Frank Melber ist Head of Cyber Security Services bei Controlware. Zuvor war er unter anderem als Head of Business Development bei dem Prüfdienstleister TÜV Rheinland und als Development Manager bei dem Security-Hersteller Sophos tätig.
Machine Learning ist ein Trendthema im Bereich IT-Security. Wie wichtig und effizient darauf basierende Anwendungen wirklich sind, erklärt Controlware-Experte Frank Melber,einer der Keynote-Speaker auf dem Security Day 2018.
Welche Rolle spielt Machine Learning heute?
Das Thema ist definitiv in der IT-Sicherheitslandschaft angekommen. Eine wachsende Anzahl von Hersteller setzt im großen Stil auf Lösungen, die auf Machine Learning (ML) bzw. Deep Learning Verfahren basieren. Kunden zeigen generell ein großes Interesse daran, gerade nach der Ransomware-Explosion im letzten Jahr. Umgekehrt fokussieren sich Cyberkriminelle vermehrt drauf, diese innovativen Schutzmechanismen mit neuartigen Angriffsmethoden zu umgehen.
Wie wird es angewendet?
Im IT-Security-Kontext sind vor allem zwei Techniken relevant. Zum einen: die Entdeckung von Anomalien mit dem sogenannten Unsupervised Learning. Dabei meldet die Anwendung auf Grundlage des kontinuierlich erlernten Normalverhaltens einer IT-Infrastruktur Alarm, sobald sie abweichendes Verhalten feststellt. Der zweite und im gewissen Sinne der umgekehrte Weg ist das „Supervised Learning“. Hier wird die Anwendung bewusst mit einer sehr hohen Anzahl von Malware-Samples gefüttert, um daraus ein generalisierbares Muster einer Malware zu entwickeln.
Wie effektiv ist es?
Noch sind viele ML-Anwendungen nicht ausreichend präzise, da sie nicht vollständig verlässlich zwischen „Gut“ und „Böse“ unterscheiden können. So schlagen sie bereits Alarm, wenn sie in einer Datei gewisse Grundzüge einer Malware erkennen. Weil das aber auch bei vielen gutartigen Dateien der Fall ist, kann die Falschalarm-Quote relativ hoch ausfallen. In der Praxis muss bei einem Alarm also auf Case-by-Case-Basis entschieden werden, ob wirklich eine ernstzunehme Gefahr vorliegt. Vielen Unternehmen fehlen dafür auch die Expertise und die personellen Ressourcen. Hier kommen Dienstleister wie Controlware ins Spiel. Von unserem Cyber Defense Center aus betreiben wir die Machine-Learning-Anwendung für unsere Kunden, überprüfen die Alerts, und leiten bei ernster Gefahr umgehend Gegenmaßnahmen ein. Im Zusammenspiel mit klassischen Security-Lösungen sowie dynamischen Schadsoftware-Analyse-Systemen erhält der Kunde so den zurzeit bestmöglichen Schutz vor Angriffen.
