2017 wurde die Welt von Wannacry und NotPetya erschüttert, zwei verheerenden Ransomware-Angriffen, die sich weltweit ausbreiteten und überall Chaos anrichteten. „In einer zunehmend vernetzten Welt wird es solche Cyberangriffe immer wieder geben. Daher müssen wir verstärkt Maßnahmen ergreifen, um die Gefährdung von Unternehmen und Einzelpersonen durch ähnliche Risiken einzudämmen und zu verringern“, so Alberto Pelliccione, Koordinator des EU-finanzierten Projekts ProBOS. „ProBOS hat versucht, hier Licht ins Dunkle zu bringen und Daten innerhalb eines Unternehmens zu erfassen, die erforderlich sind, um zu verstehen und festzustellen, wann Aktivitäten mit potenziellen Auswirkungen auf die Sicherheit eingeleitet wurden.“

Intelligente Plattform erkennt aktuelle und zukünftige Angriffe und weiß ihnen zu widerstehen

Das ProBOS-Team erstellte eine automatisierte, anpassbare und benutzerfreundliche Endpoint-Sicherheitsplattform, die Sicherheitsinformationen von einer Vielzahl von Geräten wie Workstations, Servern und Mobiltelefonen sammelt. Diese Daten werden dann mithilfe von künstlicher Intelligenz (KI) verarbeitet, um Unregelmäßigkeiten innerhalb von Sekunden zu identifizieren. Sobald eine bekannte oder unbekannte Bedrohung erkannt wird, wird die Aktivität des Angreifers in Echtzeit verfolgt und bewertet. Auf diese Weise können Sicherheitsteams nicht nur die einzelnen Schritte des Angreifers genau nachvollziehen, sondern auch auf welche Art von Ressourcen zugegriffen wurde. Außerdem können sie „die Infrastruktur schützen, indem der Angreifer eliminiert und die infolge des Angriffs entstandenen Sicherheitslücken geschlossen werden“, erklärt Pelliccione. Dafür sind keine zusätzlichen Arbeitskräfte oder Fähigkeiten erforderlich. Die Projektpartner entwickelten NanoOS, eine Softwarekomponente, die außerhalb des Betriebssystems des Geräts arbeitet, auf dem sie installiert ist. Dies stellt eine einzigartige Schutzebene dar. Dank ihrer Positionierung zwischen der Hardware und der Software des Betriebssystems ist es unglaublich schwierig, die Sicherheitsebene zu deaktivieren. NanoOS garantiert die Übermittlung von Sicherheitsinformationen an die Analysten, sogar in Szenarien, in denen ein aktiver Angreifer absichtlich versucht, das Sicherheitssystem abzuschalten. Sie verfolgt eine Bedrohung in ihrem zeitlichen Verlauf, von Anfang an bis über verschiedene Entwicklungen hinaus. NanoOS ruft auch dann weiterhin Informationen ab, wenn das ganze System gefährdet ist. Die Partner implementierten eine Reihe von KI-Engines, um das Verhalten von Anwendungen, die auf einem Gerät ausgeführt werden, in Echtzeit zu analysieren und zu verstehen.

KI-gestützte Antwort auf Bedrohungen

Das Projektteam entwickelte eine weitere KI-Engine, die das Verhalten einer Infrastruktur versteht und nach weiteren Anzeichen möglicher Angriffe sucht. Sie sammelt all diese Informationen mit einer sogenannten Bedrohungssuche, einer Art Suchmaschine, die es Analysten ermöglicht, eine aktive Prüfung auf Verhaltensweisen durchzuführen, die auf eine laufende bösartige Aktivität hinweisen könnten, z. B. Ransomware-Angriffe oder den Missbrauch von Systemtools. Schließlich erweiterten die Teammitglieder den Anwendungsbereich der Engines auf Mobiltelefone. Dies erhöht die Sicherheit mobiler Geräte und hilft den Nutzern, ohne Hilfe von außen zu verstehen, wann sich eine neue Anwendung tatsächlich verdächtig verhält. Auch wenn ProBOS 2018 abgeschlossen wurde, so hat das Konsortium doch viel Zeit investiert, um nachzuvollziehen, wie die Kunden die Plattform nutzen. Die Lösung hat jetzt ein neues Design, zusätzliche Leistungsvorteile, eine verbesserte Benutzerfreundlichkeit und mehr Analysefunktionen. „Dank der ProBOS-Kerntechnologien erhalten die Nutzer einen vollständigen Überblick über ihre Assets, was vor einigen Jahren noch völlig undenkbar war“, so Pelliccione abschließend. „Sie können genauso einfach nach Anzeichen von Angreifern suchen wie bei einer Google-Suche und in Echtzeit auf Vorfälle reagieren sowie Analysen durchführen.“