München, Starnberg, 29. Jan. 2020 - Spezialist ‚Vectra’ sieht die KI als technologischen Eckpfeiler für eine schnelle Erkennung und Reaktion auf Bedrohungen...
Zum Hintergrund: Cybersicherheit, KI und Datenmanagement. Inhaltlich überschneiden sich die Begriffe immer mehr und das ist mit ein Grund, weshalb im Folgenden das Thema „Cybersicherheit basierend auf künstlicher Intelligenz“ - unabhängig von unserem Kernthema Speicher- und Datenverwaltung - hier etwas ausführlicher betrachtet werden soll. Dazu gibt Ihnen Andreas Müller, Director DACH bei Vectra** - einem Unternehmen das zu 100% auf IT-Sicherheitslösungen setzt, die auf künstlicher Intelligenz und maschinellem Lernen basieren - einen Ausblick darauf, wie sich dieser Bereich der Cybersecurity auf absehbare Zeit entwickeln wird.
Zum Beitrag: „Trotz immer wieder verbesserter Präventionsmaßnahmen am äußeren Netzwerkrand stellt sich nicht die Frage, ob es einem Cyberangreifer gelingen wird, ins Netzwerk zu kommen, sondern wann. Unternehmen müssen darauf vorbereitet sein, dass Angreifer bereits im Netzwerk zugange sind. Entscheidend ist es, sich anbahnende oder bereits stattfindende Cyberangriffe möglichst schnell zu erkennen und gezielt darauf reagieren zu können. Genau dies gestaltet sich mit herkömmlichen Methoden und manuellen Prozessen als schwierig. Somit ist es nicht verwunderlich, dass laut M-Trends Report 2019 in Europa (1) ein Median von 177 Tagen vergeht, bis ein Unternehmen einen aktiven Angreifer in seinem Netzwerk entdeckt. In 44 Prozent dieser Vorfälle erfolgte eine Entdeckung erst, nachdem eine externe Partei das betroffene Unternehmen informiert hatte.
Erforderliche Geschwindigkeit und Größenordnung nur mit KI zu bewältigen
Unternehmen verfügen nur über begrenzte Ressourcen, um die stetige Flut an Warnungen manuell zu durchsuchen. Abhilfe schaffen seit einigen Jahren ausgeklügelte Methoden aus dem Bereich der künstlichen Intelligenz (KI) wie etwa maschinelles Lernen (ML), um eine automatisierte Erkennung und Priorisierung von Bedrohungen zu unterstützen. KI agiert in einer Geschwindigkeit und Größenordnung, die der Mensch allein niemals erreichen könnte, und kann auch subtile Zeichen im "Lärm" der heutigen Kommunikation erkennen.
KI im Bereich der Cybersicherheit hat sich innerhalb weniger Jahre enorm weiterentwickelt. Der Einsatz von KI erweitert die Möglichkeiten zur Netzwerküberwachung auf verdächtige Aktivitäten. KI-basierte NDR-Lösungen (NDR = Network Detection and Response), sind in der Lage, aktive Cyberangriffe zu erkennen, die sonst unerkannt bleiben würden. Hierzu werden mittels KI-Methoden Muster in Datenströmen erfasst und verarbeitet, um unveränderliche Verhaltensweisen im Angriffslebenszyklus sichtbar zu machen. Hierzu zählen Command-and-Control-Kommunikation, Auskundschaftung und seitliche Bewegung im Netzwerk, Datenexfiltration, Ransomware-Aktivitäten oder das Abschöpfen von Rechenleistung für den Betrieb von Botnets.
Funktionsweise einer KI-basierten NDR-Plattform für Erkennung und Reaktion
Eine KI-basierte NDR-Plattform verarbeitet riesige Mengen an Netzwerkdaten. Diese werden zur Generierung angereicherter Sicherheitsmetadaten verwendet, die zur schnellen Erkennung und Reaktion auf Netzwerkbedrohungen analysiert werden. Zu den wichtigen Sicherheitsattributen gehören Sicherheitsmuster (z.B. Beacons), normale Muster (z.B. Lernmuster), Informationen (z.B. schwache Signale), typisches Verhalten von Angreifern, Account-Scores, Host-Scores und korrelierte Angriffskampagnen. Mithilfe speziell entwickelter Angreiferverhaltens-Modelle können Bedrohungen automatisch und in Echtzeit erkannt werden. Sensoren in der Cloud, im Rechenzentrum und in Unternehmensnetzwerkumgebungen generieren diese Sicherheitsmetadaten ständig aus dem Datenverkehr und reichern sie mit externen Bedrohungsinformationen und lokalen Einsichten über hochgradig private Konten unter Verwendung von Active Directory- und DHCP-Protokollen an.
Diese sicherheitsrelevanten Metadaten werden Analysten zur Recherche zur Verfügung gestellt und gleichzeitig von einer Reihe von KI-Algorithmen überprüft, die jeweils das Verhalten eines bestimmten Angreifers identifizieren sollen. Jedes Angreiferverhalten wird nach Risiko und Sicherheit bewertet und dann einem Host zugewiesen, anstatt nur durch eine IP-Adresse identifiziert zu werden (die sich oft im Laufe einer Untersuchungs- oder Angriffsperiode ändern kann).
Hochgradige Automatisierung reduziert dabei die Arbeitsbelastung von Sicherheitsanalysten erheblich. Prozesse, die auf herkömmliche Weise Wochen oder gar Monate in Anspruch nehmen würden, können mit KI-Unterstützung in Minuten erledigt werden. Da die wichtigsten Informationen schnell zur Verfügung stehen, indem die Erkennungen mit verwertbarem Kontext ergänzt werden, gehört die endlose Jagd und Suche nach Bedrohungen der Vergangenheit an.
KI: Heutige Bedeutung für die Cybersicherheit und Ausblick auf die Zukunft
Die Rolle der KI in der Cybersicherheit ist nicht nur ein datenwissenschaftliches Thema, denn benötigt wird auch sicherheitsrelevantes Fachwissen. Versierte Sicherheitsforscher arbeiten deswegen mit erfahrenen Datenwissenschaftlern zusammen, um hochgradig abgestimmte, rauscharme, hocheffiziente und aufgabenorientierte Algorithmen für die Bedrohungssuche aufzubauen. Ebenso ist ein zunehmender Einsatz von Deep-Learning-Techniken – wie z.B. wiederkehrende neuronale Netze – zu erwarten, die es Algorithmen ermöglichen, kontinuierlich zu lernen und sich weiterzuentwickeln. Während viele Unternehmen bereits in Cybersicherheits-Tools investiert haben, die grundlegende maschinelle Lerntechniken (z.B. Random Forest) verwenden (2), dürfte aktuell Deep Learning zur Best Practice zur Erkennung von Cyberangriffen avancieren.
Fazit: KI wird immer mehr zum Rettungsanker, um mit minimalen Personalressourcen, aufgrund fehlender Fachkräfte ein hohes Niveau an Sicherheit aufrechtzuerhalten. KI-Plattformen für die Erkennung und Reaktion auf immer anspruchsvollere Bedrohungen werden sich insgesamt weiter verbessern. Sie werden künftig viele unterschiedliche Datenquellen nutzen, um aus lokalen Datenströmen und Ereignissen sowie der aktuellen globalen Bedrohungslandschaft ein aufschlussreiches Gesamtbild zu erstellen. KI-gestützte Cybersicherheit muss sich rasch weiterentwickeln und den Gegnern den entscheidenden Schritt voraus sein, die sich künftig ihrerseits KI zunutze machen werden, um Cyberangriffe auszuführen.“
**Das Foto zeigt Andreas Müller, Director DACH bei Vectra (Bildquelle: Vectra).
Quellenangaben
(1) https://www.fireeye.de/current-threats/annual-threat-report/mtrends.html
(2) https://www.stat.berkeley.edu/~breiman/RandomForests/cc_home.htm