Security-Analysten nutzen künstliche Intelligenz in Antiviren-Software, um schnell auf neue Cyberbedrohungen reagieren zu können.
Die Antivirus-Software Avast One nutzt die künstliche Intelligenz (KI), um jedes Sicherheitsmodul zu trainieren. Werden neue Malware-Sample gefunden, aktualisiert sich Avast One automatisch mit neuen Modellen und kann so sekundenaktuellen Schutz bieten.
Avast One nutzt Engine mit künstlicher Intelligenz
Bedrohungen wie WannaCry, BadRabbit, NotPetya-Ransomware und die Adylkuzz-Krypto-Mining-Angriffe lassen sich durch den Einsatz der KI-Technologie in Avast One automatisch erkennen und blockieren, ohne dass ein einziges Produktupdate erforderlich ist.
COMPUTER BILD hat sich mit Adolf Streda über den Einsatz von KI in Avast One unterhalten. Streda ist Malware Researcher bei Avast und war an der KI-Implementierung bei Avast One beteiligt. Dieses Interview durften wir mit freundlicher Genehmigung der COMPUTER BILD auf unserem Blog veröffentlichen.
CB: Wie erkennt KI neue Bedrohungen? Ist es eine Kombination aus Deep-Learning-Prozess und traditioneller Mustererkennung?
Streda: Die kurze Antwort lautet, wir verwenden bei Avast beides. Analysten arbeiten hauptsächlich mit traditioneller Mustererkennung, maschinelles Lernen wird verwendet, um diese Muster zu erweitern oder sogar neue Muster zu finden, um Bedrohungen zu bekämpfen, die wir noch nicht gesehen haben.
Wir nutzen maschinelles Lernen, um unseren Forschern und Analysten qualitativ hochwertige Daten bereitzustellen, die ihnen wiederum helfen, neue Bedrohungen einfacher und präziser zu erkennen und abzuwehren. In ähnlicher Weise verwenden unsere Analysten maschinelles Lernen, um Malware-Erkennungen zu automatisieren und unsere Benutzer und Benutzerinnen vor neuen Bedrohungen zu schützen.
CB: Identifiziert Avast One Bedrohungen über KI, wenn Sie Dateien explizit scannen (On-Demand-Scanner, ODS), oder hilft sie nur dem Hintergrundwächter (On-Access-Scanner, OAS)?
Streda: Es hilft bei beidem. Die einzige Einschränkung besteht darin, dass Sie Cloud-Scans deaktivieren, die nur den Zugriff auf lokal verfügbare Engines ermöglichen.
CB: Verwenden Sie Deep Learning, um die Scan-Engine von Avast weiterzuentwickeln? Oder dient KI primär als Ergänzung zur proaktiven Verhaltensanalyse?
Streda: Wir verwenden Deep Learning in verschiedenen ergänzenden Rollen in unserer Engine, nicht nur in der Verhaltensanalyse. In solchen Setups helfen die erlernten Modelle, dass unsere Abdeckung der Bedrohungslandschaft keine Lücken aufweist. Aber es steckt noch mehr dahinter. Wir verwenden Deep Learning auch bei der Analyse des Informationsgehalts der verschiedenen Daten. Mit DL können Sie beispielsweise abbilden, welchen Wert verschiedene Informationen in Verhaltensprotokollen haben. Und wir gehen sogar noch darüber hinaus. Wir haben eine spezielle Form von neuronalen Netzwerken entwickelt, die in der Lage sind, Strukturdaten zu modellieren, wie sie üblicherweise in jeder JSON-Datei protokolliert werden. Diese Modelle funktionieren ohne viel Tuning recht gut, selbst wenn sie in einer Umgebung mit sich schnell ändernder Dateninhaltsqualität eingesetzt werden.
CB: Wie unterscheiden sich in Avast One Verhaltensanalyse und KI? War die proaktive Verhaltensanalyse nicht schon immer im weitesten Sinne KI-basiert?
Streda: Auf der höchsten Ebene gibt es zwei Arten von Analysen. Es gibt eine statische Analyse, die sich die Datei ansieht und versucht, Muster direkt im Code zu finden. Dann gibt es eine Verhaltensanalyse, die gewissermaßen versucht, die Probe in einer kontrollierten Umgebung laufen zu lassen. In beiden Fällen suchen Sie nach Mustern, mit denen Sie ein Urteil fällen können. Mit anderen Worten, KI und Verhaltensanalyse sind unterschiedliche Konzepte.
CB: Viele Unternehmen werben mit KI, beziehen sich aber nur auf altmodische Algorithmen. Wie zeichnet sich Avast One aus?
Streda: Jeden Tag sehen wir erstaunliche Datenmengen, und es wird erwartet, dass wir in kurzer Zeit reagieren. Diese Daten nur mit "altmodischen" Algorithmen zu verarbeiten, wäre nahezu unmöglich. Ohne zumindest einige elementare maschinelle Lerntechniken wäre es für uns schwierig zu verstehen, was wir sehen, und es würde uns viel mehr Zeit kosten, die Daten zu verarbeiten. Wie heben wir uns ab? Eine eher ungewöhnliche Sache in der KI ist eine gemeinsame Anforderung für uns – wir legen Wert auf Erklärbarkeit. Es wäre schwierig, etwas zu reparieren, das als Blackbox funktionieren würde, und Fehlalarme sind für uns ziemlich kostspielig.
CB: Verwendet Avast One KI auf den Client-PCs des Benutzers und/oder in der Cloud?
Streda: In Avast One verwenden wir einen hybriden Ansatz und nutzen KI sowohl in der Cloud als auch auf den Geräten der Benutzer. Avast One gleicht die Notwendigkeit der Effizienz mit den Auswirkungen auf die Leistung des Geräts aus, sodass wir, wann immer dies aus Leistungssicht möglich ist, lokale Implementierungen von ML-Erkennungen (Machine Learning) verwenden. Die Verwendung von KI in der Cloud ermöglicht es uns, ML-Algorithmen in großem Maßstab anzuwenden, aggregierte Bedrohungsinformationen von unseren kostenlosen Benutzern zu nutzen und auch gegen gegnerische Angriffe auf unsere Erkennungen besser abzuschneiden.
CB: Wie ist das Verhältnis in Ihrem Unternehmen: Tragen mehr menschliche Mitarbeiter und Mitarbeiterinnen oder KI-Algorithmen zur Erkennung von Malware bei?
Streda: Das ist ziemlich schwer zu entscheiden. Während es menschliche Mitarbeiter und Mitarbeiterinnen gibt, die direkt Erkennungen vornehmen, stellen sie unseren Systemen auch Tonnen von Bedrohungsinformationen zur Verfügung, die dann von Systemen verwendet werden. Anstatt es als Mensch vs. KI zu betrachten, würden wir es eher so sehen, als würden sich beide ergänzen. Maschinen sind ziemlich gut darin, Muster zu finden oder sogar zu verallgemeinern, und Menschen sind für ihren Einfallsreichtum bekannt – sei es auf der guten Seite oder auf der schlechten Seite. Es scheint, wir brauchen beide, da jeder derzeit in der Lage ist, den anderen zu überlisten.
CB: Ein abwegiges Gedankenexperiment: Kann KI verwendet werden, um vorhandene BIOS/UEFI-Malware zu identifizieren und zu entfernen?
Streda: Sicher, Sie könnten versuchen, ein statistisches Modell zu erstellen, wie eine übliche UEFI-Firmware aussehen zu lassen, und versuchen, nach Ausreißern zu suchen. Dies würde per Definition als KI betrachtet werden. Obwohl wir darüber diskutieren könnten, wie effizient eine solche Lösung wäre, insbesondere, wenn wir möchten, dass es für zukünftige BIOS/UEFI-Malware skaliert wird.
CB: KI hält Einzug in immer mehr Bereiche und es gibt Menschen, die ihr skeptisch gegenüberstehen. Verstehen Sie die Bedenken und was sind Ihre Argumente, um die Leute vom Gegenteil zu überzeugen?
Streda: Der Entscheidungsprozess einer KI ist unserem Denken ziemlich fremd. Heutzutage verlassen wir uns häufig auf Algorithmen. Das bringt uns zu einem alten Problem mit Computern – sie sind ziemlich gut darin, das zu tun, was man ihnen sagt. Aber wir sind ziemlich schlecht darin, ihnen zu erklären, was wir von ihnen wollen. Wir können kaum bestreiten, dass KI besser darin ist als wir Menschen, Muster zu finden. In verschiedenen Bereichen, wie beispielsweise dem Gesundheitswesen, hilft KI bereits bei der Verarbeitung von Röntgendaten. Sie könnte uns auch harte Jobs abnehmen, wo uns heute schon Personal fehlt. Dasselbe sehen wir bei der Cybersicherheit, wo wir ohne Maschinen nicht mehr auskommen. Die Bekämpfung der Milliarden von Angriffen, wäre ohne maschinelle Intelligenz nicht möglich. Aber hinter jeder KI stehen menschliche Gehirne, die die KI füttern. KI-basierte Maschinen können nicht ohne unsere menschliche Eingabe funktionieren, und auf diese Weise können sie geschaffen werden, um uns dabei zu helfen, Dinge schneller und effizienter zu erledigen.