Subscribe to receive notifications of new posts:

Defensive AI: das Framework von Cloudflare zum Schutz vor Bedrohungen der nächsten Generation

03/04/2024

8 min read
The rise of Defensive AI: Cloudflare’s framework for defending against next-gen threats

Generative KI hat die Fantasie der Menschen in aller Welt beflügelt; schließlich kann sie Gedichte, Drehbücher oder Bilder produzieren. Diese Tools können die menschliche Produktivität für positive, schöpferische Zwecke drastisch steigern, aber sie können auch von böswilligen Akteuren eingesetzt werden, um ausgeklügelte Angriffe auszuführen.

Wir beobachten, dass Phishing-Angriffe und Social Engineering immer raffinierter werden, da die Angreifer auf leistungsstarke neue Tools zurückgreifen, um glaubwürdige Inhalte zu erzeugen oder mit Menschen zu interagieren, als ob es sich um eine echte Person handeln würde. Angreifer können KI für die Entwicklung von spezialisierten Tools nutzen, die für Angriffe auf bestimmte Websites entwickelt wurden, um geschützte Daten zu sammeln und Nutzerkonten zu übernehmen.

Um sich vor diesen neuen Herausforderungen zu schützen, brauchen wir neue und ausgefeiltere Sicherheitstools: So entstand Defensive AI. Defensive AI ist das Framework, das Cloudflare verwendet, wenn wir darüber nachdenken, wie intelligente Systeme die Effektivität unserer Sicherheitslösungen verbessern können. Der Schlüssel zu Defensive AI sind die Daten, die das riesige Netzwerk von Cloudflare generiert, sei es allgemein über unser gesamtes Netzwerk oder spezifisch für den Traffic einzelner Kunden.

Bei Cloudflare nutzen wir KI, um das Schutzniveau in allen Sicherheitsbereichen zu erhöhen, von der Anwendungssicherheit über die E-Mail-Sicherheit bis hin zu unserer Zero Trust-Plattform. Dazu gehört die Erstellung eines maßgeschneiderten Schutzes für jeden Kunden für API- oder E-Mail-Sicherheit oder die Verwendung unserer riesigen Menge an Angriffsdaten, um Modelle zu trainieren, die bislang noch unentdeckte Anwendungsangriffe erkennen können.

In den folgenden Abschnitten werden wir anhand von Beispielen erläutern, wie wir die neueste Generation von Sicherheitsprodukten entwickelt haben, die KI zum Schutz vor KI-gestützten Angriffen einsetzen.

APIs durch Erkennung von Anomalien schützen

APIs sind die treibende Kraft des modernen Webs. Sie machen 57 % des dynamischen Traffics im Cloudflare-Netzwerk aus, gegenüber 52 % im Jahr 2021. APIs sind zwar keine neue Technologie, aber ihr Schutz unterscheidet sich von dem einer herkömmlichen Webanwendung. Da APIs von Haus aus einen einfachen programmatischen Zugang bieten und immer beliebter werden, haben sich Betrüger und Bedrohungsakteure mittlerweile auf APIs spezialisiert. Sicherheitsteams müssen dieser zunehmenden Bedrohung nun begegnen. Wichtig ist, dass jede API in der Regel in ihrem Zweck und ihrer Nutzung einzigartig ist, weshalb der Schutz von APIs unangemessen viel Zeit in Anspruch nehmen kann.

Cloudflare kündigt die Entwicklung von API Anomaly Detection für API Gateway an, um APIs vor Angriffen zu schützen, die darauf abzielen, Anwendungen zu beeinträchtigen, Konten zu übernehmen oder Daten zu exfiltrieren. API Gateway bietet eine Schutzebene zwischen Ihren gehosteten APIs und jedem Gerät, das eine Schnittstelle zu ihnen bildet, und gibt Ihnen die Übersicht, Kontrolle und Sicherheitstools, die Sie für die Verwaltung Ihrer APIs benötigen.

API Anomaly Detection ist eine kommende, ML-gestützte Funktion in unserer API Gateway-Produktsuite und ein natürlicher Nachfolger von Sequence Analytics. Um APIs in großem Umfang zu schützen, lernt API Anomaly Detection die Geschäftslogik einer Anwendung durch die Analyse von Client-API-Anfrage-Sequenzen. Anschließend wird ein Modell erstellt, wie eine Sequenz von erwarteten Anfragen für diese Anwendung aussieht. Das daraus resultierende Traffic-Modell wird verwendet, um Angriffe zu identifizieren, die vom erwarteten Client-Verhalten abweichen. Infolgedessen kann API Gateway mit seiner Sequence Mitigation-Funktionalität das gelernte Modell der beabsichtigten Geschäftslogik der Anwendung durchsetzen und Angriffe abwehren.

Wir befinden aktuell noch dabei, API Anomaly Detection zu entwickeln. API Gateway-Kunden können sich hier für die Beta-Version von API Anomaly Detection anmelden. Kunden können heute bereits die ersten Schritte mit Sequence Analytics und Sequence Mitigation setzen, indem sie sich die Dokumente ansehen. Enterprise-Kunden, die API Gateway noch nicht erworben haben, können im Cloudflare-Dashboard selbst eine Testversion starten oder sich für weitere Informationen an ihren Kundenbetreuer wenden.

Identifizierung unbekannter Schwachstellen in Anwendungen

Ein weiterer Bereich, in dem KI die Sicherheit verbessert, ist unsere Web Application Firewall (WAF). Cloudflare verarbeitet im Durchschnitt 55 Millionen HTTP-Anfragen pro Sekunde und hat einen beispiellosen Einblick in Angriffe und Exploits auf der ganzen Welt, die eine Vielzahl von Anwendungen ins Visier nehmen.

Eine der großen Herausforderungen bei der WAF ist das Hinzufügen von Schutzmaßnahmen für neue Schwachstellen und Fehlalarme. Eine WAF ist eine Sammlung von Regeln zur Erkennung von Angriffen auf Webanwendungen. Täglich werden neue Schwachstellen entdeckt und bei Cloudflare haben wir ein Team von Sicherheitsanalysten, die neue Regeln erstellen, sobald Sicherheitslücken bekannt werden. Die manuelle Erstellung von Regeln nimmt jedoch Zeit in Anspruch – in der Regel Stunden – sodass Anwendungen potenziell angreifbar sind, bis ein entsprechender Schutzmechanismus eingerichtet ist. Ein weiteres Problem ist, dass die Angreifer ständig neue und veränderte Angriffs-Payloads entwickeln, mit denen die bestehenden Regeln umgangen werden können.

Darum setzt Cloudflare seit Jahren Machine-Learning-Modelle ein, die ständig aus den neuesten Angriffen lernen und Abhilfemaßnahmen bereitstellen, ohne dass manuelle Regeln erstellt werden müssen. Dies zeigt sich zum Beispiel in unserer WAF Attack Score-Lösung. WAF Attack Score basiert auf einem ML-Modell, das anhand des im Cloudflare-Netzwerk identifizierten Angriffstraffics trainiert wurde. Der daraus resultierende Klassifikator ermöglicht es uns, Variationen und Umgehungsversuche bestehender Angriffe zu erkennen und den Schutz auf neue und unentdeckte Angriffe auszuweiten. Kürzlich haben wir Attack Score für alle Enterprise- und Business-Tarife verfügbar gemacht.

Attack Score verwendet KI, um jede HTTP-Anfrage nach der Wahrscheinlichkeit zu klassifizieren, dass sie bösartig ist.

Der Beitrag von Sicherheitsanalysten ist zwar unverzichtbar, aber im Zeitalter der KI und der sich schnell entwickelnden Payloads erfordert ein zuverlässiger Sicherheitsschutz Lösungen, die sich nicht darauf verlassen, dass menschliche Agenten Regeln für jede neue Bedrohung schreiben. Die Kombination von Attack Score mit traditionellen signaturbasierten Regeln ist ein Beispiel dafür, wie intelligente Systeme die von Menschen ausgeführten Aufgaben unterstützen können. Attack Score identifiziert neue bösartige Payloads, die von Analysten zur Optimierung von Regeln verwendet werden können, die wiederum bessere Trainingsdaten für unsere KI-Modelle liefern. Dies führt zu einer verstärkenden positiven Rückkopplungsschleife, die den allgemeinen Schutz und die Reaktionszeit unserer WAF verbessert.

Langfristig werden wir das KI-Modell so anpassen, dass es kundenspezifische Traffic-Merkmale berücksichtigt, um Abweichungen vom normalen und harmlosen Traffic besser zu erkennen.

Mit KI gegen Phishing

E-Mails sind einer der effektivsten Vektoren, die von böswilligen Akteuren genutzt werden. Die US Cybersecurity and Infrastructure Security Agency (CISA) berichtet, dass 90 % der Cyberangriffe mit Phishing beginnen und Cloudflare Email Security 2,6 % der E-Mails des Jahres 2023 als bösartig einstuft. Die Zunahme von KI-gestützten Angriffen macht herkömmliche E-Mail-Sicherheitsanbieter obsolet, da Bedrohungsakteure jetzt Phishing-E-Mails erstellen können, die glaubwürdiger sind als je zuvor und nur wenige oder gar keine sprachlichen Fehler enthalten.

Cloudflare Email Security ist ein Cloud-nativer Service, der Phishing-Angriffe über alle Bedrohungsvektoren hinweg stoppt. Das E-Mail-Sicherheitsprodukt von Cloudflare schützt Kunden weiterhin mit seinen KI-Modellen, auch wenn sich Trends wie die generative KI weiterentwickeln. Die Modelle von Cloudflare analysieren alle Teile eines Phishing-Angriffs, um das Risiko für den Nutzenden zu bestimmen. Einige unserer KI-Modelle werden für jeden Kunden personalisiert, während andere ganzheitlich trainiert werden. Der Datenschutz steht bei Cloudflare an erster Stelle, daher werden nur nicht persönlich identifizierbare Informationen von unseren Tools für das Training verwendet. 2023 verarbeitete Cloudflare ca. 13 Mrd. E-Mails und blockierte 3,4 Mrd., was dem E-Mail-Sicherheitsprodukt einen reichhaltigen Datensatz liefert, der zum Trainieren von KI-Modellen verwendet werden kann.

Zwei Erkennungen, die zu unserem Portfolio gehören, sind Honeycomb und Labyrinth.

  • Honeycomb ist ein patentiertes Reputationsmodell für E-Mail-Absender-Domains. Dieser Service erstellt einen Graphen der Absender von Nachrichten und erstellt ein Modell, um das Risiko zu bestimmen. Die Modelle werden auf die spezifischen Traffic-Muster der Kunden trainiert, sodass jeder Kunde über KI-Modelle verfügt, die darauf trainiert sind, wie sein guter Traffic aussieht.
  • Labyrinth verwendet ML zum Schutz auf Kundenbasis. Akteure versuchen, E-Mails von gültigen Partnerunternehmen unserer Kunden zu fälschen.  Wir können für jeden unserer Kunden eine Liste mit Statistiken über bekannte und gute E-Mail-Absender erstellen. Wir können dann die Versuche der Fälschung erkennen, wenn die E-Mail von einer nicht verifizierten Domain gesendet wird, die in der E-Mail genannte Domain jedoch eine verifizierte Referenzdomain ist.

KI bleibt das Herzstück unseres E-Mail-Sicherheitsprodukts, und wir verbessern ständig die Art und Weise, wie wir sie in unserem Produkt einsetzen. Wenn Sie mehr darüber erfahren möchten, wie wir unsere KI-Modelle einsetzen, um KI-gestützte Phishing-Angriffe zu stoppen, lesen Sie unseren Blogbeitrag hier.

Zero-Trust-Sicherheit, geschützt und unterstützt durch KI

Cloudflare Zero Trust stellt Administratoren die Tools zur Verfügung, mit denen sie den Zugriff auf ihre IT-Infrastruktur schützen können, indem sie eine strenge Identitätsprüfung für jede Person und jedes Gerät durchsetzen, unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerkperimeters befinden.

Eine der großen Herausforderungen besteht darin, eine strenge Zugriffskontrolle durchzusetzen und gleichzeitig die Reibungsverluste durch häufige Verifizierungen zu verringern. Bestehende Lösungen setzen auch die IT-Teams unter Druck, die Protokolldaten analysieren müssen, um die Entwicklung der Risiken innerhalb ihrer Infrastruktur im Auge zu behalten. Um seltene Angriffe zu finden, müssen riesige Datenmengen durchforstet werden, was große Teams und beträchtliche Budgets erfordert.

Cloudflare vereinfacht diesen Prozess durch die Einführung einer verhaltensbasierten Risikobewertung für Nutzende. Mithilfe von KI analysieren wir Echtzeitdaten, um Anomalien im Verhalten der Nutzenden und Signale zu erkennen, die dem Unternehmen schaden könnten. Dadurch erhalten Administratoren Empfehlungen, wie sie die Sicherheitsmaßnahmen auf der Grundlage des Verhaltens der Nutzenden anpassen können.

Die Zero Trust-Nutzerrisikobewertung erkennt Benutzeraktivitäten und -verhaltensweisen, die ein Risiko für Ihr Unternehmen, Ihre Systeme und Ihre Daten darstellen könnten, und weist dem betreffenden Nutzenden eine Bewertung von „Niedrig“, „Mittel“ oder „Hoch“ zu. Dieser Ansatz wird manchmal auch als User and Entity Behavior Analysis (UEBA) bezeichnet und ermöglicht es Teams, mögliche Kompromittierungen von Konten, Verstöße gegen Unternehmensrichtlinien und andere riskante Aktivitäten zu erkennen und zu beheben.

Das erste kontextabhängige Verhalten, das wir einführen, ist eine „unmögliche Reise“. Es hilft zu erkennen, ob die Anmeldeinformationen eines Nutzenden an zwei Orten verwendet werden, die der Nutzende in diesem Zeitraum nicht hätte bereisen können. Diese Risikobewertungen können in Zukunft noch erweitert werden, um personalisierte Verhaltensrisiken auf der Grundlage von kontextuellen Informationen, wie z. B. Tageszeit und Zugriffsmuster, hervorzuheben und anomales Verhalten zu kennzeichnen. Da der gesamte Traffic durch Ihre SWG geleitet wird, kann dies auch auf Ressourcen ausgeweitet werden, auf die zugegriffen wird, wie z. B. auf ein internes Firmen-Repository.

Wir haben einen spannenden Launch in der Security Week. Lesen Sie diesen Blog-Beitrag, um mehr zu erfahren.

Fazit

Von Anwendungs- und E-Mail-Sicherheit bis hin zu Netzwerksicherheit und Zero Trust – wir beobachten, dass Angreifer neue Technologien nutzen, um ihre Ziele effektiver zu erreichen. In den letzten Jahren haben mehrere Produkt- und Entwicklungsteams von Cloudflare intelligente Systeme eingeführt, um missbräuchliche Verwendung besser zu erkennen und den Schutz zu erhöhen.

Neben dem Hype um generative KI ist künstliche Intelligenz bereits ein entscheidender Bestandteil der Art und Weise, wie wir digitale Assets vor Angriffen schützen und wie wir böse Akteure abschrecken können.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Security Week (DE)AI (DE)Machine Learning (DE)Phishing (DE)Cloud Email Security (DE)API Security (DE)SASE (DE)Deutsch

Follow on X

John Cosgrove|@cameracoz
Ankur Aggarwal|@Encore_Encore
Cloudflare|@cloudflare

Related posts

March 08, 2024 2:05 PM

Log Explorer: Überwachung von Sicherheitsereignissen ohne Speicherlösungen von Drittanbietern

Mit der kombinierten Leistungsfähigkeit von Security Analytics + Log Explorer können Sicherheitsteams Sicherheitsangriffe nativ innerhalb von Cloudflare analysieren, untersuchen und überwachen. Dadurch werden die Zeit bis zur Lösung und die Gesamtbetriebskosten für Kunden reduziert...