Deep Instinct Mit Deep Learning unbekannte Bedrohungen stoppen

Autor Melanie Staudacher

Deep Learning heißt der neue Technologie-Trend, mit dem Unternehmen unbekannte Malware erkennen sollen. Der amerikanische Hersteller Deep Instinct ist ein Vorreiter, der mit seiner Software eine Erkennungsrate von 99,9 Prozent garantiert.

Firmen zum Thema

Mithilfe von künstlichen neuronalen Netzen, die funktionieren wie die im menschlichen Gehirn, ist die Technologie Deep Learning in der Lage, Cyberbedrohungen zu erkennen.
Mithilfe von künstlichen neuronalen Netzen, die funktionieren wie die im menschlichen Gehirn, ist die Technologie Deep Learning in der Lage, Cyberbedrohungen zu erkennen.
(Bild: Yingyaipumi - stock.adobe.com)

Wie lernen wir eine neue Sprache, Italienisch zum Beispiel? Wir lernen Wörter auswendig, die Regeln der Grammatik. Wir sprechen und lesen auf Italienisch. Wenn wir dann das theoretische Grundwissen in dieser neuen Sprache geschaffen haben, wollen wir mit Muttersprachlern sprechen. Und wenn wir dann richtig gut sind und Italienisch fließend beherrschen, kann es sogar sein, dass wir in der neuen Sprache träumen.

Im Gehirn arbeiten für uns neuronale Netze, damit wir die Sprache lernen. Auch in der IT gibt es künstliche neuronale Netze (KNN), die trainiert werden können, um Anwendungsprobleme der Statistik, der Technik oder der Wirtschaftswissenschaften zu lösen.

Diese Netze nutzt die Technologie Deep Learning, Teilbereich des Machine Learnings (ML), um unbekannte Bedrohungen zu identifizieren. Doch kann ML dies nicht auch?

Ralph Kreter leitet seit einem Jahr das eurpäische Team bei Deep Instinct.
Ralph Kreter leitet seit einem Jahr das eurpäische Team bei Deep Instinct.
(Bild: Deep Instinct)

„Nicht mit einer solchen Genauigkeit“, sagt Ralph Kreter, Area Vice President Central and Eastern Europe bei Deep Instinct. „Um einen Algorithmus zu entwickeln, nutzt Maschinelles Lernen nur zwei bis drei der vorhandenen Daten. Dadurch ist der Algorithmus zwar schnell gemacht, die Genauigkeit, unbekannte Bedrohungen zu erkennen, liegt allerdings nur bei 50 bis 70 Prozent.“

Der Unterschied zwischen Machine Learning und Deep Learning

ML verwendet Algorithmen, die auf kleinen bis großen Datenmengen basieren. Aus diesen Daten lernt die Maschine und trifft Entscheidungen, die auf dem Gelernten basieren.

Im Gegensatz dazu nutzt Deep Learning größere Datensätze, um Algorithmen und die KNN zu schaffen. Damit lernt die Maschine selbstständig und trifft intelligente Entscheidungen. Weitere Unterschiede zwischen ML und Deep Learning sind:

Machine Learning Deep Learning
Funktionsweise Erkennen von Mustern Lernen mithilfe von künstlichen neuronalen Netzen
Datensatzgröße kleine bis große Datensätze sehr große Datensätze
Menschliches Eingreifen Mensch ist an der Analyse der Daten beteiligt Mensch stellt nur die Daten für das Lernen bereit, die Analyse und das Ableiten von Prognosen und Entscheidungen übernimmt die Maschine selbst
Anwendungsfälle Erkennen von Spam, Sprach- und Texterkennung Gesichts-, Objekt- und Spracherkennung, Übersetzung von gesprochenem Text, autonomes Fahren, Vorhersagen von Kundenverhalten auf Basis von CRM-Daten




Deep Learning Software von Deep Instinct

Bisher wird Deep Learning hauptsächlich für die Automatisierung und Klassifizierung von Datenoperationen verwendet, um Inhalte für Endkunden zu optimieren. Mit der Entwicklung der eigenen Lösung bietet Deep Instinct seit 2015 eine IT-Sicherheitssoftware, die auf Deep Learning basiert. Die Technologie war damals noch neu, ein Framework dafür habe es laut Kreter noch nicht gegeben.

Sechs Jahre später scheint das Geschäft gut zu laufen. Schließlich hat der amerikanische Hersteller das Team in Deutschland, das Kreter von München aus leitet, in diesem Jahr von drei auf acht Leute aufgestockt. Außerdem vertreibt seit Juni der VAD Nuvias die Lösung in der DACH-Region.

Deep Instinct garantiert, über 99 Prozent der unbekannten Malware innerhalb von 20 Millisekunden zu erkennen. Eine forsche Behauptung. Doch wie funktioniert die Lösung genau?

Ein bis drei Mal im Jahr trainiert Deep Instinct das System. Damit ist gemeint, dass der Hersteller alle Informationen über Cyberangriffe und Schadsoftware in den Data Lake einspeist. Mithilfe dieser Basis entwickelt Deep Instinct die KNN und Algorithmen, damit die Lösung künftig unbekannte Malware selbstständig als bösartig identifizieren kann. „Es gibt täglich neue Bedrohungen und neue Schadcodes. Trotzdem reicht die Regelmäßigkeit, mit der wir unser System trainieren aus, weil es wie ein Gehirn funktioniert“, erklärt Kreter. „Deshalb brauchen wir auch keine weiteren Softwareupdates.“

Die Software kommt dann mit einer Größe von circa 100 MB auf jedes Gerät beim Endkunden. Damit will Deep Instinct eine False Positive Rate von nur 0,1 Prozent gewährleisten. Doch wie eignet sich eine Software, die scheinbar keine Fehlalarme zulässt und Bedrohungen erkennt, bevor diese Schaden anrichten können, als Werkzeug für Managed Security Service Provider (MSSPs)?

Managed Services mit Deep Learning

„Der Aufwand für MSSPs ist überschaubar“, gibt Kreter zu. Der Service Provider muss lediglich die Lösung beim Endkunden ausrollen, die Systeme warten und Support bereitstellen. „Die Bereinigung eines Rechners, der befallen wurde, fällt komplett weg. Das kommt nicht mehr vor.“

Bei klassischen EDR- und NDR-Lösungen (Endpoint und Network Detection and Response) ergibt sich für MSSPs die Möglichkeit, ein Beratungsgeschäft aufzubauen: Sie erstellen einen Report aus den gefundenen Schwachstellen in der IT-Landschaft und zeigen den Kunden geeignete Maßnahmen auf, um diese zu beheben.

Solche Reports können Dienstleister auch aus den Erkenntnissen der Lösung von Deep Instinct erstellen. Außerdem empfiehlt es sich für MSSPs, die über ein SIEM (Security Information and Event Management) verfügen, beide Systeme miteinander zu verknüpfen. „Wenn Deep Instinct eine bösartige Datei auf einem Rechner gefunden hat, kann der MSSP über das SIEM mithilfe von diesem Ergebnis nach solchen Dateien auch auf Rechnern suchen, auf denen kein Agent von uns installiert ist“, erklärt Kreter.

Deep Learning Best Practice

Einer der MSSP-Partner von Deep Instinct ist TKUC. Dank dem Einsatz der Deep-Learning-Technologie, konnte der Dienstleister laut eigenen Angaben viele manuelle Tätigkeiten, wie die Wiederherstellung von Daten und die Dateianalyse, automatisieren und somit das Personal entlasten.

Im direkten Vergleich mit einer EDR-Lösung, konnte der MSSP folgende Vorteile von Deep Learning feststellen:

  • Die Erkennungsrate von Angriffen im Offline-Modus war höher.
  • Die Erkennungsgeschwindigkeit war höher.
  • Die Nutzung der PC-Ressourcen war geringer, die User Experience erfuhr keine Einschränkungen.

„Die Lösung von Deep Instinct passt zu uns als dynamisches Unternehmen mit einem zukunftsorientierten Fokus und dem Blick für neue Technologien“, sagt Santino Noack, Head of Sales and Marketing bei TKUC. „Wir heben uns damit von anderen Unternehmen ab, unser Sales-Team hat einen neuen Verkaufsansatz und kriegt schon eine gewisse Neugier zurückgespielt. Natürlich ist das Vertrauen nicht direkt von Anfang an zu hundert Prozent da, aber genau das bauen wir durch Produktdemos, Tests in der Kundenumgebung und weitere Informationen aus.“

(ID:47754763)