Die Wahrheit über „NextGen Security“

Rasant verbreiten sich derzeit Technologien wie KI (Künstliche Intelligenz) sowie Machine Learning (ML) und halten dabei auch Einzug in IT-Security-Produkte. Insbesondere neue Player, so genannte NextGen-Anbieter (NGs), die für die Erkennung ausschließlich auf KI und ML setzen, richten ihre Marketingstrategien gegen etablierte Hersteller. Diese führt zur Verunsicherung von Sicherheitsverantwortlichen und Anwendern, die bereits seit vielen Jahren sehr zufrieden mit dem Schutzniveau der Lösungen von erfahrenen Anbietern sind.

Kritik an „NextGen Security“

Es scheint daher notwendig, sachlich über die Unterschiede zwischen NextGen und „traditionellen“ Sicherheitsprodukten aufzuklären – und mit den Halbwahrheiten der Marketingstrategen aufzuräumen. „Mit der selbst gewählten Bezeichnung NextGen wollen sich neue Hersteller in erster Linie von etablierten Anbietern abgrenzen“, erklärt dazu Thomas Uhlemann, Security Experte bei ESET. Dieses europäische Unternehmen mit Hauptsitz in Bratislava ist ein solcher „etablierter“ Hersteller von Sicherheits-Software. Entsprechend offensiv wehrt sich Uhlemann gegen die NextGen-Anbieter. „Dabei steht die Kritik an einer vermeintlich rein reaktiven Herangehensweise, beispielsweise über Signaturdatenbanken, im Mittelpunkt“, erklärt der Experte weiter. „Während die neuen Marktbegleiter angeblich viele neue Technologien einsetzen, bedienen sie sich tatsächlich vieler Mechanismen und Technologien, die von den etablierten Herstellern über Jahre entwickelt, verfeinert und eingesetzt werden. “

Die (angeblich) neuesten Technologien

Die von NGs angeführten Technologien wie Whitelisting und Machine Learning sind zum Teil seit Jahren in Sicherheitslösungen langjährig erfahrener Anbieter integriert. Bereits seit 1997 fließen beispielsweise Erkenntnisse aus der Erforschung neuronaler Netze in die Schutzprodukte und -technologien von Anbietern wie ESET, seit 2002 ist die Verhaltenserkennung integriert.

Falschbehauptung: Etablierte Hersteller verlassen sich nur auf Signaturen

Kein einziger Anbieter im Security-Markt verlässt sich einzig und allein auf Signaturen. ESET setzt beispielsweise bereits seit Ende der neunziger Jahre nicht mehr nur auf Signaturen, sondern verfolgt einen mehrschichtigen Sicherheitsansatz, der verschiedene Mechanismen kombiniert.

Fehlalarme sind unvermeidbar, aber auch nicht schlimm – doch!

Eine 100-prozentige Erkennungsrate muss das Ziel jeder IT-Security-Lösung sein. Jeder Fehlalarm wiederum verursacht hohe zusätzliche Aufwände für den IT-Admin. Durch den Einsatz einer Lösung, die auf mehrere ineinandergreifende Technologien setzt, kann die False-Positive-Rate auf null gesenkt werden, was z.B. ESET wiederholt bei verschiedenen, unabhängigen Tests (wie beispielsweise von AV-Comparatives) unter Beweis gestellt hat.

Machine Learning ersetzt Updates – eben nicht

NGs argumentieren, dass Updates von Signaturdatenbanken etablierter Anbieter unzeitgemäß und halbjährliche Schwachstellenbehebungen von selbstlernender Software ausreichend seien. Eine Datenbank jedoch, die nur von seinen Nutzern und dem eigenen Netzwerk lernt, ohne externe Abgleichdaten zu erhalten, wird früher oder später zwangsläufig Fehler machen. Regelmäßige Updates sind zwingend notwendig, um laufend Erkenntnisse über Bedrohungen zu integrieren und so Nichterkennungen und Fehlalarme zu vermeiden.

Sandboxing: Intelligenter als Algorithmen

NGs behaupten, dass das Sandboxing eine veraltete Technologie sei, die von Algorithmen überflüssig gemacht wird. Richtig ist jedoch, dass die aus dem Sandboxing gewonnenen Erkenntnisse wichtig sind, um mehr über die Bedrohungen zu erfahren und die Erkennung immer weiter zu optimieren. Denn noch lange ist die KI der menschlichen Intelligenz nicht überlegen. Schädlicher Code wird auf immer raffiniertere Weise verschlüsselt und verschleiert. Wer nicht hinter die Fassade blickt, wird ihn nicht verstehen und keine Abwehr gegen ihn errichten können.

Quelle und weitere Informationen: ESET