IT-Sicherheit: Schwachstellen mithilfe von Künstlicher Intelligenz suchen

Viele Studien warnen vor den Gefahren durch Zero-Day-Exploits, vor dem Ausnutzen neuer, bisher unbekannter Sicherheitslücken. So gefährlich dies auch ist, es wäre fatal zu glauben, alte, seit Jahren bekannte Schwachstellen wären weitaus weniger riskant. Die Bedrohung entsteht dadurch, dass eine Schwachstelle ausgenutzt wird. Ob es noch keinen Patch für die Sicherheitslücke gibt oder ob der (seit Jahren) vorhandene Patch bisher nicht eingespielt wurde, die Folgen sind die gleichen: Es gibt eine Schwachstelle, die Angreifer nutzen können, um in das System einzudringen.

Schwachstellen werden jahrelang ausgenutzt

Betrachtet man die Statistiken über bekannte Schwachstellen und vergleicht diese mit den gegenwärtig ausgenutzten Sicherheitslücken, muss man feststellen, dass sehr viele Angriffe seit langem bekannten Sicherheitslöchern in IT-Systemen gelten. Das ist nicht verwunderlich, denn bei altbekannten Schwachstellen gibt es bereits viele erprobte Wege und Angriffswerkzeuge, mit denen die Internetkriminellen und Datenspione erfolgreich sein können.

Dank Künstlicher Intelligenz (KI) scheint in naher Zukunft eine deutliche Veränderung möglich zu werden: Schwachstellen-Scanner mit AI (Artificial Intelligence) suchen automatisiert nach vorhandenen Sicherheitslücken und beheben diese wo immer möglich. Gibt es noch keinen Patch, werden andere Schutzmaßnahmen ergriffen, um das System gegen mögliche Angreifer abzuschirmen. Doch wird dies wirklich so geschehen? Sind die vielen, langjährigen Schwachstellen bald Geschichte?

Schwachstellen-Scanner werden zunehmend intelligent

Eines lässt sich sofort sagen: Schwachstellen-Scanner gehören zu den Security-Lösungen, die zunehmend mit KI-Funktionen ausgestattet werden. Schon heute gibt es eine Reihe entsprechender Lösungen:

• Spider Artificial Intelligence Vulnerability Scanner (SAIVS) durchsucht Web-Applikationen, um Schwachstellen aufzudecken. Dabei wird unter anderem der Typ einer Webseite oder Web-App analysiert, um gezielter auf die Suche nach Sicherheitslücken zu gehen.
• X-Vigil for Application Security durchsucht das Web und Dark Web, um dort Informationen über mögliche Schwachstellen einer Applikation zu entdecken.
• ImmuniWeb sucht ebenfalls mit AI nach Schwachstellen in Web-Applikationen.
• Ein weiterer, intelligenter Scanner für Web-Apps ist Space, er nutzt eine insbesondere Form der Code-Analyse.
• Die Lösung Warden wird als A.I. Based Smart Vulnerability Assessment (SmartVA) bezeichnet.
• Weitere Lösungsbeispiele sind MSP Risk Intelligence und Vulnerability Insight, um nur einige zu nennen.

Bleibt die Frage, ob Artificial Intelligence bald dem Missbrauch von Schwachstellen ein Ende bereiten kann, ob also AI-basierte Schwachstellen-Scanner die Sicherheitslücken so schnell und umfassend aufspüren, dass Angreifer abgewehrt werden können, bevor die Schwachstellen missbraucht werden.

Untersuchungen zeigen die Grenzen der intelligenten Schwachstellensuche

Auch wenn Untersuchungen immer nur punktuell und von begrenzter zeitlicher Gültigkeit sein können, zeigen die bisherigen Resultate, dass automatisierte Schwachstellen-Scanner noch nicht so weit sind, dass es offene Schwachstellen nicht mehr auf eine „Lebenszeit“ von mehreren Jahren bringen könnten. So ergab eine Prüfung entsprechender Scanner durch die NCC Group, dass eine hohe Zahl von False Positives bei der automatischen Schwachstellensuche auftreten können. Dies erzeugt einen großen, unnötigen Aufwand in der Schwachstellenbehebung.

Auch aus Deutschland gibt es interessante Untersuchungen, die auf Defizite in der Schwachstellensuche hinweisen. Dabei sind weniger die AI-Systeme im Fokus als vielmehr die Daten, die solche Systeme auswerten und lernen werden. So hat die HSASec, die Forschungsgruppe IT-Security und Forensik der Hochschule Augsburg (HSA), unter anderem auf dem 15. Deutschen IT-Sicherheitskongress gezeigt, dass es klare Grenzen bei der technisch verifizierbaren Schwachstellenidentifikation gibt. Da die Schwachstellendatenbanken unvollständig und teilweise auch nicht eindeutig genug sind, gelingt eine technisch automatisierte Zuordnung von Schwachstellen zu IT-Systemen nicht ohne zusätzlichen Aufwand, sprich nicht ohne Nacharbeit.

Es zeigt sich: Nur wenn das Datenmaterial zu den Schwachstellen besser wird, können die AI-Systeme auch die Schwachstellen zuverlässiger erkennen. Tatsächlich kann schlechte Datenqualität jede Form der Analyse negativ beeinflussen, das gilt für Big Data Analytics, Machine Learning und Artificial Intelligence gleichermaßen. Alleine können somit AI-Lösungen die Schwachstellen-Problematik nicht lösen, zuerst müssen zum Beispiel die „Schwachstellen“ oder Fehler in den Schwachstellen-Datenbanken angegangen werden.