Weissblick - Fotolia
Wie SAP Machine Learning zum Erkennen von Anomalien nutzt
Justin Somaini, Chief Security Officer bei SAP, erläutert im Interview, wie SAP Machine Learning für Sicherheitsaufgaben wie die Anamalienerkennung verwendet.
Algorithmen für Machine Learning können Sicherheitsteams enorme Vorteile verschaffen, wenn sie entsprechend trainiert werden. Möglicherweise gibt es aber nicht genügend Trainer, damit die Technologie auf breiter Basis angenommen werden kann.
Justin Somaini, Chief Security Officer (CSO) bei SAP, spricht in diesem Interview darüber, wie der Softwareriese Machine Learning für Sicherheitszwecke verwendet. Konkret beschreibt er die Unterschiede zwischen überwachten (supervise) und unüberwachten (unsupervised) Algorithmen und erklärt die Herausforderungen, die sich daraus ergeben.
Darüber hinaus beschreibt er, wie SAP Anomalien mit Machine Learning erkennt und potenzielle Probleme findet. Schließlich geht er auch darauf ein, warum eine weitere Analyseschicht erforderlich ist, um bloße Anomalien von gefährlichen Bedrohungen zu trennen.
Somaini erörtert außerdem die Herausforderungen, die mit dem Sammeln relevanter Daten und dem richtigen Training von Machine-Learning-Algorithmen verbunden sind. Dabei er zeigt auf, warum dies die Einführung der Technologie für Sicherheitsanwendungen behindern kann.
Dies ist der zweite Teil des Interviews mit Justin Somaini. Im ersten Teil spricht er über den Einsatz von Blockchain-Technologie für Security-Zwecke. Somaini geht hierbei speziell darauf ein, wie Blockchain spezifische Probleme mit Open-Source-Software lösen kann.
Wie lässt sich Machine Learning generell bei Sicherheitsfragen einsetzen und wie nutzt SAP die Technologie?
Justin Somaini: Grundsätzlich sehe ich bei den fortschrittlichen Algorithmen zwei Ansatzpunkte: überwachtes Lernen und unüberwachtes Lernen. Beim überwachten Lernen muss der Algorithmus trainiert werden, beim unüberwachten Lernen findet er die Dinge selbst heraus, ohne Trainer.
Wenn diese Algorithmen auf Sicherheitsprobleme angewendet werden, sind wir mit vielen Begriffen konfrontiert, darunter Machine Learning, Deep Learning und künstliche Intelligenz. Die meisten Algorithmen werden für die Erkennung von Anomalien verwendet, wobei eine Anomalie nicht unbedingt ein Sicherheitsproblem ist. Für die maschinelle Erkennung von Anomalien werden typischerweise unüberwachte Algorithmen verwendet.
Was wirklich interessant ist, sind überwachte Algorithmen. Im Sicherheitsbereich geht es dabei darum, diese Algorithmen mit Daten zu trainieren und ihnen beizubringen, wie bösartige Anomalien aussehen. Und Sie können diese Algorithmen verwenden, um Dinge zu identifizieren, die ähnlich aussehen wie die gelernten bösartigen Beispiele. Diese Technologie wird hauptsächlich im Bereich der Log-Analyse eingesetzt.
Wenn wir uns also Algorithmen im Sicherheitsbereich ansehen, ist es nicht egal, ob sie überwacht oder unüberwacht arbeiten. Höchstwahrscheinlich möchten Sie Anomalien identifizieren, aber dann müssen Sie noch herausfinden, ob die Anomalie ein Sicherheitsproblem darstellt oder nicht.
Wenn Sie einen überwachten Algorithmus haben, der nach Dingen sucht, die bekannten Sicherheitsproblemen ähnlich sind, möchten Sie sicherstellen, dass er richtig liegt. Die Erkennungsrate dieser überwachten Algorithmen ist nie 100 Prozent. Normalerweise liegt die Erkennungsrate zwischen 50 und 90 Prozent – und das auch nur, wenn man wirklich, wirklich gut ist. Es muss immer noch einen Menschen geben, der sich die Grauzonen ansieht und die richtigen Daten in den Algorithmus einspeist, damit er lernt. Deshalb ist es ja auch ein überwachter Algorithmus.
„Im Sicherheitsbereich geht es dabei darum, überwachte Algorithmen mit Daten zu trainieren und ihnen beizubringen, wie bösartige Anomalien aussehen.“
Justin Somaini, SAP
Sie sollten dabei aber beachten, dass keiner dieser Algorithmen die früheren Methoden zur Identifizierung von Sicherheitsproblemen überflüssig macht – wie reguläre Ausdrücke und Korrelationsregeln. Wir fügen sozusagen dem Kuchen nur eine weitere Schicht hinzu.
So sehen wir das bei SAP. Mit unserer Log-Analyse, die wir intern haben, verfügen wir definitiv über diese Schichten des Kuchens. Wir haben Legacy-Modelle in Bezug auf Muster von Dingen, nach denen wir suchen würden, und dann bauen wir diese Muster, die Korrelationen, und versuchen sowohl durch überwachte als auch unüberwachte Algorithmen Sicherheitsprobleme zu finden.
Glauben Sie, dass die Erkennung von Anomalien mit Machine Learning in naher Zukunft weite Verbreitung findet?
Somaini: Ja, das glaube ich. Aber ich denke, es ist anders als das, was wir normalerweise in jedem Technologie-Hype-Zyklus sehen. Wir haben in den letzten Jahren im Hype Cycle der künstlichen Intelligenz und des Machine Learnings gelebt. Ich denke, diese Technologien und deren analytische Modellen liefern uns erstaunliche Möglichkeiten.
Aber die Herausforderungen, denen wir bei der Erkennung mit überwachten Algorithmen gegenüberstehen, liegen darin, dass Sie sie trainieren müssen. Und auch die meisten unserer Netzwerke unterscheiden sich in der Regel voneinander. Es gibt viele Ähnlichkeiten mit diesen Netzwerken, aber es ist schwer, einen Algorithmus zu kaufen, der darauf trainiert ist, wie mein Netzwerk aussieht.
Ich muss also Trainingsdaten für meine Umgebung generieren, und das kann ein schmerzhafter Prozess sein. Denn man braucht viele Data Scientists und Leute, die sich mit diesen Algorithmen auskennen. Für viele Organisationen ist das schwierig.
Bei SAP sind wir in der glücklichen Lage, nicht nur gute Entwickler, sondern auch gute Data Scientists zu haben, so dass wir in der Lage sind, diese Mechanismen für uns selbst zu bauen. Aber ich weiß nicht, wann wir an einen Punkt kommen werden, an dem diese Mechanismen und Algorithmen wirklich leicht von Unternehmen eingesetzt werden können, so dass sie diese Algorithmen nicht trainieren müssen.
Gibt es Ihrer Erfahrung nach bestimmte Probleme oder Bedrohungen, die von Machine-Learning-Algorithmen eher erkannt werden?
Somaini: Das Spektrum ist ziemlich breit. Es gibt einige sehr einfache Dinge, mit denen man die Algorithmen trainieren kann. Es gibt aber auch andere Dinge, die unglaublich kompliziert sind. Wenn wir in der Lage sind, das Problem in etwas zu verwandeln, das einsetzbar ist, zum Beispiel bei Cross-Site Scripting Injections bei Websites, dann können Sie ziemlich einfach einen Algorithmus erstellen und trainieren, der feststellen kann, welche Daten normal sind und welche anomal. Sie können das auf Tausende verschiedene Arten von Angriffen trainieren, beispielsweise SQL Injections.
Wenn Sie das Problem eingrenzen können, lässt sich ein Repertoire an Machine-Learning-Algorithmen aufbauen und weiterentwickeln. Das ist etwas ganz anderes, als einen Algorithmus zu erstellen, um alles im Netzwerk zu identifizieren und Ihnen zu sagen, wer was angreift. Das ist eine sehr allgemeine, weitreichende Frage, für die es fast unmöglich ist, einen Algorithmus zu erstellen. Es sei denn, Sie haben dafür schon seit sehr, sehr langer Zeit Module aufgebaut.
Kann Machine Learning bei Social-Engineering-Angriffen helfen, oder fallen diese Angriffe an das andere Ende des Spektrums?
Somaini: Machine Learning kann dabei helfen, aber Sie müssen diese Algorithmen in einem völlig anderen Kontext anwenden. Zum Beispiel setzen wir bei SAP Algorithmen innerhalb von Geschäftsanwendungen ein, um nicht nur die Anwendungsprozesse zu unterstützen, sondern auch die Sicherheit zu erhöhen. Die Anwendung von Security-Algorithmen bei den gleichen Geschäftsprozessen kann Ihnen beim Social Engineering helfen. Denn es ist nicht der Anruf bei der Person, der das Problem darstellt, sondern Sie können herausfinden, was dieser Kundendienstmitarbeiter zum Beispiel in seinem Ticketsystem macht, wenn er die E-Mail-Adresse eines Kunden ändert.
Wenn Sie diese Algorithmen in die Geschäftsprozesse einbinden, können sie Betrug wie anomale Kaufaufträge oder CFO-Phishing-Angriffe und dergleichen erkennen. Sie können die Anrufe oder Phishing-E-Mails nicht stoppen, aber Sie können die Ausführung des Social-Engineering-Angriffs verhindern.
Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!