Kommentar von Gérard Bauer, Vectra Networks

Mit Künstlicher Intelligenz gegen die reale Bedrohung

| Autor / Redakteur: Gérard Bauer / Nico Litzel

Der Autor: Gérard Bauer ist Vice President EMEA bei Vectra Networks
Der Autor: Gérard Bauer ist Vice President EMEA bei Vectra Networks (Bild: Vectra Networks)

Angesichts neuer Bedrohungsszenarien und sich wandelnder Rahmenbedingungen in der Cybersicherheit bewähren sich zunehmend automatisierte Sicherheitslösungen auf Basis Künstlicher Intelligenz.

Die Cybersicherheit in Unternehmen steht derzeit vor großen Herausforderungen. Cyberkriminelle entwickeln ständig neue Bedrohungen in immer kürzerer Zeit. Durch die zunehmende Verbreitung mobiler Lösungen, die fortschreitende Vernetzung der Industrie 4.0 sowie das wachsende Internet der Dinge vergrößert sich auch die Angriffsfläche. Gleichzeitig gibt es einen enormen IT-Security-Fachkräftemangel. Das Center for Cyber Safety and Education geht in einer aktuellen Studie davon aus, dass es bis 2022 weltweit einen Mangel von 1,8 Millionen entsprechend spezialisierten Fachkräften geben wird. Die Best Practices – also bewährte Standardmethoden, um die IT Sicherheit aufrechtzuerhalten – werden dabei immer anspruchsvoller. Hinzu kommen strengere rechtliche und branchenspezifischen Anforderungen hinsichtlich Informationssicherheit – Stichwort NIS und GDPR.

Das Thema Cybersicherheit, lange Jahre ein reines IT-Thema, hat längst die Geschäftsführung und Vorstandsetage erreicht. Klar ist auch: Jeder im Unternehmen muss verantwortungsvoller handeln. Mitarbeiter müssen sensibilisiert werden für Cyberbedrohungen, die am Endpunkt ansetzen, also insbesondere am PC-Arbeitsplatz, siehe Credential-Phishing- und Social-Engineering-Taktiken. Cyberkriminelle nutzen nach wie vor – immer wieder mit Erfolg – die Gutgläubigkeit vieler Anwender aus, um an Zugangsdaten zu gelangen.

Der unsichtbare Feind im Netzwerk

Während die Bedrohungen zunehmen und die Sicherheitsanforderungen steigen, haben viele Unternehmen das Problem, überhaupt zu erkennen, dass der Feind bereits im Netzwerk zugange ist. Man spricht hier von der „Cybersicherheitslücke“. Dies ist jene Zeitspanne, die beginnt, wenn ein Angreifer die präventiven Sicherheitssysteme an der Netzwerkgrenze eines Unternehmens erfolgreich überwinden konnte. Die Phase endet, wenn das betroffene Unternehmen erkennt, dass wichtige Informationen oder Systeme gestohlen bzw. sabotiert wurden. Den Sicherheitsverantwortlichen bleibt dann nur noch übrig, den Schaden zu begrenzen oder zu beheben.

Mandiant Consulting zufolge verschafft diese zeitliche Lücke dem Angreifer in Europa durchschnittlich 106 Tage freies Spiel im kompromittierten Netzwerk. Mehr als sechs Monate im Schnitt kann der Gegner sich somit im Netzwerk vorarbeiten, spionieren und wertvolle Daten stehlen. In den meisten Fällen wird der Angriff erst wahrgenommen, wenn bereits Schaden entstanden ist. Mandiant berichtet auch, dass 69 Prozent der Betroffenen vom Angriff auf ihr Netz erst durch Strafverfolgungsbehörden oder andere externe Institutionen erfahren haben. Die Risiken während dieser Zeitspanne sind enorm – von Reputationsschäden bis hin zu Geschäftsausfällen und dem Verlust wertvollen geistigen Eigentums durch Industriespionage.

Bedarf an innovativen Lösungsansätzen

Zunehmende, immer anspruchsvollere Bedrohungen, eine stetig wachsende Angriffsfläche, ein erheblicher Fachkräftemangel ohne Aussicht auf Besserung, steigende rechtliche Sicherheitsanforderungen und – im schlimmstem Fall – unsichtbare Gegner, die bereits im eigenen Netz hantieren: Die komplexen Herausforderungen in Sachen Cybersicherheit schreien geradezu nach wirklich innovativen Lösungsansätzen. Ein Großteil der heute eingesetzten herkömmlichen Sicherheitstechnologien werden modernen Bedrohungsszenarien nicht mehr gerecht. Diese machen den Einsatz einer automatisierten Plattform zur Bedrohungserkennung und Reaktion auf bereits stattfindende Angriffe unverzichtbar. Lösungen, die den heutigen – und möglichst auch zukünftigen –Anforderungen gerecht werden, basieren auf Künstlicher Intelligenz (KI) und maschinellen Lerntechniken.

Automatisierung hilft, auch mit einer überschaubaren Personalstärke den kritischen Zeitraum bis zur Erkennung der Bedrohung zu minimieren. Automatisierung benötigt aber Künstliche Intelligenz, um gute Ergebnisse – und wenig Fehlalarme – zu liefern. Künstliche Intelligenz wird herangezogen, um auffällige Anzeichen eines Cyberangriffs automatisch zu erkennen. Hierzu gehören Command-and-Control-Traffic, laterale Bewegungen, internes Auskundschaften sowie Datenexfiltration. Eine derartige Lösung ist auch in der Lage, Backdoors, Rootkits oder Angriffe, die von einer vertrauenswürdigen Infrastruktur ausgehen, aufzuspüren. Dies gilt auch für Insiderangriffe oder Datenraub mithilfe gestohlener Zugangsdaten. Bei allen diesen Szenarien wären herkömmliche Sicherheitsmaßnahmen am Netzwerkperimeter nutzlos.

Zu den zentralen Funktionen einer zeitgemäßen KI-basierten Cybersicherheitsplattform, die aktuellen Bedrohungsszenarien und gängigen Compliance-Anforderungen gerecht wird, zählen:

  • Kontinuierliches Monitoring und Analyse des gesamten Netzwerkverkehrs, inklusive des Internetdatenverkehrs und des internen Verkehrs zwischen physischen und virtuellen Hosts mit IP-Adresse. Dies gilt für alle Geräte, die das Netzwerk nutzen, also Notebooks, Tablets, Server, Drucker, BYOD-Geräte und IoT-Geräte – unabhängig von Gerätetyp, Betriebssystem und Applikation.
  • Echtzeit-Einblicke in den Netzwerk-Traffic auf der Basis extrahierter Paket-Metadaten anstelle von Deep-Packet-Inspection ermöglichen Schutzmaßnahmen, ohne sensible Nutzerdaten zu erfassen.
  • Die Analyse von Metadaten mitgeschnittener Pakete auf der Basis verhaltensbasierter Erkennungsalgorithmen macht Aktionen versteckt agierender und unbekannter Angreifer
  • sichtbar, egal ob der Traffic verschlüsselt ist oder nicht.
  • Deterministische Identifizierung des Angriffsverhaltens, um den Einsatz von Remote-Access-Trojanern, verschlüsselten Tunneln, Botnet-Methoden und Ransomware erkennbar zu machen.
  • Ebenfalls aufgedeckt werden Insider-Angriffe sowie ausgefeilte, gezielte Angriffsversuche.
  • Bedrohungen müssen in ihrem zeitlichen Verlauf und während aller Phasen eines Angriffs verfolgt werden – beginnend mit Command-and-Control-Aktivitäten, interner Auskundschaftung (Reconnaissance) und seitlicher Bewegung im Netzwerk, bis hin zu Datenexfiltration.
  • Automatische Korrelierung von Bedrohungen mit konkret angegriffenen Host-Devices und Bedrohungserkennungsdaten. Diese Details umfassen den Host-Kontext, mitgeschnittene Pakete, die Ernsthaftigkeit der Bedrohung sowie Scoring-Werte, mit deren Hilfe entschieden wird, mit
  • welcher Wahrscheinlichkeit ein Angriff echt ist.
  • Unterstützung von adaptiver Cybersicherheit auf der Basis eines iterativen Verbesserungsprozesses. Einsatz von verhaltensorientierten Erkennungsalgorithmen, deren
  • Lernmechanismen ununterbrochen Informationen aus der lokalen Umgebung und Daten zu globalen Trends verarbeiten.
  • Das maschinelle Lernen sollte sowohl beaufsichtigt (supervised) als auch unbeaufsichtigt (unsupervised) erfolgen.

KI ist der richtige Weg

KI-basierte Sicherheitsplattformen, die diese Anforderungen erfüllen, haben sich in der Praxis bereits als äußerst effektiv erwiesen. Damit gelingt es, stattfindende Angriffe schnell aufzuspüren und zu stoppen, bevor Schaden entsteht. Doch wie bei jeder neuen Technologie werden auch kritische Stimmen laut, dass diese fortschrittliche Technologie in falsche Hände geraten könnte. Ebenso wie die Angreifer bereits auf verstärkte Automatisierung setzen, könnte künftig der Kampf zwischen „gutartiger KI“ und „bösartiger KI“ ausgetragen werden. Zu verhindern, dass neue Technologie früher oder später zu kriminellen Zwecken missbraucht wird, dürfte aus Erfahrung schwerfallen. Schon gibt es durchaus realistische Szenarien, wie Cyberbösewichte KI für ihre Ziele nutzen könnten. Sie könnten Malware-Erkennungssysteme in die Irre führen, Data Lakes großflächig verunreinigen, so dass Anomalien schwer zu identifizieren sind, maschinelle Lernsysteme überlasten oder eigene ML-Systeme nutzen, um verwundbare Bereiche zu finden. Die IT-Sicherheitsbranche hat aber derzeit einen Vorsprung – und den gilt es zu halten und auszubauen.

Künstliche Intelligenz als Angriffswerkzeug

Die dunkle Seite der KI

Künstliche Intelligenz als Angriffswerkzeug

24.05.17 - Mit Künstlicher Intelligenz (KI) kann man die IT-Sicherheit dabei unterstützen, Angriffe früher und besser zu erkennen. Doch könnte KI auch für die andere Seite arbeiten, für den Angreifer? Wenn ja, was ist zu tun? lesen

Ebenso wird rege diskutiert, ob künstliche Intelligenz den Menschen völlig bald ersetzen wird. Hier zumindest kann Entwarnung gegeben werden. Künstliche Intelligenz erweitert die Fähigkeiten des Menschen. Maschinelles Lernen (ML) übernimmt arbeitsintensive Tätigkeiten und entlastet die Fachkräfte, die benötigt werden, um Entscheidungen zu treffen – basierend auf den Erkenntnissen der KI- und ML-basierten Sicherheitsplattform. Dadurch ist gewährleistet, dass diese innovativen Technologien den erhofften Nutzen bringen – und nicht neue Probleme schaffen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44927471 / Monitoring und KI)