Menschen unterstützen, nicht ersetzen

Das SOC mit KI neu erfinden

| Autor / Redakteur: Alan Zeichick / Peter Schmitz

Über das Verhältnis zwischen Menschen und künstlicher Intelligenz wird viel diskutiert. Wird sie uns helfen oder ersetzen?
Über das Verhältnis zwischen Menschen und künstlicher Intelligenz wird viel diskutiert. Wird sie uns helfen oder ersetzen? (Bild: Pixabay / CC0)

Wenn es um KI in der Cybersecurity geht, gibt es dafür zwar noch keine klaren Regeln, aber das Potential scheint gewaltig. KI kann lernen, Nutzer, Geräte, Anwendungen und Netzwerke zu schützen und zu verteidigen. Angewandte KI kann im Security-Operations-Center mehr leisten als regelbasierte Systeme. Das Argument, dass KI Menschen unterstützt, anstatt sie zu ersetzen, ist kräftig.

Es ist unmöglich, Regeln zu erstellen, die zwischen den Guten und den Bösen im Internet unterscheiden. Und zwar deshalb, weil die Bösen ihre Taktik kontinuierlich ändern, aus ihren Fehlern lernen und gerissener werden. Es gibt keine Regeln, die alle bösartigen oder Phishing-E-Mails herausfiltern. Es gibt keine Regeln, die Malware in E-Mail-Anhängen filtern, Fake-Websites blockieren oder sagen, welche Daten sicher oder gefährlich sind.

Vielleicht mit einer gewissen Einschränkung: Es lassen sich Regeln erstellen, aber sie werden nicht gut genug funktionieren, um SOC-Analysten zu ersetzen, insbesondere die Tier-1-Analysten, die vor dem Problem viel zu vieler False-Positives und False-Negatives stehen. Das Ziel ist es nicht, SOC-Analysten zu ersetzen, sondern sie zu unterstützen, schneller, besser und effizienter zu werden.

Nehmen wir zum Beispiel Sprengstoffsuchhunde. Ihre Aufgabe ist es nicht, Sprengstoffexperten zu ersetzen. Sie werden genutzt, um Menschen zu ergänzen, ihre Arbeit schneller, bei geringeren Kosten und mit größerer Genauigkeit zu machen, als sie es selbst könnten.

Es gibt zwar noch keine Hunde für das Erschnüffeln von Malware, aber Techniken der künstlichen Intelligenz wie maschinelles Lernen zum Schützen von Menschen und Ressourcen. Angewandte KI arbeitet besser als jedes regelbasierte System im SOC.

Bevor wir uns damit beschäftigen, wie KI das SOC-Problem lösen kann, gilt es, eine weitere Herausforderung zu betrachten, nämlich die Unfähigkeit zur Skalierung.

Das SOC-Problem ist menschlicher Natur

Zwei Wörter beschreiben das SOC-Problem eindeutig: Wirtschaftliche Ineffizienz. Das meint zumindest Malcom Harkins, Chief Security and Trust Officer bei Cylance. „In den vergangenen Dekaden hat der Security-Betrieb einen stetig steigenden Bedarf an Arbeitskräften erzeugt. Insbesondere dadurch, dass die bestehenden Mechanismen sich als unzureichend und ineffektiv erwiesen haben“, erklärt Harkins. „Im SOC mündet das in eine gewisse Alarmmüdigkeit und etwas, das ich Demenz der Entscheidungsträger nenne, die in zu viele Richtungen mit gegensätzlichen Prioritäten gezogen werden.“

Alarmmüdigkeit? Demenz der Entscheidungsträger? Ja, meint Harkins: „SOC-Verantwortliche finden keinen Weg zur Skalierung. Wir haben der wirtschaftlichen Ineffizienz, die wir mit dem bestehenden Security-Ansatz geschaffen haben, nicht genug Beachtung geschenkt. Wenn wir den richtigen Weg beschreiten, dann können wir diese Effizienz zurückgewinnen.“

Ein ähnliches Problem ist die horizontale Skalierung des SOC durch die Einrichtung zusätzlicher SOCs rund um die Welt, um eine 24-Stunden-Abdeckung im Tagesverlauf zu erzielen“, erläutert Rishi Bhargava, Co-Founder von Demisto. „Verteilte SOCs schaffen Probleme, weil schwerwiegende Vorfälle nicht durch eine einzige Person bearbeitet werden können, weil die Untersuchung nicht fortgeführt werden kann, wenn der Analyst Arbeitsschluss hat. Wie erfolgt die Übergabe? Wie funktioniert die Zusammenarbeit?“

Ein dritter Problembereich bezieht sich auf das fachliche Können und die Durchführung von Trainings ohne Alarmmüdigkeit. Greg Kiker, Global Senior Director Cybersecurity Consultant bei Atos SE erklärt: „Es gibt Tier-1-Analysten, die die meiste Zeit damit verbringen, Alarme durchzugehen. Allerdings wollen Tier-1-Analysten nicht lange Tier-1-Analysten bleiben. Sie sind knapp, sie verlangen viel Geld dafür, was sie tun, und die Trainingsanforderungen und die Fluktuation sind hoch.“

Greg Martin, CEO und Mitbegründer von JASK, stimmt dem zu: „Das ist genau das Problem des Security-Betriebes. Er beruht auf einem mangelhaften Modell. Das Tier-1-, Tier-2- und Tier-3-Modell ist veraltet und benötigt Veränderungen. Es hält mit dem gegenwärtigen Status der Bedrohungen nicht Schritt.“

„Wir verfügen über Technologien zur Automation der Alarmsichtung und -behandlung“, fährt Martin fort. Wir brauchen keine Tier-1-Analysten mehr. Wir müssen diese Arbeit in die Hand von Maschinen geben und die Mitarbeiter für höhere Tätigkeiten im SOC einsetzen.“

Spürhunde einsetzen

Künstliche Intelligenz, insbesondere maschinelles Lernen, Big-Data-Analytics und Verhaltensanalysen können und sollten Anomalien aufspüren. Nicht basierend auf Rollen oder Mustern: Etwas sieht falsch aus, eine Anwendung verhält sich, als ob sie gehackt wäre, ein Anwender verhält sich nicht in korrekter Art und Weise, dieses Netzwerkgerät hat eine veränderte IP-Adresse, dieser Server könnte einen Bot tragen.

Wie lassen sich KI und KI-basierte Automation in einem Security-Betriebssystem einsetzen? Das Beginnt mit dem Verständnis und der Reduktion des Problems, so Harkins von Cylance: „Zunächst und vor allem muss Automation bei einer umfassenden Betrachtung der Kontrollarchitektur einsetzen. Solange Sie nicht über die richtigen Mittel zur präventiven Kontrolle verfügen, erhalten Sie mehr Benachrichtigungen. Dies ist also notwendig, um die Zahl der Aufgaben zu reduzieren, mit denen Sie sich beschäftigen müssen, sprich: die Zahl der Alarme.“

„Auch wenn wir das Potenzial für Schäden reduzieren, müssen wir dennoch akzeptieren, dass wir das Risiko nicht eliminieren können. Wir haben einfach nur das Durcheinander bereinigt. Nun müssen wir herausfinden, wie wir das Netzwerk instrumentalisieren können und danach diese Instrumentierung auf die Bereiche ausweiten, in denen die Präventionsfähigkeiten keinen festen Stand haben.“

Kiker von Atos lenkt die Aufmerksamkeit auf die Notwendigkeit von Offenheit: „Wenn wir KI und andere Technologien auswählen, dann müssen sie offen sein. Sie müssen APIs zur Verfügung stellen und sie müssen zusammenarbeiten. Das ist die Grundvoraussetzung, um mit Automation zu beginnen. Nicht jede Technologie ist wirklich offen.“

„Ich denke, Security entwickelt sich in Richtung Offenheit“, stimmt Bhargava von Demisto zu, aber er macht sich Sorgen hinsichtlich der Interoperabilität und der Orchestrierung zwischen Automation und KI-Tools, um sicherzustellen, dass sie auf einem gemeinsamen Policy-Playbook arbeiten. „Bei der Erarbeitung dieses Policy-Playbooks gilt es darauf zu achten, dass es nicht auf Silos beschränkt bleibt. In den meisten Umgebungen, in denen Automation eingesetzt wird, sind diese Playbooks in Python geschrieben. Das ist eine schlechte Idee. Python-Scripts können nicht von einem Tool auf ein anderes übernommen werden. Gefordert sind also austauschbare Formate. Für die gesamte Branche, aber vor allem für Unternehmen, sollte Offenheit ein Teil der Kriterien sein.“

Des Pudels Kern

„KI ist da. Sie ist eine leistungsfähige Technologie. Und sie ist der eigentliche Kern der Thematik“, meint Karkins von Cylance. „KI wird nicht das Nahrungsproblem der Welt lösen, aber wenn sie für Aufgaben wie der Identifikation von Malware oder der Automation mühsamer SOC-Jobs zum Einsatz kommt, dann ist sie ein sehr leistungsfähiges Werkzeug.“

Ignorieren ist keine Option, warnt Harkins: „Unternehmen, die nicht in KI investieren, werden zurückfallen. KI nimmt in der frühen Phase dort an Fahrt auf und bringt Mehrwert – und wir befinden uns noch immer in der frühen Phase des Einsatzes von KI in der Cybersecurity – wo es um die Vermehrung menschlicher Fähigkeiten geht.“

Die richtigen Anwendungen von KI ersetzen nicht den Menschen, wie Harkins erklärt, sondern machen ihn effizienter. „Wenn wir KI in dieser Weise nutzen, dann könnten Menschen neue Rollen im SOC übernehmen, die sie vorher aufgrund des Zeitmangels nicht erfüllen konnten. Das ist zunächst eine positive Entwicklung und keine Bedrohung. Das ist Fortschritt und wird heute benötigt.“

„Wir sollten diese Möglichkeit nicht unterschätzen“, findet J.J. Guy, Chief Technology Officer von JASK und zitiert das Kasparow-Gesetz: Schwacher Mensch + Maschine + besserer Prozess ist besser als starker Mensch + Maschine + schlechterer Prozess.

„IBM benötigte 20 Jahre, um Deep Blue so weit zu entwickeln, um Gary Kasparow zu schlagen“, erinnert sich Guy. „Es zeigte sich, dass ein durchschnittlicher Schachspieler mit Unterstützung durch Deep Blue in der Lage war, Gary Kasparow zu besiegen, lange bevor Deep Blue dies selbst konnte. Ein Mensch mit seiner Intuition und Urteilskraft und der Hilfe von künstlicher Intelligenz hat Gary Kasparow vom Spielfeld gefegt.“

„Das Ziel von KI in der Cybersecurity ist es nicht, Menschen zu schlagen, sondern ihnen zu helfen“, fügt Bhargava hinzu. „Es geht nicht darum, KI zu nutzen, um den besten Analysten im SOC zu übertreffen. Vielmehr geht es darum, KI zu nutzen, um die Basislinie zu erhöhen. Die Arbeit des Analysten wird verbessert und damit die Basislinie Jahr für Jahr ein Stück höher gesetzt. Daraus entsteht Fortschritt.“

Nicht vor die Hunde gehen

Spürhunde machen den Menschen viel effizienter beim Auffinden von Sprengstoff, weil sie trainiert werden können und über olfaktorische Sensoren verfügen, die der Mensch nicht besitzt. Sicher, Hunde werden gelegentlich abgelenkt (Eichhörnchen!), und ihre Gehirne arbeiten nicht in der gleichen Weise wie menschliche. Sie müssen auch nicht wie Menschen sein. Sie müssen nur ihre Aufgabe als Spürhund erfüllen und dadurch die Arbeit der Menschen verbessern, um beim Erspüren von Bedrohungen effizienter zu sein.

Über den Autor: Alan Zeichick ist Tech Editor bei NetEvents.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45568123 / Monitoring und KI)