtiger, weil sie sich durch die Bewältigung unbekannter Angriffe und hochgradig evasiver Bedrohungen auszeichnen.„
Thierry Karsenti, VP Systems Engineering - EMEA bei Palo Alto Networks
Dagegen sieht Achim Freyer von Rubrik nach wie vor bei IT-Fachleuten den Wunsch, selbst zu entscheiden, was bei verdächtigen Aktivitäten im Netzwerk zu tun ist: «IT-Experten befürworten den Einsatz von KI- und ML-basierten IT-Sicherheitslösungen, wollen aber meistens die Möglichkeit eines manuellen Eingriffs nicht missen. Hinweise und Vorschläge seitens einer derartigen Lösung sind erwünscht, jedoch präferieren die meisten Benutzer, den letzten Klick dann doch noch selbst auszuführen.»
Thierry Karsenti von Palo Alto Networks wiederum sieht sehr wohl eine Tendenz, dass IT-Security-Lösungen eigenständig und vollautomatisch auf Bedrohungen reagieren, dies allerdings nur bei Aktionen, «die keine Validierung durch Menschen erfordern».
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1)
| Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1) | ||
| Anbieter | Lösung | Details |
| BlackBerry Cylance | Cylance AI Platform | Diverse KI-basierte Lösungen und Services für Endpoint Protection, Threat Hunting, Root Cause Analysis, Antivirus-Funktionen; auch als gemanagte Services verfügbar |
| BlackBerry Spark | Spark UES Suite |
KI-gesteuerte Endpoint Protection, Detection & Response, integrierte Mobile Threat |
| Blue Hexagon | Blue Hexagon |
Lösung für Network Detection and Response mit Deep-Learning-Funktion; Anbindung |
| Broadcom (Symantec) | Integrated Cyber Defence | Plattform für Endpoint Security, Netzwerksicherheit, Schutz von Identities und Informationsbeständen; als Cloud-Service oder für Implementierung On-Premise und in Hybrid Clouds; Anbindung an Security-Lösungen von Drittanbietern; KI-basierte Threat-Intelligence-Funktion über Global Intelligence Network |
| Callsign | Callsign Platform | Plattform für Authentifizierung und Authentisierung von Usern; Basis: Intelligence Engine mit Machine-Learning-Funktionen; Auswertung von Datenpunkten wie Nutzerverhalten, Art des Endgeräts, Aufenthaltsort des Users und so weiter |
| Check Point Software | u. a. SandBlast Network, SandBlast Mobile, CloudGuard, Check Point ThreatCloud | KI-Modelle für die Abwehr von Angriffen auf Netzwerk und mobile Geräte (SandBlast) und für cloudbasierte Sicherheitslösungen (ThreatCloud, CloudGuard); Ausrichtung auf Erkennen und Blockieren von Angriffen (Prävention); Blockade von Malware, Spam, Phishing-Mails |
| Cisco | SecureX | Cloudbasierte Sicherheitsplattform mit allen IT-Sicherheitsangeboten von Cisco; Auswertung von Daten mithilfe von KI und ML, um Sicherheitsrisiken zu identifizieren; auf Wunsch automatische Reaktion auf Angriffe |
| Stealthwatch Enterprise; Stealthwatch Cloud | Haupteinsatzfeld: Network Detection and Response; Überwachung von Cloud-Umgebungen (AWS, Azure, GCP) und Unternehmensnetzen; Verwendung von Machine-Learning- und Deep-Learning-Algorithmen; Anbindung an SecureX-Plattform möglich | |
| Crowdstrike | Falcon Platform | Cloud-Plattform für Schutz von Endgeräten (Endpoints); Identifizierung und Steuerung von Endgeräten; Analyse und Bewertung von Schwachstellen (Threat Hunting); Virenschutz |
| Cybereason | Cybereason Defence Platform | Plattform für Cloud, On-Premise-Systeme, Hybrid und Private Clouds; Schutz von Endpoints; Sicherheitsanalysen; Cybereason DER für Prävention, Abwehr und automatische Reaktion auf Angriffe; Absicherung mobiler Systeme |
| Darktrace | Enterprise Immune System; Industrial Immune System; Darktrace Antigena | Einsatzfeld: Network Detection and Response; Einsatz von Machine Learning und Deep Learning; Aufspüren und Analysieren von verdächtigen Aktivitäten in Büro- und Industrienetzwerken; Antigena bietet automatische Reaktion auf Angriffe, etwa Blockade verdächtiger Datenübermittlungen |
| Digital Shadows | SearchLight | Lösung Digital Risk Management; Analyse von Cyberbedrohungen, Risiken für Daten, von Schwachstellen der IT- und Cloud-Infrastruktur; Threat Intelligence; Monitoring von Quellen im Dark Web und Deep Web; Überprüfung der digitalen Angriffsfläche |
| Emisoft | Emisoft Business Security | Verhaltensbasierte Antiviren-Software und Anti-Ransomware-Lösung; Zielgruppe: kleinere und mittelständische Unternehmen |
| FireEye | MalwareGuard; FireEye Network Forensic | MalwareGuard: Machine-Learning-Funktion für Endpoint-Security-Lösungen von FireEye; Network Forensics für Analyse von Datenverkehr mit Hilfe von Machine Learning |
| Fortinet | FortiAI Virtual Security Analyst | Appliance für automatische Identifizierung und Abwehr von Bedrohungen; Basis: neuronales Netzwerk für detaillierte Analysen; auf Nutzer zugeschnittene Threat Intelligence, um Zahl falscher Alarmmeldungen zu reduzieren; Konzeption und Umsetzung von Abwehrmaßnahmen, um Risiken schnellstmöglich auszuschalten |
| u. a. FortiSandbox, FortiEDR, FortiGuard Labs, FortiSIEM, FortiInsight | Für KI- und ML-basierte Endpoint Protection (EDR); Sandbox (FortiSandbox) mit zwei ML-Engines für Schutz vor Malware, Ransomware, Cryptojacking; FortiSIEM für ML-basierte Analyse des Nutzerverhaltens; FortiInsight für Endpoint Protection | |
| F-Secure | Rapid Detection & Response | Lösung für Endpoint Detection and Response (EDR); Basis: Kombination von Echtzeit-Verhaltens-, Reputations- und Big-Data-Analysen sowie maschinellem Lernen |
| G-Data | DeepRay | Machine-Learning-Funktion für IT-Sicherheitslösungen von G-Data; DeepRay analysiert Datenpakete und erkennt getarnte Malware |
| IBM | QRadar | Security-Intelligence-Plattform; Aufspüren von bekannten und nicht bekannten Bedrohungen; Absicherung von Cloud-Ressourcen; Schutz vor Insider-Angriffen |
| QRadar Advisor with Watson | Erweiterung von QRadar SIEM; Analyse des Netzwerkverkehrs und des Verhaltens von Maschinen und Usern, um Indikatoren für Angriffe aufzuspüren | |
| QRadar User Behavior Analytics; QRadar Network Insights; Vulnerability Manager; Data Store | KI-/ML-basierte weitere Versionen der QRadar-Familie für spezielle Einsatzfelder, etwa Netzwerkanalyse und Schutz vor Schwachstellen | |
Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1)
| Anbieter von IT-Sicherheitslösungen mit KI und Machine Learning (Auswahl - Teil 1) | ||
| Anbieter | Lösung | Details |
| BlackBerry Cylance | Cylance AI Platform | Diverse KI-basierte Lösungen und Services für Endpoint Protection, Threat Hunting, Root Cause Analysis, Antivirus-Funktionen; auch als gemanagte Services verfügbar |
| BlackBerry Spark | Spark UES Suite |
KI-gesteuerte Endpoint Protection, Detection & Response, integrierte Mobile Threat |
| Blue Hexagon | Blue Hexagon |
Lösung für Network Detection and Response mit Deep-Learning-Funktion; Anbindung |
| Broadcom (Symantec) | Integrated Cyber Defence | Plattform für Endpoint Security, Netzwerksicherheit, Schutz von Identities und Informationsbeständen; als Cloud-Service oder für Implementierung On-Premise und in Hybrid Clouds; Anbindung an Security-Lösungen von Drittanbietern; KI-basierte Threat-Intelligence-Funktion über Global Intelligence Network |
| Callsign | Callsign Platform | Plattform für Authentifizierung und Authentisierung von Usern; Basis: Intelligence Engine mit Machine-Learning-Funktionen; Auswertung von Datenpunkten wie Nutzerverhalten, Art des Endgeräts, Aufenthaltsort des Users und so weiter |
| Check Point Software | u. a. SandBlast Network, SandBlast Mobile, CloudGuard, Check Point ThreatCloud | KI-Modelle für die Abwehr von Angriffen auf Netzwerk und mobile Geräte (SandBlast) und für cloudbasierte Sicherheitslösungen (ThreatCloud, CloudGuard); Ausrichtung auf Erkennen und Blockieren von Angriffen (Prävention); Blockade von Malware, Spam, Phishing-Mails |
| Cisco | SecureX | Cloudbasierte Sicherheitsplattform mit allen IT-Sicherheitsangeboten von Cisco; Auswertung von Daten mithilfe von KI und ML, um Sicherheitsrisiken zu identifizieren; auf Wunsch automatische Reaktion auf Angriffe |
| Stealthwatch Enterprise; Stealthwatch Cloud | Haupteinsatzfeld: Network Detection and Response; Überwachung von Cloud-Umgebungen (AWS, Azure, GCP) und Unternehmensnetzen; Verwendung von Machine-Learning- und Deep-Learning-Algorithmen; Anbindung an SecureX-Plattform möglich | |
| Crowdstrike | Falcon Platform | Cloud-Plattform für Schutz von Endgeräten (Endpoints); Identifizierung und Steuerung von Endgeräten; Analyse und Bewertung von Schwachstellen (Threat Hunting); Virenschutz |
| Cybereason | Cybereason Defence Platform | Plattform für Cloud, On-Premise-Systeme, Hybrid und Private Clouds; Schutz von Endpoints; Sicherheitsanalysen; Cybereason DER für Prävention, Abwehr und automatische Reaktion auf Angriffe; Absicherung mobiler Systeme |
| Darktrace | Enterprise Immune System; Industrial Immune System; Darktrace Antigena | Einsatzfeld: Network Detection and Response; Einsatz von Machine Learning und Deep Learning; Aufspüren und Analysieren von verdächtigen Aktivitäten in Büro- und Industrienetzwerken; Antigena bietet automatische Reaktion auf Angriffe, etwa Blockade verdächtiger Datenübermittlungen |
| Digital Shadows | SearchLight | Lösung Digital Risk Management; Analyse von Cyberbedrohungen, Risiken für Daten, von Schwachstellen der IT- und Cloud-Infrastruktur; Threat Intelligence; Monitoring von Quellen im Dark Web und Deep Web; Überprüfung der digitalen Angriffsfläche |
| Emisoft | Emisoft Business Security | Verhaltensbasierte Antiviren-Software und Anti-Ransomware-Lösung; Zielgruppe: kleinere und mittelständische Unternehmen |
| FireEye | MalwareGuard; FireEye Network Forensic | MalwareGuard: Machine-Learning-Funktion für Endpoint-Security-Lösungen von FireEye; Network Forensics für Analyse von Datenverkehr mit Hilfe von Machine Learning |
| Fortinet | FortiAI Virtual Security Analyst | Appliance für automatische Identifizierung und Abwehr von Bedrohungen; Basis: neuronales Netzwerk für detaillierte Analysen; auf Nutzer zugeschnittene Threat Intelligence, um Zahl falscher Alarmmeldungen zu reduzieren; Konzeption und Umsetzung von Abwehrmaßnahmen, um Risiken schnellstmöglich auszuschalten |
| u. a. FortiSandbox, FortiEDR, FortiGuard Labs, FortiSIEM, FortiInsight | Für KI- und ML-basierte Endpoint Protection (EDR); Sandbox (FortiSandbox) mit zwei ML-Engines für Schutz vor Malware, Ransomware, Cryptojacking; FortiSIEM für ML-basierte Analyse des Nutzerverhaltens; FortiInsight für Endpoint Protection | |
| F-Secure | Rapid Detection & Response | Lösung für Endpoint Detection and Response (EDR); Basis: Kombination von Echtzeit-Verhaltens-, Reputations- und Big-Data-Analysen sowie maschinellem Lernen |
| G-Data | DeepRay | Machine-Learning-Funktion für IT-Sicherheitslösungen von G-Data; DeepRay analysiert Datenpakete und erkennt getarnte Malware |
| IBM | QRadar | Security-Intelligence-Plattform; Aufspüren von bekannten und nicht bekannten Bedrohungen; Absicherung von Cloud-Ressourcen; Schutz vor Insider-Angriffen |
| QRadar Advisor with Watson | Erweiterung von QRadar SIEM; Analyse des Netzwerkverkehrs und des Verhaltens von Maschinen und Usern, um Indikatoren für Angriffe aufzuspüren | |
| QRadar User Behavior Analytics; QRadar Network Insights; Vulnerability Manager; Data Store | KI-/ML-basierte weitere Versionen der QRadar-Familie für spezielle Einsatzfelder, etwa Netzwerkanalyse und Schutz vor Schwachstellen | |
