in Echtzeit. In der Regel geschieht das in weniger als 20 Milli- sekunden – also deutlich bevor sich der Schadcode entfalten kann. Ransomware benötigt typischerweise bis zu 15 Sekunden, bevor sie mit der Verschlüsselung der Daten beginnen kann – weit mehr also, als die maximal 20 Millisekunden, die die Deep-Learning-basierten Lösungen für Erkennung und Ab- wehr benötigen. Darüber hinaus resultiert aus diesem Verfah- ren erfahrungsgemäß eine Erkennungsrate von 99 Prozent bei unbekannter Malware, und es treten weniger als 0,1 Pro- zent falsch-positive Warnungen auf. Gerade Letzteres entlastet das Security-Team maßgeblich. Deep Learning an sich ist nichts Neues – es kommt zum Beispiel für autonomes Fahren, bei der Gesichtserkennung oder in der Medizin zum Einsatz. Im Gegensatz zum klassi- schen Machine Learning arbeitet Deep Learning automatisch und kommt ohne Training von Modellen durch menschliche Akteure aus. Bei neuen Endpoint-Schutzlösungen kommt idealerweise ein speziell auf Cybersecurity zugeschnittenes Deep-Learning-Framework zum Einsatz. Intelligenz im Agenten Die fertig ausgebildete künstliche Intelligenz, gewisserma- ßen das „Hirn“ einer solchen Lösung, steckt direkt im Agenten auf dem Endpoint, der die Systemressourcen dennoch kaum belastet. Für die Voraussage und Prävention von Angriffen über bekannte und unbekannte Malware, Zero-Day-Exploits, Ransomware und gängige Scripts benötigt der Agent keinerlei Cloud-Zugriff – ein ausschlaggebender Faktor für die hohe Ar- beitsgeschwindigkeit. Der Agent sollte eine Vielzahl von Datei- typen unterstützen, inklusive PDF, Office, Fonts, TIFF, JAR und Makros. Und da der Agent Bedrohungen anhand typischer Merkmale, eben der „DNA“, erkennt, ist ein Update nur ein- bis zweimal pro Jahr erforderlich. Die oft mehrmals täglichen Si- gnatur-Updates und ständigen Threat-Intelligence-Abfragen bisheriger Lösungen entfallen. Für die Verteidigung gegen weitere Angriffsarten, wie dateilose und mehrstufige Attacken, Remote Code Injection, Spyware oder Credential Theft/Dumping, sind zusätzliche, mehrschichtige Schutzmechanismen, wie verhaltensbasier- te Analyse, erforderlich. Auch die Abwehr von Angriffen via Windows PowerShell regelt am besten ein spezielles Modul. Eine Deep-Learning-Lösung zur Abwehr von Cyberatta- cken sollte mindestens Windows, macOS und Linux sowie Chrome OS und Android unterstützen. In manchen Anwen- dungsszenarien vermag sie die Endpoint-Schutzbedürfnisse komplett zu erfüllen, in umfangreicheren Umgebungen mag sie ergänzend zu EDR-/XDR-Lösungen und zum Microsoft- 365-Dienst Defender ATP zum Einsatz kommen, um die Ab- wehr am Endpoint gegen unbekannte Malware und Ransom- ware deutlich zu verbessern. Der Einsatz reduziert die Anzahl falsch-positiver Meldungen in XDR-, SIEM- und SOAR-Lösun- gen massiv, was das Security-Team beim Endkunden oder beim Security-Partner stark entlastet. n Was Deep Learning im Endpunktschutz vermag Wehrt Cyberangriffe in unter 20 Millisekunden ab Stoppt auch mehrstufige, komplexe Ransomware-Attacken Erkennt 99 Prozent aller unbekannten Malware Maximal 0,1 Prozent falsch-positive Resultate Praxisbeispiel aus der Finanzindustrie Eine Bank in den USA, die Lokalbanken mit Korrespon- denzbank-Dienstleistungen versorgt, setzte für den Endpointschutz bisher auf eine klassische EDR-Lösung sowie eine umfassende Schulung der Mitarbeitenden. Cybersecurity ist im Unternehmen im Topmanagement angesiedelt und genießt hohe Priorität – dies, um die Kontinuität der Dienstleistungen und den Schutz der vertraulichen Kundendaten optimal zu gewährleisten und sämtliche Compliance-Anforderungen zu erfüllen. Obwohl die Bank die bestehende EDR-Lösung weiterhin einsetzt, will sie verstärkt auf Prävention setzen, wie de- ren Information Security Manager betont: „Wir machten uns auf die Suche nach einer zusätzlichen Schutzlösung, die dafür sorgt, dass alle Malware beim Eintreten in die Verteidigungsebene gestoppt wird – selbst dann, wenn es sich um eine Zero-Day-Bedrohung handelt.“ Im Rahmen einer Demonstration erkannte die evaluier- te, auf Deep Learning basierende Lösung Dutzende der allerneuesten Schädlinge und konnte sämtliche Datei- typen erfolgreich scannen. Dem Security-Team der Bank wurde rasch klar, dass mit der Lösung die geschäfts- kritischen Services und Kundendaten deutlich besser geschützt sind als ohne, und dass das Security-Team von aufwendigen Incident-Response- und Wiederher- stellungsaktivitäten sowie falsch-positiven Warnungen entlastet wird. Hinzu kommt, dass der Endpunktschutz für die Mitarbeitenden transparent verläuft – und sehr schnell alle Dateien, Scripts und Makros gescannt und so Angriffe im Keim erstickt werden. Joachim Walter, Geschäftsführer bei Boll Europe SPECIAL_2/2022 ITSICHERHEIT IN DER BANKEN UND FINANZWELT 15