Sicherheit in der IT ist ein ständiger Wettlauf zwischen Angreifern und Verteidigern. Stetig verändern Cyberkriminelle ihre Methoden und es kommen neue Nuancen in den Angriffsvektoren dazu. Intelligente Algorithmen zu implementieren und die IT-Infrastruktur mittels künstlicher Intelligenz und maschinellem Lernen abzusichern scheint demzufolge ein vielversprechender Ansatz zu sein. Jedoch besteht die größte Herausforderung beim maschinellen Lernen darin, die dafür nötigen Daten bereinigt, aufbereitet und im richtigen Format bereitzustellen. Es gibt keinen magischen Algorithmus, der aus einem chaotischen Datensatz sinnvolle Informationen erzeugen kann. Selbst die beste Data Science verfehlt ihren Zweck, wenn sie „schmutzige“ Daten zu analysieren hat, die unzureichend vorbereitet wurden. Daher kann das Ergebnis von Machine Learning immer nur so gut sein, wie die ihm zugrundeliegende Datenbasis.
Derzeit werden Machine-Learning-Modelle in der Cybersicherheit von qualifizierten Analysten trainiert, um sie fit für den Einsatz in der Praxis zu machen. Diese Entwicklung wird jedoch durch den allgegenwärtigen Fachkräftemangel verzögert. Hinzu kommt, dass einige der dabei beteiligten Sicherheitsanalysten nicht unbedingt Experten für maschinelles Lernen sind.
KI ist bereits Teil der Lösung
Manche Anbieter haben jedoch die Vorteile von KI im Bereich Cybersecurity bereits vor einigen Jahren erkannt. So nutzt der US-Cybersecurity-Spezialist Proofpoint beispielsweise seit Jahren maschinelles Lernen, um auf menschliche Schwächen ausgerichtete Angriffe zu erkennen und abzuwehren. Tatsächlich war eine der ersten Anwendungen dieser Technik im Bereich Cybersicherheit ein E-Mail-Filter, mit dem etwa die Reputation einer IP-Adresse oder das Versandmuster einer E-Mail untersucht wurden.
Anschließend wurden zusätzliche Ausprägungen potenzieller Angriffe mittels ähnlicher Machine-Learning-Techniken, wie sie sich im erwähnten E-Mail-Filter bewährt hatten, analysiert. Anstatt nur die sendenden IPs und Domänen zur Risikobewertung zu prüfen, wurde eine Nachricht in ihre Komponenten (z. B. Header, Nachrichteninhalt) zerlegt und auf Basis der Analyse all dieser Komponenten aus einer ganzheitlichen Sicht ein Risikowert zugewiesen. Anschließend dehnte Proofpoint die Analyse auf die angehängten Dateien sowie auf die in der E-Mail enthaltenen URLs aus, die in einer Sandbox geprüft werden. Inzwischen wird Machine Learning ähnlich eines neuralen Netzwerks angewendet, um Webseiten aufzuspüren, die sich als gefälschte Log-in-Seiten von beliebten Zielen wie Office 365 entpuppen.
Doch damit ist nur der erste Schritt getan. Um sich gegen auf den Menschen ausgerichtete Cyberangriffe zu schützen, werden bestehende Datenpipelines genutzt. Dies bedeutet, dass eine potenziell bedrohliche E-Mail, eine Datei mit ausführbarem Code für ein Endgerät oder ein Netzwerkpaket in die Machine-Learning-Modelle eingeschleust wird, um eine bessere Analyse zu gewährleisten. Dieser Ansatz bestand bereits bei den ursprünglichen Anwendungsfällen des maschinellen Lernens in der Cybersicherheit. Denn wenn man andererseits einen Social-Engineering-Angriff betrachtet, bei dem weder URLs oder angehängte Dateien verwendet werden, fällt die Analyse deutlich knapper aus. In diesem Fall gilt es, den Fokus auf die Botschaft selbst zu legen und neue Techniken zu verwenden.
Maschinelles Lernen noch in der Entwicklungsphase
Zwar gab es bereits große Fortschritte im Bereich des maschinellen Lernens, doch ist weiterhin noch viel Entwicklungsarbeit nötig. Es sind zwar bereits eine Vielzahl an Open-Source-Technologien und -Modellen verfügbar; sie bilden die notwendige Basis für effektive maschinelle Lernprozesse. Jedoch ist das maximal Mögliche längst nicht erreicht. Es fehlen nach wie vor brauchbare Daten, die das maschinelle Lernen in seinen Modellen richtig analysieren kann, sowie Analysten, die diese Modelle trainieren.
Unser Gastautor
Ryan Kalember, Senior Vice President für Cybersecurity-Strategie von Proofpoint
„Es gibt keinen magischen Algorithmus, der aus einem chaotischen Datensatz sinnvolle Informationen erzeugen kann. Selbst die beste Data Science verfehlt ihren Zweck, wenn sie „schmutzige“ Daten zu analysieren hat, die unzureichend vorbereitet wurden.“
Machine Learning als Ersatz für Entwickler?
Da die Cybersicherheitsbranche weiterhin gegen die Qualifikationslücke ankämpft, besteht die dringende Notwendigkeit, die Arbeitsabläufe effizienter zu gestalten. Davon betroffen dürften jedoch in der Regel nur Level-One-Analysten innerhalb eines Security Operations Centers sein, die sich zunächst mit Warnmeldungen beschäftigen und oft eine Reihe von konsistenten, wiederholbaren Verfahren ausführen. Diese mögliche Rationalisierung wird jedoch das Ergebnis der Automatisierung und nicht des maschinellen Lernens sein. Jedoch ist der Bedarf an Experten immer noch so hoch, dass die meisten Analysten nicht Gefahr laufen, in naher Zukunft ihren Arbeitsplatz zu verlieren.
Eine von vielen Komponenten
Bei Proofpoint wird das maschinelle Lernen im gesamten Produktportfolio zur schrittweisen Verbesserung der Schutzmechanismen genutzt. Dies ist allerdings nur eine von vielen Erkennungsmethoden. Denn besser ist es, sich nicht nur auf eine Vorgehensweise zu stützen, die dann 99% der Zeit funktionieren muss, sondern eine Vielzahl von Techniken einzusetzen, um einen sicheren Betrieb zu ermöglichen. Insgesamt fördert dieser Ansatz die Steigerung der Erkennungsraten. Maschinelles Lernen ist ein wichtiges Werkzeug im heutigen Toolkit von Security-Anbietern, jedoch kann es nicht alle bisherigen Techniken ersetzen. Abgesehen des maschinellen Lernens müssen auch Techniken wie statische Analyse, dynamische Verhaltensanalyse und Protokollanalyse zum Einsatz kommen.
Oft, aber nicht immer treffsicher
Künftig wird das maschinelle Lernen in bestimmten Kernfunktionen, wie dem Erkennen einer Bedrohung oder dem Identifizieren sensibler Informationen, entscheidend sein. Das maschinelle Lernen wird dabei zu einem wichtigen Faktor, um die Automatisierung in Bereichen wie Schwachstellen- und Konfigurationsmanagement voranzutreiben.
Es gibt jedoch Bereiche, wie etwa Verhaltensanalysen oder Trainings der Mitarbeiter zur Steigerung des Sicherheitsbewusstseins, die sich nicht durch maschinelle Lernmodelle ersetzen lassen. Die Technologie eignet sich weniger, um das Verhalten von Menschen zu bewerten oder Benutzer zu trainieren, da Menschen sehr individuell agieren. Dies würde zu einer äußerst hohen Anzahl von falsch-positiven Ergebnissen führen, wenn maschinell Verhaltensprofile von Benutzern erstellt werden, die vermeintlich ungewöhnliches Verhalten anzeigen, beispielsweise eine Gefährdung oder „böswillige Insider“. Daher wird Machine Learning zwar nicht alleine die Lösung aller Probleme darstellen, ein wichtiger Bestandteil ist es allerdings bereits jetzt allemal.
CC BY-ND 4.0 DE
Sie dürfen:
- Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
- Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
- Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
- Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
- Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.
- Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.