Mit Künstlicher Intelligenz gegen Hacker kämpfen
Treffer mit Machine Learning
von Jürgen Mauerer - 18.05.2017
Die von com! professional befragten Experten sind sich einig: Den Unternehmen stehen mit Cloud, Big Data und maschinellem Lernen Technologien zur Verfügung, um größte Datenmengen schnell zu analysieren und Zusammenhänge selbst in umfangreichsten IT-Umgebungen zu erkennen – und so zeitnah auf neuartige Attacken zu reagieren. „So wird es etwa möglich, das Verhalten von fünf Benutzern in einem 10, 50 oder gar 250.000 Mitarbeiter großen Unternehmen nicht nur als verdächtig, sondern als Bestandteil eines gezielten Angriffs zu erkennen. Dies erfordert allerdings eine gute Qualität und kontinuierliche Überwachung der zugrundeliegenden Daten sowie eine stetige Weiterentwicklung der Algorithmen“, erklärt Achim Kraus, Director of Sales Engineering bei Cybereason.
Die Anbieter von SI-Lösungen entwickeln ihre Algorithmen stetig weiter und verfeinern sie mit dem Ziel, die Trefferquote zu erhöhen, die Anzahl von Fehlalarmen (False Positives) zu reduzieren und bislang unbekannte Angriffsmuster zu entdecken. Dazu kombinieren sie auch verschiedene Algorithmen miteinander oder verwenden Algorithmen, die auf neuronalen Netzen beruhen.
Letztendlich entstehen so statistische Machine-Learning-Modelle, auf deren Basis eine SI-Lösung in Echtzeit entscheiden kann, ob ein Netzwerkverkehr gut- oder bösartig ist. Zudem erkennen sie das Verhalten moderner Malware besser, die für traditionelle Standardlösungen nicht sichtbar ist. Sie identifizieren und blockieren selbst unbekannte Malware-Familien, die Domänennamen für infizierte Hosts generieren und versuchen, Befehls- und Kontroll-Server zu kontaktieren.
SI hat Grenzen
SI-Lösungen verknüpfen zwar Daten miteinander, die vorher nicht in Beziehung standen, liefern eine Gesamtsicht der Bedrohungen und ermöglichen, in Echtzeit Abwehrmaßnahmen zu treffen und laufend zu verfeinern, ein Allheilmittel sind sie aber nicht. Security Intelligence allein reicht nicht aus, um Unternehmen sicher zu machen.
„Security Intelligence wird nur erfolgreich sein, wenn die Lösung in eine umfassende Security-Strategie und entsprechende Sicherheitsrichtlinien eingebettet ist. Firmen müssen zuvor ihre Daten klassifizieren und dann die Risiken analysieren. Aus der Risikobewertung heraus erfolgt meist die Security-Strategie mit unterschiedlichen Maßnahmen und Abwehrlinien inklusive einer Schulung der Mitarbeiter. Hier sehen wir unterschiedliche Reifegrade in den Unternehmen“, sagt Ralf Gehrke von Akamai.
Der Mensch bleibt wichtig
Eine spannende Frage ist auch, inwieweit SI-Lösungen fehlendes Wissen der Mitarbeiter kompensieren können. Für Jochen Rummel, Regional Director DACH bei FireEye, ist die Antwort eindeutig: „Mit Security Intelligence alleine lässt sich kein fehlendes Know-how der Mitarbeiter ausgleichen. Technologie sollte CISOs oder IT-Sicherheitsteams die Arbeit erleichtern, ihnen Sichtbarkeit in ihrem Netzwerk geben, Alerts priorisieren, um sie zu befähigen, eine schnelle Response durchzuführen. Es geht darum, Prozesse zu vereinfachen und zu automatisieren – aber auch darum, erfahrene Security-Analysten zu haben. Die Expertise eines erfahrenen Analysten ist kaum zu ersetzen: Am Ende verstehen Menschen andere Menschen immer noch am besten.“
Marc Fliehe sieht in Security-Intelligence-Lösungen letztlich ein gutes Mittel zur Unterstützung der Security-Verantwortlichen, das allerdings das Risikomanagement und menschliches Know-how nicht ersetzen kann. Er hält die Cyberkriminellen für kreativ genug, Bedrohungen zu entwickeln, die auch die Maschinen nicht erkennen können – zumal ja auch aus neuen Anwendungen neue Muster entstünden. „Es kann sein, dass ein bestimmtes Kommunikationsverhalten im Netz aus einer neuen Business-Aktivität resultiert und nicht durch einen Angriff erklärt werden kann. Dieses Wissen haben ausschließlich die Mitarbeiter, eine Security-Intelligence-Lösung kann sich das wohl auch mit Künstlicher Intelligenz nicht selbstständig erschließen.“