Sophos setzt bei seinen KI-Entwicklungen auf branchenübergreifendes Teamwork. SophosAI setzt mit neuem Ansatz auf das öffentliche Teilen von Informationen und fördert damit die herstellerübergreifende Interaktion in der IT-Sicherheitsbranche
Sophos kündigt vier neue Entwicklungen im Bereich offener Künstliche Intelligenz (KI) an, die dazu beitragen, den Schutz gegen Cyberangriffe branchenweit zu optimieren. Hierzu gehören Datensätze, Tools und Methoden, die die Zusammenarbeit in der Security-Branche und gemeinsame Innovation fördern sollen. Damit erreicht Sophos einen weiteren Meilenstein in seinem Ziel, Errungenschaften in der Datenwissenschaft zugänglicher und den Einsatz von KI in der Cybersicherheit transparenter zu gestalten – alles mit dem Ziel, Unternehmen besser vor Cyberkriminalität zu schützen.
KI-Teamwork für mehr Cybersicherheit
Während es in anderen Branchen gängige Praxis ist, KI-Methoden und -Erkenntnisse offen auszutauschen, hinkt die Cybersicherheit bei diesen Bemühungen hinterher. Die Folge ist ein eher unklares Verständnis darüber, wie KI zum Schutz vor Cyberbedrohungen beitragen kann. Sophos und sein Team von SophosAI-Datenexperten forcieren den offenen Ansatz, damit IT-Manager, Sicherheitsanalysten, CFOs, CEOs und andere Entscheidungsträger aus dem Bereich Security die KI-Vorteile auf einer möglichst einheitlichen Wissensbasis diskutieren und bewerten können.
Initiative von SophosAI
„Mit der neuen Initiative von SophosAI und der Offenlegung von Forschungsergebnissen wollen wir unseren Beitrag dazu leisten, wie KI im Bereich der Cybersicherheit positioniert und diskutiert wird. Die heutige Uneinigkeit mit undurchsichtigen oder zurückhaltenden Aussagen über die Fähigkeiten oder die Wirksamkeit der KI macht es für Kunden schwierig bis unmöglich, diese zu verstehen oder zu validieren. Dies führt zu Skepsis und behindert künftige Fortschritte genau in dem Moment, in dem wir große Durchbrüche erleben“, sagt Joe Levy, Chief Technology Officer bei Sophos. „Diesen Zustand durch Standards oder Regulierung zu korrigieren, wird nicht schnell genug geschehen. Stattdessen erfordert es mehr Anstrengung an der Basis, um eine Reihe von Praktiken, ehrlichen Bewertungen sowie Formulierungen zu entwickeln, die die Branche in einer offenen und transparenten Art und Weise voranbringen.“
Hohes Potenzials von KI
Angesichts des immensen Potenzials von KI in der Cybersicherheit kann dieser Wandel kaum überbewertet werden. Die Erkenntnisse von Sophos zeigen, dass Unternehmen zunehmend mit menschlichen Gegnern konfrontiert werden, die ihre Angriffe ständig verbessern. Sie starten hochgradig kontextbezogene Business E-Mail Compromise (BEC)-Kampagnen oder entwickeln neue Ransomware-Attacken. Eine skalierbare und effektive Verteidigung gegen Cyberattacken erfordert die Unterstützung der KI.
Sophos stellt Datensätze, Tools und Methoden in vier wichtigen Bereichen zur Verfügung
SOREL-20M-Datensatz für schnellere Forschung bei der Malware-Erkennung
SOREL-20M ist ein Gemeinschaftsprojekt von SophosAI und ReversingLabs. Es handelt sich um einen produktionsreifen Datensatz mit Metadaten, Labels und Funktionen für 20 Millionen Windows Portable-Executable-Dateien (PE). Er steht zum Download zur Verfügung und enthält 10 Millionen entschärfte Malware-Samples, um Forschungsarbeiten über die Extraktion von Funktionen zur Beschleunigung branchenweiter Sicherheitsverbesserungen durchzuführen. Dieser Datensatz ist der erste öffentlich zugängliche Malware-Forschungsdatensatz im Produktionsmaßstab inklusive eines kuratierten und gekennzeichneten Satzes von Samples und sicherheitsrelevanten Metadaten.
KI-gestützte Impersonation-Protection-Methode
SophosAI Impersonation Protection (Verfahren zum Schutz vor Nachahmung) wurde zum Schutz vor E-Mail-Spearphishing-Angriffen entwickelt, bei denen sich Personen als wichtige Ansprechpartner ausgeben, um Empfänger zu täuschen und schädliche Aktionen auszuführen. Der neue Schutz vergleicht den Absender eingehender E-Mails mit den Namen von Führungskräften und meldet potenziell verdächtige Nachrichten. Dazu gehören insbesondere die Namen, die bei einem Spearphishing-Angriff am häufigsten missbraucht werden, etwa von einem CEO, CFO oder Geschäftsführer. Sophos hat die zugrundeliegende KI mit Millionen bekannter Angriffs-E-Mails geschult und den neuen Ansatzauf der Defcon 28 sowie in einem Arxiv-Bericht öffentlich diskutiert.
Verfahren der digitalen Epidemiologie zur Bestimmung unentdeckter Malware
SophosAI hat eine Reihe epidemiologisch inspirierter, statistischer Modelle zur Schätzung der Verbreitung von Malware-Infektionen entwickelt, um die Menge der PE-Dateien besser abschätzen und im Gegenzug die berühmte Nadel im Heuhaufen besser finden zu können. Diese Modelle wurden öffentlich zugänglich gemacht, damit Malware, die möglicherweise übersehen oder falsch klassifiziert wurde, oder „zukünftige“ Malware, die von Angreifern aktuell entwickelt wird, besser ermittelt werden kann. Das Modell ist auf andere Dateiklassen und Informationssystem-Artefakte erweiterbar und wird auch im Sophos 2021 Threat Report besprochen.
Tools zur automatischen Signaturerstellung mit YaraML
Die Signaturerstellung für die Erkennung von Malware-Familien ist ein mühsamer manueller Prozess. Im Laufe der Jahre wurde eine Vielzahl von Methoden zur automatischen Signaturerstellung vorgestellt, von denen jedoch die meisten nicht angenommen wurden, weil sie den manuellen Prozessen nicht gerecht werden. SophosAI hat eine neue Methode zur automatischen Signaturerstellung namens, YaraML entwickelt, die sich durch einen KI-basierten Ansatz zur Lösung des Problems deutlich von früheren Optionen unterscheidet. SophosAI kompiliert vollwertige, industrietaugliche „Strength Machine Learning“-Modelle aus kommerziellen Sicherheitsprodukten direkt in Signatursprachen, wobei die KI im Wesentlichen das „Schreiben“ der Signaturen ermöglicht. Diese Methode erweist sich als weitaus effektiver als frühere Ansätze und stellt einen Durchbruch für die Cybersicherheit dar. SophosAI stellt YaraML als Open Source zur Verfügung.
Mehr dazu im AI-Blog bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.