Treffer mit Machine Learning

Die von com! professional befragten Experten sind sich einig: Den Unternehmen stehen mit Cloud, Big Data und maschinellem Lernen Technologien zur Verfügung, um größte Datenmengen schnell zu analysieren und Zusammenhänge selbst in umfangreichsten IT-Umgebungen zu erkennen – und so zeitnah auf neuartige Attacken zu reagieren. „So wird es etwa möglich, das Verhalten von fünf Benutzern in einem 10, 50 oder gar 250.000 Mitarbeiter großen Unternehmen nicht nur als verdächtig, sondern als Bestandteil eines gezielten Angriffs zu erkennen. Dies erfordert allerdings eine gute Qualität und kontinuierliche Überwachung der zugrundeliegenden Daten sowie eine stetige Weiterentwicklung der Algorithmen“, erklärt Achim Kraus, Director of Sales Engineering bei Cybereason.

Beim maschinellen Lernen wird das System – vereinfacht gesagt – zunächst trainiert und mit Netzwerkinformationen sowie den beschriebenen sicherheitsbezogenen Daten gefüttert. Dabei wird mittels Mustererkennung auch eine Art „Normalverhalten“ definiert, anhand dessen später frühzeitig Anomalien erkannt und Bedrohungen entdeckt werden.

Die Anbieter von SI-Lösungen entwickeln ihre Algorithmen stetig weiter und verfeinern sie mit dem Ziel, die Trefferquote zu erhöhen, die Anzahl von Fehlalarmen (False Positives) zu reduzieren und bislang unbekannte Angriffsmuster zu entdecken. Dazu kombinieren sie auch verschiedene Algorithmen miteinander oder verwenden Algorithmen, die auf neuronalen Netzen beruhen.

Letztendlich entstehen so statistische Machine-Learning-Modelle, auf deren Basis eine SI-Lösung in Echtzeit entscheiden kann, ob ein Netzwerkverkehr gut- oder bösartig ist. Zudem erkennen sie das Verhalten moderner Malware besser, die für traditionelle Standardlösungen nicht sichtbar ist. Sie identifizieren und blockieren selbst unbekannte Malware-Familien, die Domänennamen für infizierte Hosts generieren und versuchen, Befehls- und Kontroll-Server zu kontaktieren.

SI-Lösungen verknüpfen zwar Daten miteinander, die vorher nicht in Beziehung standen, liefern eine Gesamtsicht der Bedrohungen und ermöglichen, in Echtzeit Abwehrmaßnahmen zu treffen und laufend zu verfeinern, ein Allheilmittel sind sie aber nicht. Security Intelligence allein reicht nicht aus, um Unternehmen sicher zu machen.

„Security Intelligence wird nur erfolgreich sein, wenn die Lösung in eine umfassende Security-Strategie und entsprechende Sicherheitsrichtlinien eingebettet ist. Firmen müssen zuvor ihre Daten klassifizieren und dann die Risiken analysieren. Aus der Risikobewertung heraus erfolgt meist die Security-Strategie mit unterschied­lichen Maßnahmen und Abwehrlinien inklusive einer Schulung der Mitarbeiter. Hier sehen wir unterschiedliche Reifegrade in den Unternehmen“, sagt Ralf Gehrke von Akamai.

Oliver Tavakoli, Chief Technology Officer bei Vectra Networks, weist auf weitere Fallstricke wie die niedrige Datenqualität und die hohe Komplexität der multidimensionalen SI-Lösungen hin: „Deshalb fällt es oft schwer, dem Endanwender wirklich verständlich zu machen, warum die Systeme beispielsweise ein bestimmtes Event als verdächtig einstufen und ein anderes nicht.“ Ein denkbares Risiko beim Einsatz sieht er zudem darin, dass „besonders ausgefuchste Angreifer möglicherweise versuchen werden, ihr Vorgehen auf die Erkennungsstrategien der Lösungen abzustimmen und die Daten zu kontaminieren, aus denen die Systeme ihre Schlüsse ziehen.“

Eine spannende Frage ist auch, inwieweit SI-Lösungen fehlendes Wissen der Mitarbeiter kompensieren können. Für Jochen Rummel, Regional Director DACH bei FireEye, ist die Antwort eindeutig: „Mit Security Intelligence alleine lässt sich kein fehlendes Know-how der Mitarbeiter ausgleichen. Technologie sollte CISOs oder IT-Sicherheitsteams die Arbeit erleichtern, ihnen Sichtbarkeit in ihrem Netzwerk geben, Alerts priorisieren, um sie zu befähigen, eine schnelle Response durchzuführen. Es geht darum, Prozesse zu vereinfachen und zu automatisieren – aber auch darum, erfahrene Security-Analysten zu haben. Die Expertise eines erfahrenen Analysten ist kaum zu ersetzen: Am Ende verstehen Menschen andere Menschen immer noch am besten.“

Ein Urteil, dem im Kern alle befragten Experten zustimmen. Für Marc Fliehe, Bereichsleiter Informa­tion Security beim Branchenverband Bitkom, senken Security-Intelligence-Lösungen zwar das Risiko durch „normale“ Mitarbeiter aus den Fachbereichen oder bieten einen Mehrwert, wenn im Unternehmen selbst nur geringe Security-Expertise vorhanden ist. „In der Firma selbst muss aber die Kompetenz und Erfahrung vorhanden sein, ob ich mich auf diese Daten und Treffer der Maschine verlassen kann. Es geht darum, die Güte und Qualität der Lösung bewerten zu können. Ist das ein falscher Alarm? Reicht die vorgeschlagene Maßnahme aus?“

Marc Fliehe sieht in Security-Intelligence-Lösungen letztlich ein gutes Mittel zur Unterstützung der Security-Verantwortlichen, das allerdings das Risikomanagement und mensch­liches Know-how nicht ersetzen kann. Er hält die Cyberkriminellen für kreativ genug, Bedrohungen zu entwickeln, die auch die Maschinen nicht erkennen können – zumal ja auch aus neuen Anwendungen neue Muster entstünden. „Es kann sein, dass ein bestimmtes Kommunikationsverhalten im Netz aus einer neuen Business-Aktivität resultiert und nicht durch einen Angriff erklärt werden kann. Dieses Wissen haben ausschließlich die Mitarbeiter, eine Secu­rity-Intelligence-Lösung kann sich das wohl auch mit Künstlicher Intelligenz nicht selbstständig erschließen.“