Bedrohungserkennung

Check Point bringt KI-gestützte Bedrohungserkennung für GitHub

, Check Point | Autor: Herbert Wieler

Check Point bringt KI-gestützte Bedrohungserkennung für GitHub

GitHub Abuse Engine

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einer der Pioniere und führenden Anbieter für Cybersicherheitslösungen, hat eine neue KI-Technologie vorgestellt, die gezielt Bedrohungen auf GitHub aufspürt: die GitHub Abuse Engine . Diese Lösung setzt auf fortschrittliche Algorithmen und künstliche Intelligenz, um betrügerische Benutzerkonten und Repositories zu identifizieren – etwa solche, die Daten stehlen oder Malware über Drive-by-Downloads verbreiten. Die Engine ist direkt in ThreatCloud AI integriert und schützt damit nahtlos über Quantum Security Gateways, Harmony Email, Harmony Endpoint und Harmony Mobile.

Wie die GitHub Abuse Engine arbeitet

Die Engine untersucht öffentliche und anonyme GitHub-Profile sowie deren Repositories. Sie analysiert dabei unter anderem Haupt- und JavaScript-Dateien und führt mithilfe von KI eine tiefgehende Code-Prüfung durch. Ziel: Schadcode enttarnen und Angriffe auf Zugangsdaten erkennen.

Das System arbeitet in mehreren Schritten:

  1. Datensammlung: Ständige Überwachung von GitHub-Repositories – inklusive Änderungen, Aktivitäten und Metadaten.
  2. Merkmalserkennung: Auffinden verdächtiger Muster, z. B. ungewöhnliche Commits oder auffällige Nutzeraktivitäten.
  3. Mustererkennung: Einsatz von Machine Learning, um betrügerische Verhaltensweisen zu erkennen.
  4. Bedrohungsklassifizierung: Einstufung der Bedrohungen nach Schwere und Art, um gezielt reagieren zu können.
  5. Abgleich mit ThreatCloud AI: Präzise Verifizierung anhand der umfangreichen Bedrohungsdatenbank von Check Point.

Warum GitHub ein attraktives Ziel ist

Mit Millionen an Open-Source-Projekten ist GitHub längst ein beliebtes Werkzeug – leider auch für Cyberkriminelle. Sie nutzen die Plattform, um Schadsoftware zu verbreiten, sensible Daten zu stehlen oder Angriffe vorzubereiten. Klassische Reputationssysteme stoßen hier an ihre Grenzen, da Subdomain-Angriffe oft unbemerkt bleiben. Bisher galt die Inhaltsanalyse durch aktives Browsen als zuverlässigste Methode zur Bedrohungserkennung. Sie ist jedoch teuer und greift erst, wenn der Angriff bereits aktiv ist. Die GitHub Abuse Engine erkennt verdächtige Aktivitäten dagegen präventiv – bevor Schaden entsteht.

Weniger Fehlalarme, mehr Präzision

In der Sicherheitsbranche sind Fehlalarme ein bekanntes Problem. So kann schon eine statische Kopie einer bekannten Website (etwa für Schulungszwecke) dazu führen, dass der Entwickler blockiert oder sogar auf die Google-Safe-Browsing-Liste gesetzt wird. Die GitHub Abuse Engine reduziert solche False Positives erheblich, indem sie das Verhalten und den Code präzise analysiert.

Fallbeispiel: Umgehung durch Code-Verschleierung

Ein anonymes Konto mit dem Nutzernamen cpanel-rcpfghygfdrftgyujt stellte eine gefälschte Login-Seite online, um Zugangsdaten zu stehlen. Der Angriff nutzte eine Escape-basierte Verschleierung, um bösartigen JavaScript-Code zu verstecken.

Bei der Analyse erkannte die Engine ein verdächtiges Muster: heimlich wurde ein Formular in die Seite eingeschleust, das Daten an eine externe, vom Angreifer kontrollierte Domain sendete – ohne jeden Bezug zu cPanel. Die URL wurde umgehend blockiert, wodurch Check-Point-Kunden vor dem Angriff geschützt wurden.