Automatisierung

IT-Security mit Machine Learning

10.05.2019

Von

Charles Clawson (Autor)

Charles Clawson ist Cybersicherheitsevangelist und ArcSight-Produktmanager bei Micro Focus.

Alle Posts des Autors

Machine Learning in der Praxis

Cyber-Bedrohungen unterscheiden sich mitunter stark voneinander. Potenziell schädliche Attacken zu erkennen ist daher schwierig. Der Mensch ist nur eingeschränkt dazu in der Lage, die dafür nötigen Datenmengen zu überwachen und Events of Interests (EOI) zu erkennen.

Mit Hilfe von ML könnten IT-Ereignisse jedoch so vorgefiltert werden, dass die IT-Mitarbeiter nur die tatsächlich schädlichen bearbeiten müssen. Ein Beispiel: Zwar variiert die Anzahl der Ereignisse je nach Betrieb, große Unternehmen bewegen sich aber leicht in einer Größenordnung von etwa 100 Millionen Ereignissen pro Woche. In der Analyse werden davon rund eine Million Anomalien und Störungen durch die Algorithmen entdeckt. Hiervon stellen in etwa 100 Ereignisse ein Risiko dar und müssen von Menschen überprüft werden. Dank dieser vorherigen Filterung können die Analysten umgehend und schnell ihre Untersuchungsabläufe einleiten.

Andere Unternehmen, wie etwa Trend Micro, verwenden den gleichen Ansatz, um festzustellen, ob heruntergeladene Dateien bös- oder gutartig sind. Beginnend mit Datenmengen von über drei Millionen nicht identifizierter Software-Downloads auf Hunderten von Rechnern, konnten die Machine-Learning-Algorithmen die nicht klassifizierten Dateien um knapp 30 Prozent reduzieren. Somit kann gut ein Drittel des Maschinenbestands automatisiert vor schädlicher Software geschützt werden.

ML ist nur ein Teil der Lösung

ML kann zwar dabei helfen, viele Herausforderungen zu bewältigen, die Technologie ist aber kein Patentrezept. Wie der Name schon sagt, ist mit ihr einem Lernprozess verbunden, der Zeit braucht. Die meisten Machine- und Deep-Learning-Prozesse werden zumindest teilweise von Menschen überwacht und müssen darauf "abgerichtet" werden, echte Bedrohungen von False Positives zu unterscheiden. Außerdem gilt es, sie mit den richtigen Datenquellen zu füttern, da sonst die Gefahr besteht, dass die Lernprozesse in die falsche Richtung laufen. Softwarelösungen unterscheiden sich vor allem dahingehend, wie viel menschlicher Eingriff in der frühen Lernphase erforderlich ist.

Unternehmen, die künstliche Intelligenz und Machine Learning in ihre Sicherheitsstrategie integrieren wollen, sollten zunächst sicherstellen, dass sie über grundlegende Security-Best-Practices verfügen. KI und ML nur deswegen einzusetzen, weil es sich um einen neuen Branchen-Trend handelt, ist nicht zielführend. In den meisten Fällen ist die Technologie nur für die Integration in bereits vorhandene, komplexe Sicherheitssysteme geeignet. Es sollte von Anfang an klar sein, welchem Zweck die Technologie dient. Daher müssen Anwendungsfälle sowie die entsprechende ML-Methodik definiert werden.

Es gilt, sich zwischen überwachten und unüberwachten Ansätzen oder einer Hybridkombination zu entscheiden. Ein Beispiel: Es soll unterschieden werden zwischen normaler DNS-Domänenkommunikation und Kommunikation mit C2-Domänen, die mit Hilfe von Domain Generated Algorithms (DGA) erstellt wurden. Hierfür erweist sich ein überwachtes neuronales Netzwerk (ANN) als effektiv. Besteht der Anwendungsfall hingegen darin, anomalen IP-Traffic visuell zu identifizieren, könnte ein unbeaufsichtigter Deep-Learning-Ansatz mit Self-Organizing Feature Maps (SOFM) besser geeignet sein.

Fazit

Der Cyberthreat Defense Report 2019 von CyberEdge besagt, dass mehr als 90 Prozent der befragten Unternehmen bereits damit begonnen haben, ML in ihre Sicherheitskonzepte zu integrieren. In Zukunft wird die Technologie die Zeitspanne zwischen der Identifizierung potenzieller Bedrohungen und einer angemessenen Reaktion verkürzen. Währenddessen können Security-Experten sich auf kritische Bedrohungen konzentrieren. Dies gibt Unternehmen die Möglichkeit, den Balanceakt zwischen Security und Operations zu meistern und in beiden Bereichen das nötige Maß an Effizienz sicherzustellen. Der Ansatz hilft nicht nur dabei, den Fachkräftemangel, ein fundamentales Problem der IT-Branche, abzufedern. Führungskräfte erhalten darüber hinaus die Möglichkeit, ihre Ressourcen dort einzusetzen, wo sie den größten Mehrwert erzielen können. (jd)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren