Je weiter die Digitalisierung voranschreitet, desto größer ist die Bedrohung, die von Cyber-Kriminalität ausgeht. Laut einer Studie des ITK-Verbands Bitkom von 2018 leidet die deutsche Industrie unter immer mehr Attacken, die von Jahr zu Jahr intensiver werden. Die meisten Führungskräfte sind sich mittlerweile darüber im Klaren, dass Cyber-Sicherheit von zentraler Bedeutung ist und bemühen sich um effektive Sicherheitskonzepte zum Schutz ihrer Unternehmen.
Foto: Alexander Limbach - shutterstock.com
Um komplexe IT-Infrastrukturen vor Cyber-Attacken zu schützen, sind leistungsfähige Tools erforderlich. Machine Learning (ML) gehört heute zu den fortschrittlichsten Technologien für die schnelle und präzise Bedrohungsanalyse. Es ermöglicht Sicherheitsexperten, ein hohes Maß an Agilität.
Im Normalfall werden kritische Infrastrukturen mithilfe einer Lösung für Security Information and Event Management (SIEM) abgesichert. dessen Aufgabe es ist, Anomalien umfassend zu erkennen. Doch in vielen Fällen sind SIEM-Lösungen mit viel Aufwand verbunden. Vor allem dann, wenn die nötige Personalstärke fehlt, um die Anzahl an sicherheitsrelevanten Ereignismeldungen abzuarbeiten. Dadurch wird es für Sicherheitsexperten schwierig, mit den immer ausgefeilteren Vorgehensweisen der Hacker Schritt zu halten.
IT-Sicherheit automatisieren
In einer digitalisierten Geschäftswelt ist es für Unternehmen wichtig, kritische Bedrohungen auf schnellstem Weg als solche zu erkennen. False Positives bereiten vielen Security-Teams in Anbetracht ihrer begrenzten Ressourcen Kopfzerbrechen. Bei vielen Aktionen, die in der Vergangenheit sicherheitsrelevante Alerts bewirkt haben, kann es sich heute um legitime Geschäftsaktivitäten handeln. Sind SIEM-Tools jedoch so konfiguriert, dass sie weniger Warnungen ausgeben, besteht die Gefahr, dass echte Bedrohungen unbemerkt bleiben.
Mit künstlicher Intelligenz (KI) kann dieses Dilemma behoben werden. ML-Algorithmen sind in der Lage, im regelmäßigen Datenverkehr Anomalien und potenzielle Bedrohungen zu erkennen. Dadurch wird ML zur wichtigen Technologie, um sich ständig verändernde Netzwerkumgebungen mit der nötigen Geschwindigkeit zu analysieren.
Lernfähige Algorithmen können große Datenmengen erfassen und lösen Warnmeldungen nur dann aus, wenn echte Bedrohungen erkannt werden. Damit sinkt die Belastung für die Sicherheitsverantwortlichen. Diese können sich dann darauf konzentrieren, Bedrohungen sofort zu unterbinden und ihre Herkunft zu untersuchen. Das gibt Unternehmen die Möglichkeit, ihre Teams effizienter strukturieren und wertvolles Personal besser über die Bereiche Security und Operations zu verteilen.
Alte Prozesse - neue Effizienz
Auf Machine Learning basierende Lösungen ermitteln Bedrohungen im Grunde nicht anders als es traditionellen Ansätze tun. Sowohl Menschen als auch SIEM-Tools und ML-Algorithmen benutzen den gleichen Prozess, um Anomalien im Netzwerk zu erkennen. ML-Algorithmen können jedoch fortlaufend eine große Anzahl an Informationen in hoher Geschwindigkeit verarbeiten und Bedrohungen von False Positives unterscheiden, ohne dass menschlicher Eingriff erforderlich ist. Durch die Gruppierung von Entitäten, Assets und Verhaltensweisen ist ML in der Lage, auch unscheinbare Indikatoren für Cyber-Angriffe in kürzester Zeit zu erkennen.
Machine Learning zeichnet sich vor allem dadurch aus, dass es auch komplexe und subtile Bedrohungen identifiziert, die von traditionellen Sicherheitskontrollen nicht erfasst werden. Diese Bedrohungen basieren oft auf bislang unbekannten Vorgehensweisen, mit denen viele traditionelle Tools nicht zurechtkommen.
Häufig verschaffen Angreifer sich auch über kompromittierte Zugangsdaten und Nutzerrollen Zugriff auf das System. Im Gegensatz zu Brute-Force-Attacken gibt es dabei keine unmittelbaren Hinweise darauf, dass der Account gehackt wurde. In solchen Fällen kann eine ML-gestützte Analyse des Nutzerverhaltens ungewöhnliche Aktivitäten und damit eine mögliche Bedrohungslage erkennen. Diese Art ML einzusetzen nennt sich "User and Entity Behavioural Analytics" (UEBA).
Machine Learning in der Praxis
Cyber-Bedrohungen unterscheiden sich mitunter stark voneinander. Potenziell schädliche Attacken zu erkennen ist daher schwierig. Der Mensch ist nur eingeschränkt dazu in der Lage, die dafür nötigen Datenmengen zu überwachen und Events of Interests (EOI) zu erkennen.
Mit Hilfe von ML könnten IT-Ereignisse jedoch so vorgefiltert werden, dass die IT-Mitarbeiter nur die tatsächlich schädlichen bearbeiten müssen. Ein Beispiel: Zwar variiert die Anzahl der Ereignisse je nach Betrieb, große Unternehmen bewegen sich aber leicht in einer Größenordnung von etwa 100 Millionen Ereignissen pro Woche. In der Analyse werden davon rund eine Million Anomalien und Störungen durch die Algorithmen entdeckt. Hiervon stellen in etwa 100 Ereignisse ein Risiko dar und müssen von Menschen überprüft werden. Dank dieser vorherigen Filterung können die Analysten umgehend und schnell ihre Untersuchungsabläufe einleiten.
Andere Unternehmen, wie etwa Trend Micro, verwenden den gleichen Ansatz, um festzustellen, ob heruntergeladene Dateien bös- oder gutartig sind. Beginnend mit Datenmengen von über drei Millionen nicht identifizierter Software-Downloads auf Hunderten von Rechnern, konnten die Machine-Learning-Algorithmen die nicht klassifizierten Dateien um knapp 30 Prozent reduzieren. Somit kann gut ein Drittel des Maschinenbestands automatisiert vor schädlicher Software geschützt werden.
ML ist nur ein Teil der Lösung
ML kann zwar dabei helfen, viele Herausforderungen zu bewältigen, die Technologie ist aber kein Patentrezept. Wie der Name schon sagt, ist mit ihr einem Lernprozess verbunden, der Zeit braucht. Die meisten Machine- und Deep-Learning-Prozesse werden zumindest teilweise von Menschen überwacht und müssen darauf "abgerichtet" werden, echte Bedrohungen von False Positives zu unterscheiden. Außerdem gilt es, sie mit den richtigen Datenquellen zu füttern, da sonst die Gefahr besteht, dass die Lernprozesse in die falsche Richtung laufen. Softwarelösungen unterscheiden sich vor allem dahingehend, wie viel menschlicher Eingriff in der frühen Lernphase erforderlich ist.
Unternehmen, die künstliche Intelligenz und Machine Learning in ihre Sicherheitsstrategie integrieren wollen, sollten zunächst sicherstellen, dass sie über grundlegende Security-Best-Practices verfügen. KI und ML nur deswegen einzusetzen, weil es sich um einen neuen Branchen-Trend handelt, ist nicht zielführend. In den meisten Fällen ist die Technologie nur für die Integration in bereits vorhandene, komplexe Sicherheitssysteme geeignet. Es sollte von Anfang an klar sein, welchem Zweck die Technologie dient. Daher müssen Anwendungsfälle sowie die entsprechende ML-Methodik definiert werden.
Es gilt, sich zwischen überwachten und unüberwachten Ansätzen oder einer Hybridkombination zu entscheiden. Ein Beispiel: Es soll unterschieden werden zwischen normaler DNS-Domänenkommunikation und Kommunikation mit C2-Domänen, die mit Hilfe von Domain Generated Algorithms (DGA) erstellt wurden. Hierfür erweist sich ein überwachtes neuronales Netzwerk (ANN) als effektiv. Besteht der Anwendungsfall hingegen darin, anomalen IP-Traffic visuell zu identifizieren, könnte ein unbeaufsichtigter Deep-Learning-Ansatz mit Self-Organizing Feature Maps (SOFM) besser geeignet sein.
Fazit
Der Cyberthreat Defense Report 2019 von CyberEdge besagt, dass mehr als 90 Prozent der befragten Unternehmen bereits damit begonnen haben, ML in ihre Sicherheitskonzepte zu integrieren. In Zukunft wird die Technologie die Zeitspanne zwischen der Identifizierung potenzieller Bedrohungen und einer angemessenen Reaktion verkürzen. Währenddessen können Security-Experten sich auf kritische Bedrohungen konzentrieren. Dies gibt Unternehmen die Möglichkeit, den Balanceakt zwischen Security und Operations zu meistern und in beiden Bereichen das nötige Maß an Effizienz sicherzustellen. Der Ansatz hilft nicht nur dabei, den Fachkräftemangel, ein fundamentales Problem der IT-Branche, abzufedern. Führungskräfte erhalten darüber hinaus die Möglichkeit, ihre Ressourcen dort einzusetzen, wo sie den größten Mehrwert erzielen können. (jd)