25 Mai 2016
Darwinismus in der IT-Sicherheit – 2. Teil – Quacksalberimpfungen
Hallo Freunde!
Wie versprochen, hier noch mehr über die Zusammenhänge zwischen der Evolutionstheorie und wie Sie sich gegen Cyberbedrohungen schützen können.
Bis heute ist es noch unbekannt, was genau Mutationen von lebenden Organismen hervorruft. Einige der eher unkonventionellen Experten vermuten, dass es Viren sind, die absichtlich die Gene neu anordnen (ja, das sind diejenigen, die die Welt regieren!). Wie dem auch sei, ähnliche Mutationsprozesse geschehen auch im Bereich der IT-Sicherheit – und manchmal auch hier mithilfe von Viren.
Im Einklang mit den Naturgesetzen des Überlebens, evolutionieren die Sicherheitstechnologien über die Zeit hinweg: während neue Produktkategorien entstehen und andere aussterben, verschmelzen einige Produkte mit anderen. Integritätscontroller waren Mitte der 90er-Jahre ein echter Durchbruch, aber heutzutage sind sie nur noch ein kleiner Teil der Endpoint-Sicherheitslösungen. Es entstehen neue Marktsegmente und -nischen (zum Beispiel Anti-APT), um die existierenden Arsenale von Sicherheitstechnologien zu vervollständigen ̶ das ist ein normaler Prozess der positiven Symbiose für die Zukunft. Währenddessen krabbeln fiese Parasiten aus dem Unterholz, um sich in der Sonne zu wärmen. So ist das Leben – so ist es immer gewesen und es gibt nichts, was Sie daran ändern können.
Im Kampf um die Marktanteile im Bereich der IT-Sicherheit tauchen regelmäßig Propheten auf, die ein plötzliches Ende der „traditionellen“ Technologien vorhersagen und – durch einen glücklichen Zufall – werden gleichzeitig (und „zur rechten Zeit“) schwachsinnige Produkte revolutionäre Patentrezepte (mit großzügigen Ermäßigungen für die ersten fünf Kunden) erfunden.
Aber das ist nichts Neues: erinnern Sie sich an Anti-Spyware? In den frühen 2000er-Jahren schoss eine riesige Anzahl an Produkten, die Spyware eliminieren sollten, aus dem Boden. Konsumenten wurden viele Ammenmärchen aufgetischt, dahingehend, dass „traditionelle Antivirenprogramme“ nicht in der Lage seien, das Problem in den Griff zu bekommen, aber das war von Anfang an schlichtweg ausgedacht.
Aber der Markt gewöhnte sich an diese Propheten und wurde sie satt. Heutzutage ist es weitaus schwieriger diese „Patentrezepte“ rentabel zu vermarkten und man benötigt viel mehr Investition und Schlangenöl Marketingmaßnahmen.
David – und Goebbels & Don Draper – gegen Goliath
Gemäß der besten Bräuche in der Werbung des öffentlichen und privaten Sektors (Madison Avenue), zielen die Quacksalberprodukte auf die Anfälligkeit der menschlichen Psyche, die bereits in der Kindheit geprägt wird ab, insbesondere auf den Glauben an Wunder und die Begeisterung für Verschwörungstheorien.
Das nächste Drehbuch des Informationszeitalters wird so aussehen: eine Reihe von gierigen degenerierten Greisen – die „bösen Jungs“ – hat das Monopol der Märchengesellschaft in die Zange genommen. Die „bösen Jungs“ füttern die Gesellschaft mit unsinnigen Ideen und unterdrücken fortschrittliches Denken. Daneben gibt es ein paar „Erfinder“ – die „guten Jungs“ – die zu Hilfe eilen. Natürlich sind die „Erfinder“ den Zuschauern viel sympathischer, während die „bösen Jungs“ langsam nichts als wachsenden Unmut auf sich ziehen. Der Film endet mit dem Sieg der „guten Jungs“ und einer glücklichen Zukunft.
Ok, beruhigen wir uns wieder und werfen einen näheren Blick auf das Szenario …
Ein Blick unter die Haube
Den Herstellern der Quacksalber-Sicherheitslösungen schwirrte seit circa einem Jahrzehnt etwas im Kopf herum, was sie als künstliche Intelligenz (Artificial Intelligence „AI“) bezeichnen.
AI wird als eine Art Wundertechnologie angepriesen, die von ganz alleine – ohne Nutzeraufwand – und bei sofortigem Einsatz, jeden vor allem schützen kann und das für immer! Hmm, klingt fantastisch. Nachdem Sie die Werbung für diese Wundertechnologie angesehen haben, „realisieren“ Sie, dass das der neue Weg in die Zukunft ist: eine magische Befreiung von Malware und Spam, gezielten Angriffen und anderen unangenehmen Cyberattacken!
Oh, wie gerne würden wir im Glauben bleiben, dass wir alle von einer höheren Gottheit gerettet werden – weil das eine beruhigende Vorstellung ist, nicht weil sie glaubhaft wäre. Wir wollen also mehr darüber herausfinden und graben etwas tiefer. Wir graben tiefer als das Werbematerial … aber wir kamen darauf, dass es nichts gab, um noch mehr herauszufinden. Jede Frage, die etwas mehr Information erfordert, als das übliche Geschwafel, wird an einen technischen Guru weitergeleitet und danach nichts weiter – Enjoy the silence. Für immer.
Unter dem Mikroskop
Ok, lassen Sie uns noch einen näheren Blick darauf werfen …
Alle Quacksalberprodukte machen sich über „traditionelle Lösungsansätze“ lustig und setzen auf unkonventionelle Lösungen – wie künstliche Intelligenz. Das ist ein bisschen wie Skynet, oder?
Lies, damn lies, and automated statistics?
— El-Amayo Jong-Il (parody) (@suburbsec) May 19, 2016
Nein, nicht wie Skynet, sondern noch besser. Die Quacksalberprodukte „verwenden einzigartige Methoden des maschinellen Lernens“, die „keine Updates erfordern“. Sie „benötigen wenig Speicherplatz“ und „arbeiten unbemerkt im Hintergrund“, sind „effizienter als traditionelle Produkte“, „schlagen seltener Fehlalarm“ und „wehren sehr fortgeschrittene Spionageattacken ab, was andere Produkte nicht tun“. Ein kleines Versäumnis: Sie sagen niemals wie sie das erreichen und bestätigen auch nie ihre Aussagen anhand von unabhängigen Tests von Dritten.
Auf die Frage hin, wie sie das machen, ließen sie verlauten, dass sie ihre konkreten Methoden nicht preisgeben könnten, da diese sonst von den „bösen Jungs“ umgangen werden könnten oder von der Konkurrenz kopiert werden würden. Anstatt eines kleinen Hinweises bezüglich ihrer Zauberkünste bekommt jeder Verbraucher, Investor oder Journalist eine einfache und nichtssagende Standardfloskel mitgeteilt.
Diese Standardfloskeln werden mit schimmernden Broschüren, gutaussehenden Titelblättern und extravaganten Pressekonferenzen attraktiver gemacht, was aber auch nicht viel hilft. Wenn Sie ein Produkt verkaufen möchten oder die Aufmerksamkeit eines Investors auf sich ziehen wollen, brauchen Sie etwas Überzeugenderes – vorzugsweise von einer dritten Partei mit sehr gutem Ansehen.
Für die Quacksalber-Produkthersteller ist das ein richtiger Rückschlag. Wie reagieren sie darauf? Sie nehmen einfach nicht teil an den unabhängigen Tests oder wenn sie teilnehmen – dann nutzen sie die gerissenen Strategien des Testmarketings aus – sie beteiligen sich nur an sehr sorgfältig ausgesuchten Tests, die sie selbst in Auftrag geben und polieren später die Ergebnisse auf. Anstelle von unabhängigen Tests stellen sie ihre eigenen „Effektivitätsergebnisse“ zur Verfügung – die auf obskuren oder rundheraus falschen Methoden basieren.
Features,
AI-Neuigkeiten -Tradition
Der Grundstein der Marketingrhethorik für Quacksalberprodukte ist die Ablehnung aller „traditionellen“ Lösungsansätze, um stattdessen auf neue fortgeschrittene Ansätze zu setzen. „Die Helden von gestern verkaufen Technologien von gestern und sind nicht fähig, etwas Neues, hoch Technologisches und Nützliches zu erfinden.“
Ok, lassen Sie uns das überprüfen. Nehmen wir einmal maschinelles Lernen als Beispiel. Sind Hersteller von Quacksalberprodukten etwa die Einzigen, die (behaupten) maschinelles Lernen anzuwenden?
Nein. Genaugenommen wird maschinelles Lernen vielfach in IT-Sicherheitssystemen verwendet –… seit den frühen 2000er-Jahren.
Zum Beispiel wird 99,9 Prozent der von uns neu entdeckten Malware tatsächlich von Robotern des maschinellen Lernens entdeckt – den Vorboten der künstlichen Intelligenz. Nur ein kleiner Prozentsatz benötigt Experteneinsatz. Tatsächlich benötigt jede proaktive Sicherheitstechnologie maschinelles Lernen, ohne Ausnahme. Zum Beispiel ermöglicht uns maschinelles Lernen: (a) Aktivitäten mit System Watcher zu überwachen, einer Funktion, die Systemänderungen nachverfolgt und jede böswillige Handlung zurückdrängt, (b) bietet automatischen Schutz vor Exploits, die bislang unbekannte Schwachstellen nutzen, (c) setzt in verschiedenen Modulen Heuristik ein, um Malware zu erfassen, die auf indirekten Schlüsseln basiert, (d) führt Emulationen durch, die verdächtige Dateien in einer isolierten Umgebung ausführen, ohne dass diese Auswirkungen auf das restliche System haben und (e) führt unseren Targeted Attack Analyzer bei hochentwickelten gezielten Angriffen durch. Wir verfügen über Dutzende von Beispielen für jeden dieser Fälle, die unsere Angaben bestätigen.
Die Sicherheits-DNA
Der wichtigste DNA-Strang im Bereich der IT-Sicherheit ist die kontinuierliche Weiterentwicklung von Schutztechnologien. Wachsendes Verteidigungspotenzial, sich verändernde Generationen von Sicherheitstechnologien, die Einführung von neuen Funktionen … das sind die einzigen Möglichkeiten, um im Kampf mit der Cyberkriminalität zu überleben. Das ist auch die Hauptmotivation, um erfolgreich zu konkurrieren. Neue Technologien erhöhen die Effektivität der IT-Sicherheit, verringern den Ressourcenverbrauch und machen Produkte einfacher und bequemer in ihrer Handhabung. Wer fängt den Wurm den Marktanteil? Üblicherweise ist es der frühe Vogel der innovative Erfinder.
Und wenn wir über kontinuierliche Entwicklung von proaktiven Technologien sprechen, heißt das kontinuierliche Entwicklung von intelligenten Technologien, auch bekannt als maschinelles Lernen. Und es gibt keinen anderen Weg: manuell mehrere Hundertausend neue Schadprogramme zu bearbeiten und das täglich, ist einfach unmöglich. Und warum sollten Sie das überhaupt wollen? Es ist sinnvoller sich anzustrengen und ein intelligentes System zu entwickeln, dass dann verlässlich und automatisch arbeitet. Das nennt man technologischen Fortschritt.
"The depth-limited tree search with arbitrary scoring heuristics will replace your job." Sounds like it was a crappy job?
— Jim Gray (@grayj_) May 19, 2016
Es ist wichtig zu erkennen, dass maschinelles Lernen ein notwendiger Bestandteil der IT-Sicherheit ist, jedoch ist es als alleiniges Tool unzureichend. IT-Sicherheit erfordert mehrschichtigen Schutz – für alle Arten von Geräten, gegen alle Arten von Bedrohungen, in allen infrastrukturellen Bereichen – der in der Lage ist, schnell auf neue Herausforderungen zu reagieren und sich an IT-Sicherheitsbedürfnisse der realen Unternehmenswelt anpasst. Natürlich ist das nicht die endgültige und vollständige Antwort auf die Frage „Wie kann man alles und für immer schützen?“, da Cyberkriminelle früher oder später einen Weg finden werden, um selbst dieses anpassungsfähige Model zu umgehen. Aber machen Sie sich keine Sorgen, bis dahin werden wir uns etwas ausgedacht haben, um sie zum Scheitern zu bringen und ihnen Qualen und Unkosten zu breiten.
Achtung Baby
Ich gehe davon aus, dass die Leidenschaft für künstliche Intelligenz noch lange Zeit anhalten wird. Und das ist gut so: je mehr Unternehmen gewillt sind, um ihr Überleben zu kämpfen und einen Durchbruch zu finden, umso stärker besser wird der Gewinner sein.
Einerseits werden Verkäufer damit fortfahren, die technologischen Fähigkeiten der automatisierten Verarbeitung von Malware und den proaktiven Schutz, der auf maschinellem Lernen basiert, zu stärken. Andererseits wird der Markt neue Propheten akzeptieren müssen, die Allzweckkuren versprechen, da die Worte „künstliche Intelligenz“ etwas an sich haben, was zu Leichtgläubigkeit und Fantasie führt. Das muss Magie sein. 😉
https://twitter.com/ReverseICS/status/733097111160426496?ref_src=twsrc^tfw
Leider gibt es keine Universalimpfung gegen Quacksalberprodukte. Gleichzeitig schließe ich nicht aus, dass eine wirkliche Supertechnologie entwickelt werden kann, die im Stande ist, den IT-Sicherheitsmarkt komplett zu verändern, was ich natürlich befürworten würde. Es besteht also immer die Gefahr, das Kind mit dem Bade auszuschütten, wenn es um AI geht: indem man alles über einen Kamm schert. Und ich werde eine weitere Metapher verwenden: ich hoffe, dass Sie, unsere geliebten Leser, in der Lage sind, die Spreu vom Weizen zu trennen, wenn es um AI geht (ok, nur noch eine Metapher …) und nehmen Sie nicht alles für bare Münze.
Die unendlichen Weiten der natürlichen Selektion
Die menschliche Neugier und die Sehnsucht nach Wissen veranlasst uns immerfort die Grenzen des Horizontes zu überschreiten – nur um zu sehen, was es dort gibt und um es zu verstehen. Wir geben viel Zeit und Mittel aus, um zu erforschen, zu verstehen und Gebiete hinter dem Horizont zu erobern – immer mehr, immer weiter, Horizont für Horizont.
Allem Anschein nach, gibt es für diese Gleichung keine Lösung: aus rationaler Sicht ist der Versuch, das Unendliche mit begrenzten Mitteln zu begreifen, nicht nur nutzlos, sondern auch regelrecht dumm. Das Gleiche gilt für uns Homo Sapiens, wir forschen immer weiter und glauben, dass das Universum eine Matrjoschka ist, die man einfach nur weiter auseinandernehmen braucht, um sie vollständig zu sehen.
Die eigene Einstellung bezüglich der Zukunft ist eine philosophische Frage und sehr persönlich. Meine persönliche Meinung ist, dass wir immer weiter graben sollten, weiter und weiter, egal was passiert. Unter den höchsten menschlichen Zielen befindet sich die Rationalisierung des Chaos und ein wachsendes Bewusstsein. Meiner Erfahrung nach ist das außerdem lustig und nützlich für die Seele, den Körper und die Gesellschaft. Aber es ist auch wichtig für die IT-Sicherheit: jede Woche kommt es zu neuen Cyberangriffen, deswegen müssen wir uns neue Wege überlegen, wie wir denen, die dahinterstehen, das Leben schwermachen können.
So wie in der Computeruntergrundszene, ist die natürliche Auslese im IT-Sicherheitssektor hart und äußerst schwierig. Die Allgegenwärtigkeit und Unvorhersehbarkeit der Cyberangriffe (beides wird weiter ansteigen) verlangt neue Denkansätze und wie jeder Weg aus der eigenen Komfortzone ist er unangenehm und kostspielig, und nichtsdestoweniger unvermeidlich und immer der einzige Weg, um ein Aussterben zu vermeiden.