Wenn sich die Security-Branche trifft, dann ist der Fachkräftemangel eines der führenden Themen. Hoffnungsträger ist Künstliche Intelligenz (KI). Doch was kann KI oder Machine Learning bereits in der Security übernehmen? Wie sind die Erwartungen, was in Zukunft möglich wird? Kann KI eine vollautomatische Security Realität werden lassen? Die it-sa 2022 ermöglichte hierzu Einblicke.
Der Ruf nach mehr IT-Sicherheit wird immer lauter, gerade mit Blick auf die Sicherheit Kritischer Infrastrukturen, so eine Botschaft der IT-Sicherheitsfachmesse it-sa, die im Oktober 2022 in Nürnberg stattfand.
Doch dieses Mehr an Security ist sehr herausfordernd: IT-Security-Professionals zählen zu den derzeit gefragtesten Arbeitnehmern, Fachkräfte mit entsprechenden Kenntnissen sind rar. Mit der Unterstützung der Initiative „Deutschlands bester Hacker“ fördert zum Beispiel die it-sa die Suche nach neuen Talenten.
Neben der Talentsuche und den zunehmenden Weiterbildungsmöglichkeiten in der Security gibt es eine weitere Stoßrichtung: Die zunehmende Nutzung von KI in der Security. Was aber bietet KI in der Security Stand heute, und was kann sie in absehbarer Zukunft leisten? Ist sie in der Lage, die Security-Fachkräfte nicht nur zu unterstützen und zu entlasten, sondern auch fehlendes Personal in der Cybersicherheit zu ersetzen?
Kann IT-Sicherheit komplett automatisiert werden?
Spricht man mit Security-Expertinnen und -Experten zum Beispiel auf der Security-Fachmesse it-sa, hat keiner Sorge, einmal den eigenen Job zu verlieren und durch eine KI-Lösung ersetzt zu werden. Die meisten IT-Sicherheitsfachkräfte sehen in KI, sofern man davon so spricht, eine Unterstützung. Dabei ist es weniger die „Intelligenz“ in Security-Lösungen als vielmehr die Möglichkeit, Abläufe in der Security zu automatisieren.
Machine Learning ermöglicht die Suche nach auffälligen Mustern, nach Anomalien in den verschiedensten Daten der Security, im Netzwerkverkehr, in den Protokollen der Anwendungsaktivitäten oder bei Zugriffsversuchen auf Daten, um nur einige Beispiele zu nennen.
In bestimmten Bereichen können entsprechende Regeln aufgestellt werden, nach denen Maschinen dann auf Basis erkannter Vorfälle auch Reaktionen einleiten, als Auto-Response der Security. Welche Aktivitäten automatisch ablaufen dürfen und wo der Mensch nochmals überprüft, hängt von der genauen Situation ab.
So könnte man durchaus einen einzelnen Nutzer von seinem E-Mail-Konto automatisch trennen, wenn das Risiko für böswillige Aktionen gesehen wird und dafür viele andere Nutzerkonten verschont bleiben. Ob man allerdings eine große Zahl scheinbar verseuchter Endpoints automatisiert „kaltstellt“, da sind die Security-Expertinnen und -Experten eher skeptisch.
Gefragt sind Teams aus Security-Fachkraft, Maschine und Kunde
Bei einem möglichen Security-Vorfall kann eine Maschine eine Anomalie entdecken, je nach Regel dann selbst aktiv werden oder es der Security-Fachkraft melden. Die Security-Analystinnen und -Analysten prüfen die Warnung und reagieren, je nach Vereinbarung direkt oder nach Rücksprache mit dem Kunden, teilweise geben sie auch eine Warnung mit Handlungsempfehlungen an den Kunden weiter, der dann selbst aktiv wird.
Security ist in dieser Vorstellung also Teamwork, wobei das Team aus Security-Fachkraft, Maschine und Kunde besteht. Vollautomatische Security ist dies in aller Regel nicht, sodass der Fachkräftemangel zwar gemindert wird durch die Automatisierung, aber nicht behoben werden kann.
Was aber kann die KI oder Machine Learning bisher konkret leisten, wie kann die Security bislang unterstützt werden, und wo kann die Automatisierung noch viel weiter gehen als heute üblich? Das zeigen Beispiele und Gespräche von der it-sa 2022.
Ein Security-Experte wie Sebastian Ganschow, Director Cybersecurity Solutions at NTT Ltd. in Deutschland, sieht die aktuelle Lage von KI in der Security zum Beispiel so: „Ein automatisches Security Operations Center ohne jeden menschlichen Analysten und ohne jede menschliche Analystin wird es meines Erachtens nicht geben. Vieles, was in der Security als KI bezeichnet wird, sind eigentlich eher Expertensysteme und Machine Learning. Die Nutzung von KI im eigentlichen Sinne ist in anderen Branchen bereits fortgeschrittener. Was uns Menschen gegenüber KI auszeichnet, ist zum Beispiel etwas wie Bauchgefühl. Hier wird Deep Learning den Maschinen in Zukunft auch noch einiges ermöglichen.“
Beispiele für Machine Learning / KI in der Security
Anomaly Shield von Airlock dient der Erkennung von Bots mit Machine Learning: Airlock Anomaly Shield lernt während der Inbetriebnahme, wie sich die echten Benutzer einer Anwendung verhalten. Für das Unsupervised Learning werden die Rohdaten aufbereitet und aggregiert, um die Präzision und Trefferquote zu optimieren. Die in der Trainingsphase gelernten Machine-Learning-Modelle bilden die Charakteristika der Businessanwendung ab. Im Betrieb werden alle aktiven Sitzungen permanent mit dem gelernten Verhalten verglichen. Wenn die Abweichung zu groß ist, wird die Sitzung als Ausreißer gekennzeichnet. Ob eine Anomalie nur protokolliert wird, oder ob die Sitzung terminiert und die IP-Adresse blockiert wird, lässt sich für jede Anwendung getrennt steuern.
Top of Form
Bottom of Form
Sailpoint: KI hilft bei Prüfung und Schärfung der Rollen und Privilegien: Empfehlungen auf Basis von Künstlicher Intelligenz helfen dabei, Entscheidungen zur Gewährung von Benutzerzugriffen zu treffen. Der Self-Service und das automatisierte Policy-Management von IdentityNow ermöglichen zudem mit KI-Unterstützung, den Zugriff nur gemäß der von einem Unternehmen erstellten Policies zu gewähren, erklärt der Anbieter.
SentinelOne: KI bei XDR (Extended Detection and Response): Endpoint Protection (EPP) und Endpoint Detection and Response (EDR) von SentinelOne kombinieren Automatisierung mit KI und ML, um moderne Angriffe in Echtzeit, mit Maschinengeschwindigkeit und ohne zusätzlichen Eingriff zu erkennen und zu beheben. Dies bedeutet, dass Unternehmen ihre Ressourcen auf die Bewältigung betriebsspezifischer Aufgaben konzentrieren können, so der Anbieter. In diesen Bereichen arbeitet die Security dann sehr „selbstständig“.
ForeNova: Detection and Response-Dienste und Analyse des Netzwerkverkehrs: NovaCommand soll für kleine und mittelständische Unternehmen das Erkennen von Angriffen aufgrund von anomalem Netzwerkverkehr handhabbar machen. Die Technologie verzeichnet automatisch und KI-gestützt Anomalien im ein- und ausgehenden sowie im internen Netzwerkverkehr und damit mögliche Angriffe. Die nicht-intrusive Network Detection and Response analysiert die Daten auf den Mirror-Ports nicht intrusiv, sodass sie keine Leistungseinbußen verursacht, so der Anbieter. Die Spiegelung des Datenverkehrs ermöglicht auch eine rückwirkende Analyse von Sicherheitsereignissen.
Fortra, früher HelpSystems: Unterstützung der Managed Security Services mit Machine Learning: Fortra bietet Unternehmen umfangreiche Security-Lösungen aus einer Hand, darunter Lösungen wie Alert Logic, Digital Guardian, Cobalt Strike, Tripwire, Digital Defense, Terranova Security, Clearswift, Agari, PhishLabs, Core Security, GoAnywhere, Boldon James und Titus. In Zukunft werden viele Funktionen der nun zu Fortra gehörenden Lösungen über eine zentrale Plattform verfügbar sein. Die Services zu den einzelnen Lösungen werden aber weiterhin durch einzelne Spezialteams erbracht, ebenso wird es keine zentrale KI-Engine geben, sondern KI-Unterstützung bei den verschiedenen Lösungen.
Vectra AI: KI-gestützte Bedrohungserkennung und -reaktion: Vectra legt den Fokus auf die Analyse von Angriffssignalen. Im Gegensatz zu anderen Ansätzen, die sich auf die Erkennung von Anomalien konzentrieren und von Menschen feinjustiert und gewartet werden müssen, deckt die Angriffssignalintelligenz von Vectra die gesamte Geschichte eines Angriffs auf, indem sie kontinuierlich nach bekannten Angreifertaktiken, -techniken und -verfahren (Tactics, Techniques, and Procedures, TTPs) sucht, so der Anbieter. Der Signal-Intelligence-Ansatz von Vectra AI reduziert demnach die SIEM-Kosten sowie die Notwendigkeit, Erkennungsregeln zu erstellen.
FRAGEN AN BOB BOTEZATU, DIRECTOR THREAT RESEARCH & REPORTING BEI BITDEFENDER
Welche Bedeutung hat KI inzwischen?
Bob Botezatu: Künstliche Intelligenz ist zu einem festen Bestandteil unseres Lebens geworden. KI wird in zahlreichen Szenarien eingesetzt, von der Identifizierung von Objekten auf Bildern bis zur Unterstützung der Cybersicherheit, und gilt als Allheilmittel für alles.
Doch während die Anwendungen des maschinellen Lernens meist für ihre positiven Auswirkungen bekannt sind, werden einige Implementierungen für das genaue Gegenteil verwendet – Nutzerverfolgung, Massenüberwachung und Identitätsnachahmung (Deepfakes).
Wie wird KI bisher zum Schutz eingesetzt?
Bob Botezatu: Bei Bitdefender arbeiten wir seit 2009 an Algorithmen für maschinelles Lernen. Diese entwickeln und trainieren wir ständig, um neue und unbekannte Bedrohungen zu identifizieren. Künstliche Intelligenz und maschinelles Lernen sind unerlässlich, um eine Bedrohungslandschaft zu bekämpfen, die größer und raffinierter ist als je zuvor.
Machine-Learning-Algorithmen verkürzen die Erkennungszeit für moderne Bedrohungen erheblich, da sie große Datenmengen schneller analysieren können, als ein Mensch es je könnte. Wenn sie darauf trainiert sind, verschiedene Arten von Malware-Verhalten genau zu erkennen, können diese Algorithmen eine hohe Erkennungsrate haben, selbst bei neuen oder unbekannten Mustern.
2019 führte Bitdefender eine Kindersicherungstechnologie ein, die mithilfe patentierter KI-Algorithmen Online-Konversationen auf potenzielles Mobbing, Anfragen für Treffen mit Fremden und die Offenlegung persönlicher Informationen wie persönliche Adressen oder Kreditkartendaten überprüft.
Zur Gegenseite: Wie kann KI von Cyberkriminellen eingesetzt werden?
Bob Botezatu: Einer der wichtigsten Anwendungsszenarien von Künstlicher Intelligenz in der Cyberkriminalität steht im Zusammenhang mit Social Engineering und der Nachahmung von Personen. Durch die Erstellung gefälschter Bilder, Audio- und sogar Videoinhalte erhöhen Cyberkriminelle nun ihre Chancen, ihre Zielpersonen für teure Betrügereien zu gewinnen.
Deepfakes helfen Bedrohungsakteuren inzwischen auch dabei, gefälschte Nachrichten und Desinformationen über soziale Medien zu verbreiten, um wichtige Ereignisse zu beeinflussen.
Auf welche KI-Gefahren muss man sich vorbereiten?
Bob Botezatu: Viele der heute verfügbaren KI-Anwendungen sind für cyberkriminelle Aktivitäten etwas zu teuer oder nicht effektiv genug. Da Computer aber immer günstiger und leistungsfähiger werden, wird das Training von fortgeschrittenen KI-Modellen zukünftig viel einfacher werden. Der Schutz vor fortgeschrittenen Deepfake-Angriffen wird neue Technologien und neue Verteidigungsschichten erfordern.
https://www.security-insider.de/der-status-quo-bei-ki-in-der-cybersicherheit-a-5106ff8adde4e29c6f80b552d5346da8/
