SECURITY-THEMEN

Machine Learning:
Neue Horizonte bei der Erkennung komplexer Bedrohungen


Symantec setzt hochentwickelte maschinelle Lerntechnologien auf Endgeräten und in der Cloud ein, um Dateiattribute, Verhaltensweisen und Beziehungen zu analysieren.

Machine Learning

Maschinelles Lernen ist in diesem Jahr einer der Top-Technologietrends, der Innovation vorantreibt und sowohl bei Enterprise- als auch bei Verbrauchertechnologien hohe Wellen schlägt. In der Cybersicherheitsbranche behaupten viele Unternehmen zu Recht, dass sie eine Art von maschinellem Lernen einsetzen, obwohl häufig nicht klar ist, was sie damit meinen, wie die Technologie funktioniert und warum sie überhaupt wichtig ist.

In diesem Abschnitt erläutern wir die Investitionen von Symantec in maschinelle Lerntechnologien – und wie dadurch wichtige Innovationen in Symantec Endpoint Protection 14 vorangetrieben wurden.

 

Die neue Software setzt innovative maschinelle Lerntechnologien ein, um mehr Angriffe zu blockieren und die Messlatte für Angreifer höher zu legen. Um dieses Ziel zu erreichen und Angreifern einen Schritt voraus zu bleiben, verbinden wir einen mehrstufigen Ansatz mit einer extrem hohen Datenmenge, hochentwickelten Algorithmen und Techniken sowie einem Automatisierungssystem.

 

Website-Sicherheit

Symantec Endpoint Protection 14

Symantec Center for Advanced Machine Learning

Die Entwicklung der maschinellen Lerntechnologie fand unter der Leitung des Symantec Center for Advanced Machine Learning statt, das 2014 gegründet wurde. Das Team, das inzwischen aus über 20 Experten besteht, betreibt anspruchsvolle Forschungs- und Entwicklungsarbeit zu Architekturen, Algorithmen und Anwendungen für maschinelles Lernen, um Lösungen für die Herausforderungen beim Sicherheits- und Informationsmanagement bereitzustellen. Dazu gehören innovative Forschung zu Deep Learning, probabilistische Programmierung, verstärkendes Lernen ("Reinforcement Learning") und bayessche nichtparametrische Verfahren. 

Bei Symantec Endpoint Protection 14 arbeitete das Team mit Symantecs Sicherheitsexperten zusammen, um eine Reihe maschineller Lerntechnologien zu entwickeln, die zusammenwirken, um drei wichtige Angriffsdimensionen zu untersuchen. 

Der Vorteil dieser drei Dimensionen besteht darin, dass sie sich gegenseitig ergänzen, sodass jede einzelne Dimension Bedrohungen mithilfe aggressiver Verfahren stoppen kann, da die beiden anderen Dimensionen als "Kontrolle" ihrer Schlussfolgerungen dienen.

 

Drei wichtige Angriffsdimensionen

Gemeinsam stellen die drei Dimensionen eine mehrstufige Bedrohungsbeurteilung bereit, indem sie analysieren, was eine Datei ist (statisch), wie sie sich verhält (dynamisch) und – über die Cloud – in welcher Beziehung sie zu anderen Dateien, Geräten und URLs steht (Herkunft):

  • Statische Attribute:  Zunächst werden Tausende von statischen Merkmalen einer Datei untersucht – beispielsweise Dateiname, Funktionsaufrufe, mittlerer Informationsgehalt usw.
  • Dynamische Verhaltensweisen:  Dabei werden tiefere Analysen durchgeführt, um die dynamischen Verhaltensweisen eines Programms zu verstehen. Dabei wird auf Kombinationen von Tausenden von Verhaltensweisen geachtet – beispielsweise ob das Programm eine Verbindung zum Netzwerk herstellt, einen anderen Prozess startet, auf Registrierungsschlüssel zugreift usw.
  • Beziehungen und Reputation:  Um das Bild abzurunden, werden die Beziehungen der Datei zu anderen Dateien, Geräten und URLs untersucht, um eine "Reputation" für die Datei zu erzeugen.Inspiriert vom "Erfahrungsschatz der Massen" wird diese Reputationsanalyse anhand von Big Data in großem Umfang in unserer Cloud durchgeführt. Auf diese Weise können wir besser verstehen, ob ein Programm, das nur auf einem oder einigen wenigen Geräten weltweit vorkommt, möglicherweise bösartig ist. 

Big Data + Prognosemodelle = Intelligenterer Schutz

Big Data ist das Herzstück von Symantecs Ansatz für maschinelles Lernen. Dank unserer umfassenden Abdeckung in den Bereichen Endgeräte-, Netzwerk- und Cloud-Security verfügen wir über Bedrohungs- und Angriffsdaten aus 175 Millionen Endgeräten und 57 Millionen Angriffssensoren, die täglich rund um die Uhr in Echtzeit überwacht werden. Daraus resultieren Milliarden von Dateien und knapp vier Billionen Beziehungen. Damit steht uns ein enormer und aussagekräftiger Dataset zur Verfügung, mit dem wir unsere Klassifizierungssysteme trainieren, zwischen "gut", "böse" und allem anderen dazwischen zu unterscheiden.

Das ist wichtig, denn Daten sind der  Treibstoff für maschinelles Lernen. und man kann nicht genug davon haben. Je mehr Daten zur Verfügung stehen, umso "weiter" kommt man beim Aufbau präziser und effektiver Erkennungstechnologien. Diese Daten sollten zudem aussagekräftig sein. Je vielfältiger und aussagekräftiger die zur Analyse verwendeten Daten sind, umso wahrscheinlicher ist es, dass wichtige verborgene Beziehungen aufgedeckt werden können. Im Endeffekt sind Systeme für maschinelles Lernen nur so gut wie die Qualität, Vielfältigkeit und Reichweite der Datasets, anhand derer sie trainiert werden – und unsere Datasets profitieren von einem der weltweit größten zivilen Threat-Intelligence-Netzwerke.

Wenn Daten der Treibstoff sind, dann sind Algorithmen  der Motor des maschinellen Lernens. Algorithmen erzeugen mithilfe von Daten Modelle, die dann genutzt werden, um Prognosen zu erstellen, beispielsweise um zu bestimmen, ob eine Datei bösartig ist. Unternehmen machen viel Aufheben um Algorithmen und Modelle, da sie im Trend liegen, und es kommen ständig neue hinzu. Der Trick besteht jedoch darin zu wissen, wie man den richtigen Algorithmus der jeweiligen Aufgabe und den vorhandenen Daten zuordnet – das Geheimrezept der Experten für maschinelles Lernen.

Wichtige Techniken

Eines unserer wichtigsten Verfahren ist das "Ensembling". Einfacher ausgedrückt geht es dabei darum, "viele Modelle zu verwenden und sie intelligent zu kombinieren". Dies ist entscheidend, um die bestmöglichen Modelle zu erhalten, und dieses Verfahren wurde erfolgreich bei dem  mit 1 Mio. US-Dollar dotierten Netflix Prize eingesetzt. Wir reichern das Ganze mit etwas "Magie" an, indem wir proprietäre Ensembling-Techniken einsetzen, mithilfe derer unsere Systeme lernen können, wie sie Prognosen aus zahlreichen verschiedenen Modellen am besten kombinieren, selbst wenn wir während des Trainings noch nicht wissen, welche Prognosen richtig sind.

Eine weitere wichtige Technik, die wir verwenden, ist "Adaptation". Unsere Security-Modelle müssen fortlaufend justiert werden, um Angreifer, Veränderungen in der Software- und Netzwerklandschaft sowie Veränderungen im Benutzerverhalten zu überwachen. Für herkömmliches maschinelles Lernen stellen diese Aspekte bedeutende Hindernisse dar. In Symantec Endpoint Protection kommt ein "Meta-Algorithmus" zum Einsatz, der als "Boosting" bezeichnet wird. Dieser Algorithmus verbessert ein Modell iterativ, was bedeutet, dass er sich in jedem Durchgang auf die Fehler konzentriert, die das Modell zuvor gemacht hat, und diese korrigiert, ohne jedoch die Dinge zu "vergessen", die korrekt waren.

Zu guter Letzt ist Automatisierung für uns unerlässlich, um  maschinelles Lernen zu skalieren. Wir automatisieren den gesamten maschinellen Lernprozess – von der Einspeisung, Bereinigung und Verarbeitung unserer Telemetriedaten bis hin zur Optimierung und Untersuchung verschiedener Modelle. Ohne Automatisierung (und natürlich ausreichende Rechenleistung) wäre es nicht möglich, all diese Berechnungen durchzuführen und die besten Modelle zu erzeugen. 

Wie sieht das Endresultat aus?

Einfach ausgedrückt: Symantec verfügt über innovativste maschinelle Lerntechnologien für Endgerätesicherheit. Ein führendes unabhängiges Testlabor (AV-Test) testete vor kurzem Symantec Endpoint Protection 14, das alle unsere Mitbewerber bei Erkennung und Leistung mit nur einer äußerst geringen Anzahl von Falschmeldungen (False Positives) hinter sich ließ. Selbst in künstlichen "Scan"-Tests erkannte die Software fast 100 % der Bedrohungen mit einer Falschmeldungsrate von nahezu null. (Wichtig ist hierbei, dass die Leistung in Bezug auf Falschmeldungen in Symantec Endpoint Protection 14 so angepasst werden kann, dass sie den Richtlinienanforderungen des Kunden entspricht.)

Wir sind von den neuen Horizonten bei der Bedrohungserkennung, die durch maschinelles Lernen und künstliche Intelligenz ermöglicht werden, begeistert. Richtig eingesetzt und mit enormen Mengen an aussagekräftigen, vielfältigen Daten, die auf Endgeräten und in der Cloud analysiert werden, können diese Technologien die Spielregeln bei der Bekämpfung von Angreifern verändern.

Weitere Informationen erhalten Sie im On-Demand-Webinar zu  den Funktionen und Vorteilen von maschinellem Lernen in Symantec Endpoint Protection 14 Erfahren Sie  hier mehr über unser neues Produkt.

Testen Sie Ihre Website-Sicherheit

Symantec CryptoReport

Überprüfen Sie die Installation Ihres SSL/TLS-Zertifikats

TESTEN

Schwachstellenanalyse

Sicherheitslücken (auch als "Schwachstellen" bezeichnet) sind ein potenzielles Einfallstor, über das Bedrohungen die Funktionalität einer Website beeinträchtigen oder auf der Website vorhandene Daten beschädigen, herunterladen oder manipulieren können. Eine typische Website (selbst der einfachste Blog) kann Tausende potenzielle Sicherheitslücken aufweisen.

Weiterlesen

Die Bedeutung einer Firewall

Die Bedeutung einer Firewall für den Bedrohungsschutz

Antivirus-Software schützt das Dateisystem vor unerwünschten Programmen, während eine Firewall vor allem dazu da ist, zu verhindern, dass Angreifer oder externe Bedrohungen sich Zugang zu Ihrem System verschaffen.

Weiterlesen

Nutzer werden über gehackte Instagram-Konten

Nutzer werden über gehackte Instagram-Konten auf Dating-Websites für Erwachsene gelockt

Betrüger hacken Instagram-Konten und verändern Profile mit sexuell anzüglichen Bildern, um Nutzer auf Dating-Websites für Erwachsene und Websites mit pornografischen Inhalten zu locken. 

Weiterlesen

Community beitreten

Nehmen Sie an Security-Diskussionen auf Symantec Connect teil

SYMANTEC CONNECT

Folgen Sie Threat Intelligence auf Twitter @Threatintel

SYMANTEC ON TWITTER

Sehen Sie sich Videos auf dem Symantec Website Security YouTube-Kanal an.

SYMANTEC ON YOUTUBE