Suchen

Künstliche Intelligenz Mit Machine Learning gegen Cyber-Bedrohungen

| Autor / Redakteur: Dirk Steiner / Vivien Deffner

Die Verteidigung von Unternehmen gegen Cyber-Bedrohungen wird immer anspruchsvoller. Der Branchenverband Bitkom ermittelte, dass digitale Angriffe in den vergangenen beiden Jahren bei 70 Prozent der deutschen Unternehmen einen Schaden versursacht haben.

Firma zum Thema

Um Cyber-Bedrohungen wirksam zu begegnen, müssen sich Unternehmen nicht nur davor schützen, sondern diese am besten auch frühzeitig erkennen.
Um Cyber-Bedrohungen wirksam zu begegnen, müssen sich Unternehmen nicht nur davor schützen, sondern diese am besten auch frühzeitig erkennen.
(Bild: Wipro)

Detaillierte Analysen schwerwiegender Datenschutzverletzungen haben gezeigt, dass Angreifer oft schon Monate im Voraus ihre Aktionen planen. Darüber hinaus haben sich mit der wachsenden Zahl von Geräten im „Internet der Dinge” die Angriffsflächen vervielfältigt. Organisationen müssen daher neue Wege zum Schutz ihrer Assets suchen.

Vor diesem Hintergrund verlagern sich die IT-Sicherheitsstrategien: Der reine Schutz vor Bedrohungen reicht nicht mehr aus, entscheidend ist vielmehr das rechtzeitige Erkennen und die entsprechende wirksame Reaktion darauf.

Bedrohungen mit Machine Learning identifizieren

Sicherheitsmechanismen zum Schutz vor und Erkennen von Bedrohungen haben in den vergangenen Jahrzehnten vor allem signaturbasierte Ansätze verwendet. Dieser Ansatz hat jedoch einige Nachteile:

  • Es werden nur bereits bekannte Bedrohungsvektoren und -akteure erkannt;
  • Lösungsansätze wie beispielsweise SIEM (Security Information and Event Management) können Informationen nur über einen kurzen Zeitraum prüfen und verarbeiten;
  • Ausgereifte SIEM-Anwendungsfälle spiegeln zwar das kollektive Wissen der Organisation über zuvor bekannte (oder gut recherchierte) Bedrohungsszenarien wider. Solche Lösungen sind aber wirkungslos, wenn Indikatoren für einen niedrigschwelligen und langsamen Sicherheitsverstoß über einen langen Zeitraum gesammelt werden müssen.

Das Aufdecken solcher Bedrohungen erfordert die Fähigkeit, Daten aus einer Vielzahl von Quellen und über einen langen Zeitraum zu analysieren und anormales Verhalten herauszufiltern. In den vergangenen zwei Jahren entstanden zahlreiche kommerzielle Lösungen, bei denen Machine Learning zur Erkennung unbekannter Bedrohungen eingesetzt wird. Bei diesem maschinellen Lernen handelt es sich um eine Art künstlicher Intelligenz (KI), die Computern die Fähigkeit verleiht, zu lernen, ohne explizit programmiert zu werden. Dabei wird oft zwischen beaufsichtigten und unbeaufsichtigten (supervised/ unsupervised) Algorithmen unterschieden.

Beaufsichtigte und unbeaufsichtigte Algorithmen für maschinelles Lernen

Beaufsichtigte Algorithmen können in der Vergangenheit Erlerntes auf neue Daten anwenden. Im Zusammenhang mit dem Erfassen von Bedrohungen bedeutet das zum einen, dass Cybersicherheitsexperten neue Schadsoftware, Angriffsmodelle, Techniken und Verfahren analysieren und mit den gewonnenen Erkenntnissen ihre Data-Science-Modelle trainieren. Auf der anderen Seite hilft die Analyse des Datenverkehrs dabei, Hauptmerkmale von Bedrohungen herauszuarbeiten. Beispielsweise kann ein beaufsichtigtes Machine-Learning-Modell anhand der Analyse von Werkzeugen für den Fernzugriff (Remote Access) lernen, wie sich der von diesen Tools verursachte Verkehr vom „Grundrauschen” unterscheidet.

Beaufsichtigte Lernalgorithmen unterstützen die Erkennung von Bedrohungen innerhalb des Netzwerks der Organisation ab dem ersten Tag ihres Einsatzes und ohne organisationsspezifische Lernphase. Unbeaufsichtigte Lernmodelle hingegen erweitern ihre Intelligenz speziell für die Umgebung des Kunden. Der Vorteil beaufsichtigter Lernmodelle liegt vor allem darin, dass sie vom ersten Tag an einsatzbereit sind. Allerdings können einige Bedrohungsszenarien nur spezifisch für jede Kundenumgebung gelernt werden.

Algorithmen für unbeaufsichtigtes Lernen konzentrieren sich darauf, zu verstehen, was das IT-Nutzungsmuster des Kunden einzigartig macht und erkennen Anomalien, wenn sie auftreten. Ihr Risiko besteht darin, dass sie falsches Verhalten als Normalität annehmen können, wenn sie einer solchen Nutzung ausgesetzt sind. Im Allgemeinen wird diese Kategorie von Algorithmen in höherem Maße mit falsch positiven Ergebnissen in Verbindung gebracht.

Übernahme von Fähigkeiten des maschinellen Lernens

Sicherheitsverstöße erfolgen in aller Regel an den sogenannten Endpunkten (Endpoints) über Benutzerdaten und verbreiten sich dann über das Netzwerk. Endpoints sind also der Dreh- und Angelpunkt bei der Einführung von Machine Learning zur Bedrohungserkennung. Besonders vielversprechend scheinen hier Lösungen im Bereich der „Endpoint Threat Detection and Response” (ETDR). Neben der Erkennung von Bedrohungen bieten diese Lösungen auch umfassende Möglichkeiten zu deren Eindämmung sowie forensische Fähigkeiten an den Endpunkten.

ETDR-Lösungen machen Bedrohungen am Endpoint granular sichtbar. Die Herausforderung für Organisationen besteht dann vor allem darin, Softwareagenten an den Endpunkten einzuführen und zu verwalten. Erschwerend kommt dabei hinzu, dass sich beispielsweise bei „Bring Your Own Device” (BYOD) oder dem Internet der Dinge der Formfaktor der Endpunkte ständig ändert und agentenbasierte Ansätze daher möglicherweise nicht schnell genug skalierbar sind.

In diesem Fall bietet das Netzwerk den besten Hebel zur Identifizierung von niedrigschwelligen und langsamen Bedrohungen. Es heißt, dass „das Netzwerk niemals lügt", eine interessante Lösungskategorie ist daher die Analyse des Netzwerkverkehrs (Network Traffic Analysis, kurz NTA). Mit NTA-Lösungen lassen sich beaufsichtigte und unbeaufsichtigte Lernalgorithmen in Verbindung mit dem Host- und Asset-Kontext einsetzen und der zeitliche Verlauf von Bedrohung verfolgen. Diese Maßnahmen helfen, die Sicherheitslage einer Organisation schnell und zuverlässig zu beurteilen. Die zum Einsatz von NTA-Lösungen nötigen Eingriffe in das Netzwerk fallen nicht groß ins Gewicht, daher ist die Schwelle zur Einführung recht gering.

Ein weiterer Ansatz zur Nutzung von maschinellen Lernfähigkeiten zur Erkennung dieser Bedrohungen ist die Verwendung der Zugangsdaten der Benutzer. Dieses Segment von Lösungen wird als User and Entity Behavior (UEBA) klassifiziert und bietet einen alternativen Ansatz zur Nutzung von Machine Learning, um Bedrohungen frühzeitig zu erkennen. UEBA setzt in erster Linie unbeaufsichtigte Lernalgorithmen zur Erkennung von Bedrohungen ein. Zu den wichtigsten Anwendungsfällen gehören die Analyse der Nutzung privilegierter Konten, Insider-Bedrohungen, Datenexfiltration oder die gemeinsame Nutzung von Konten.

Die richtige Lösung entscheidet der Kontext

Welche Lösung in welchem Kontext empfehlenswert ist, hängt von vielen Faktoren ab. Die Grundvoraussetzung ist aber, dass die handelnden Personen die Mechanismen verstehen, um das Potential der unterschiedlichen Ansätze voll ausschöpfen zu können. Machine Learning eröffnet eine reelle Chance, die beschriebenen niedrigschwelligen und langsamen Bedrohungen besser aus den riesigen Datenmengen herauszufiltern als menschliche Spezialisten. Es gibt keinen Königsweg, um das Problem der Cybersicherheit zu lösen. Der Schlüssel liegt vielmehr darin, mehrschichtige Abwehrmechanismen mit den Fähigkeiten maschinellen Lernens zu verbinden, um das bestmögliche Ergebnis zu erzielen.

* Dirk Steiner ist Practice Director Cyber Security und Risk Services für Wipro (Continental Europe).

(ID:46687083)