Künstliche Intelligenz

Machine Learning und IT-Sicherheit

| Autor / Redakteur: Gérard Bauer* / Peter Schmitz

Angesichts zunehmender IT-Bedrohungen und der begrenzten Kapazitäten in den Sicherheitsteams müssen Unternehmen die neuen Möglichkeiten künstlicher Intelligenz gezielt gegen Cyber-Angriffe einsetzen.
Angesichts zunehmender IT-Bedrohungen und der begrenzten Kapazitäten in den Sicherheitsteams müssen Unternehmen die neuen Möglichkeiten künstlicher Intelligenz gezielt gegen Cyber-Angriffe einsetzen. (Bild: Pixabay)

Die Sicherheitsbedrohungen für IT-Netzwerke wachsen ständig, denn die Zahl der Angriffsflächen innerhalb komplexer Systemlandschaften wächst ebenso rasant wie die technischen Fähigkeiten von Hackern und Cyberkriminellen. Um Cyberattacken heute rechtzeitig zu bemerken und sie wirksam abzuwehren reichen Automatismen und menschliche Experten oft nicht mehr aus. Künstliche Intelligenzen sollen künftig Sicherheitslösungen bei der Erkennung und Abwehr von Angriffen unterstützen.

Die Angriffsszenarien legen laufend an Komplexität und Geschwindigkeit zu, gängige Sicherheitseinrichtungen werden aber immer häufiger von der schieren Masse von Attacken regelrecht überrannt. Bis ein erfolgreicher Hackerangriff entdeckt wird, vergehen durchschnittlich 146 Tage. Über 50 Prozent der Attacken werden dabei von Dritten entdeckt. Um an Administratorrechte zu gelangen, benötigen Angreifer lediglich drei Tage. Daher sollte ein Fokus der IT-Sicherheit darauf liegen, laufende Angriffe rechtzeitig zu bemerken, die Verweildauer von Angreifern und Schadsoftware im Netzwerk zu minimieren und schnellstmöglich geeignete Gegenmaßnahmen einzuleiten. Zugleich gilt es das IT-Sicherheitspersonal in Unternehmen zu entlasten. Die wenigen qualifizierten Netzwerkanalysten drohen in laufenden Angriffswarnungen zu versinken und kommen aufgrund knapper Kapazitäten kaum hinterher, laufende Attacken früh genug zu identifizieren und zu stoppen. Die Folge ist ein zunehmender Bedarf nach automatisierten IT-Sicherheitstools, die die Sicherheitsteams effektiv unterstützen.

Weg von der rein beobachtenden Beschreibung und hin zur aussagekräftigen Verhaltensanalyse: Eine vielversprechende Option, die bereits positive Ergebnisse erzielt hat, bietet der Paradigmenwechsel in Richtung verhaltensbasierter Sicherheitslösungen für IT-Netzwerke. Hier steht die Frage im Fokus, was ein auffälliges Phänomen innerhalb der Systemlandschaft potenziell anrichtet, und nicht etwa, was es konkret ist. Den Ausgangspunkt des Ansatzes bildet die Erkenntnis, dass menschliches Verhalten grundsätzlich unvorhersehbar ist – auch innerhalb einer Netzwerkumgebung. Allerdings ist die globale Suche nach Verhaltensanomalien ein gleichermaßen aufwendiges wie auffälliges Unterfangen. Vielmehr bewährt es sich, den Fokus auf die Verhaltensmuster potenzieller Angreifer zu richten.

Künstliche Intelligenz 1.0

Maschinelles Lernen hängt maßgeblich von Entwicklungen auf dem Gebiet der künstlichen Intelligenz (Artificial Intelligence; AI) ab. Am besten lässt sich künstliche Intelligenz, wie sie bereits heute in vielen Produkten zum Einsatz kommt, mit einem Roboter an einem Fließband vergleichen. Ein Großteil seiner Aufgabe besteht darin, immer wieder dieselben mechanischen Arbeiten auszuführen – zeitlich und räumlich punktgenau, ohne dass echte Intelligenz im engeren Sinne verlangt wird. Diese Form der Automatisierung führt in erster Linie zu Effizienzsteigerungen und zu Konsequenz bei der Identifikation und Reaktion auf Abweichungen. Um aber den entscheidenden Schritt hin zu echten intelligenten Systemen zu vollziehen, muss die Software auf effiziente Weise sämtliche Macken sowie die gängigen Verhaltens- und Entscheidungsmuster kennenlernen, die in der Systemlandschaft auftreten. Das ist beispielsweise dann der Fall, wenn es ein Datenpaket analytisch zu bewerten gilt, das automatisch zusammengestellt wurde. Ziel ist es in der Regel, Ähnlichkeiten mit zuvor erstellten und ausgeführten Paketen zu bestimmen, eine Priorisierung etwaiger Gefährdungspotenziale vorzunehmen und an einen menschlichen Entscheider weiterzuleiten. Was hier lediglich wie ein kleiner und logischer Schritt bei der Automatisierung anmutet, erfordert tatsächlich ein hohes Maß an qualifiziertem mathematischen Know-how sowie die nötige Intelligenz, um einen qualifizierten Entscheidungsfindungsprozess einzuleiten. Und an genau diesem Punkt setzen die führenden IT-Sicherheitslösungen an, die bereits auf künstlicher Intelligenz basieren.

Für eine funktionierende Verhaltensanalyse sollten drei Teilaspekte effektiv ineinandergreifen:

  • Im Rahmen von Global Learning gilt es anhand zuvor festgelegter Daten zu identifizieren, welche gemeinsamen Techniken zur Verbreitung von Bedrohungen und Schadsoftware üblicherweise genutzt werden. Dazu werden heuristische Supervised-Konzepte für maschinelles Lernen angewendet, beispielsweise in Form des Random Forest-Verfahrens.
  • Demgegenüber wird durch Local Learning einmalig festgelegt, was innerhalb des lokalen Netzwerks als normal und abnormal zu gelten hat. Hier kommen non-supervised Techniken des maschinellen Lernens und des Aufspürens von Anomalien zum Tragen, die beispielsweise auf algorithmischen Verfahren zur Vektorquantisierung beruhen.
  • Integrated Intelligence erkennt Zusammenhänge zwischen Einzelereignissen im Netzwerk, um die Tragweite eines potenziellen Angriffsszenarios zu erfassen. Die Wechselwirkung von Ereignissen in Netzwerkordnern, Laufwerken und Co. folgt unter anderem dem Wahrscheinlichkeitskalkül Bayesscher Netze.

Wie können Verantwortliche für IT-Sicherheit die Leistung und Effektivität ihres Teams optimieren? Ein aussichtsreiches Feld für entsprechende Maßnahmen bietet sich dort, wo menschliche Fähigkeiten um das Potenzial maschinellen Lernens ergänzt und angereichert werden können. Üblicherweise erledigen Netzwerkanalysten eine ganze Bandbreite von Routineaufgaben, die zu ihrem „Handwerk“ einfach dazugehören und in die sie ihr gesamtes Wissen, ihre Fähigkeiten und Erfahrungen einbringen. Zusätzlich werden sie regelmäßig von einer Welle zeitraubender Sicherheits-Checks überflutet, von denen die Mehrheit unkritisch oder sogar Fehlalarme sind. Zusätzlich müssen sie kontinuierlich auf dem Laufenden bleiben und nachforschen, welche neuen Bedrohungen, Methoden und Angriffsmuster hinzugekommen sind – ein unvermeidlicher Aufwand, weil lückenlose Schutzmaßnahmen am Netzwerkperimeter in der heutigen digitalen Landschaft schlichtweg nicht praktikabel sind. Irgendetwas kommt immer durch, lautet die einfache, aber folgenschwere Erkenntnis. Vor diesem Hintergrund wird die zeitnahe Erkennung von Sicherheitsbedrohungen zum Schlüsselfaktor. Manche der damit verbundenen Aufgaben wie die Analyse von Indikatoren, die auf eine Bedrohung hinweisen, oder die Früherkennung verdächtiger Signale innerhalb des Netzwerks können mit den passenden Tools automatisiert werden und somit die Effektivität und Effizienz im Aufgabenbereich der zuständigen Netzwerkanalysten signifikant steigern.

Automatisiertes Bedrohungsmanagement, das auf maschinellem Lernen und Data Science basiert, ist in der Lage, ein zuverlässiges Monitoring des Netzwerktraffics zu bewerkstelligen, Echtzeitanalysen durchzuführen und darauf aufbauend die etwaigen Risiken laufender Cyberattacken auszumachen und nach Maßgabe ihrer Gefährlichkeit zu priorisieren. Da dieser Prozess pausenlos aktiv ist, erhalten die IT-Sicherheitsteams im Ernstfall unverzüglich Meldung über eine Bedrohung und können ihre Kapazitäten bündeln und vollends auf die Gefahrenabwehr richten.

Eine Abwehr potenzieller Bedrohungen und Schadensquellen, die auf den oben genannten Analyseverfahren beruht, kann ohne Weiteres passgenau auf die bestehende Strategie zum Gefahrenmanagement zugeschnitten oder in manchen Fällen sogar vollends automatisiert werden. Beispielsweise könnte die automatische Netzwerkkommunikation zur Vereitelung von Cyberangriffen und Datenklau so aussehen: Während die Abwehrmaßnahmen am Netzwerkperimeter bekannten schadhaften Traffic blockieren, wird bislang unbekannte Ransomware innerhalb eines infizierten Areals mithilfe intelligenter Software isoliert, der Originaldatenbestand wiederhergestellt und Hosts, auf denen sich verdächtige Kopien der Software befinden, werden unter Quarantäne gestellt.

Was bringt die Zukunft?

Auf sich allein gestellt kann kein Mensch, egal wie versiert er ist, die komplette Bandbreite von Herausforderungen simultan meistern, die im Jahr 2017 zu den IT-Standards zählen – von der anschwellenden Flut sicherheitsrelevanter Daten über das laute Konzert Alarm schlagender Sicherheitssysteme bis hin zur Unmenge verfügbarer Sicherheits-Tools. Angesichts des rasanten Zuwachses von Angriffsflächen und Bedrohungsszenarien sowie der angespannten Kapazitätssituation in den Sicherheitsteams sind Unternehmen dazu angehalten, die neuen Möglichkeiten künstlicher Intelligenz gezielt einzusetzen, um Bedrohungen für die Netzwerksicherheit automatisch zu erkennen, schneller darauf zu reagieren und dadurch bessere Ergebnisse zu erzielen.

Eine zukunftsweisende Option bieten mitdenkende Sicherheitslösungen. So lässt sich beispielsweise Mithilfe von Data Science, maschinellem Lernen und Verhaltensanalyse eine wirksame Echtzeitkontrolle innerhalb des Netzwerks und aller angeschlossenen Teilbereiche realisieren. Das System erkennt auffällige Datenbewegungen und Unregelmäßigkeiten und bei Bedarf Sicherheitsalarm aus. Noch steckt die Branche für IT-Sicherheit in den Kinderschuhen, was die Anwendung von Techniken maschinellen Lernens betrifft. Doch darin liegt allerdings auch enormes Potenzial verborgen: Denn noch gilt es, die Grenzen dessen, was möglich ist, auszuloten und verlässlich festzuhalten. Darüber hinaus gehen Fachleute aus der akademischen Welt der Informatik und IT-Sicherheit davon aus, dass wir gerade erst damit anfangen, maschinelles Lernen als eigenständige Teildisziplin der Mathematik wie bereits Algebra und Analysis anzuerkennen und ihre Wichtigkeit für künftige Generationen zu begreifen. Vor diesem Hintergrund empfiehlt es sich, nicht zu verzagen, wenn Begriffe wie künstliche Intelligenz oder maschinelles Lernen fallen, sondern vielmehr den Blick darauf zu richten, wie diese Techniken eingesetzt werden und zu welchen Problemlösungen sie einen wertvollen Beitrag leisten.

* Gérard Bauer ist Vice President EMEA bei Vectra Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44583775 / Künstliche Intelligenz)