Getty Images/iStockphoto
KI und maschinelles Lernen: Trends in der IT-Security
KI und maschinelles Lernen in der IT-Security sind nicht mehr nur eine Option, sondern eine Notwendigkeit. Zunehmend setzen auch Angreifer auf die neuen Techniken.
Zu den schwierigsten Problemen, mit denen sich IT-Security-Teams heutzutage beschäftigen müssen, gehören die enormen Datenmengen, die von modernen Infrastrukturen generiert und gleichzeitig benötigt werden, während die Mitarbeiter eingehende Alerts priorisieren und zügig auf sie reagieren sollen.
Diese äußerst große Verantwortung ist einer der Gründe dafür, dass die Erfolgsquoten bei der Entdeckung und der Bekämpfung von Cyberbedrohungen so niedrig sind. Es ist laut der Studie 2019 Cost of a Data Breach Report von IBM leider eine schockierende Tatsache, dass es durchschnittlich rund 314 Tage dauert, bis ein böswilliger Angriff erkannt und gestoppt wird.
Manuelle und halb automatisierte Kontrollen und Maßnahmen schaffen es in vielen Fällen nicht mehr, mit der sich laufend verändernden Bedrohungslage Schritt zu halten. Die genannte IBM-Studie ist außerdem zu dem Ergebnis gekommen, dass die durchschnittlichen Kosten jedes verloren gegangenen Datensatzes bei rund 150 US-Dollar liegen.
Diese Zahlen sind ein eindeutiges Argument für die vollständige Automatisierung vieler Sicherheitsmaßnahmen, weil nur damit der teils gigantische Aufwand noch zu bewältigen ist. Dazu kommt, dass laut der Studie Unternehmen ohne eine Automatisierung ihrer Sicherheitsmaßnahmen um 95 Prozent höhere Kosten nach einem erfolgreichen Hacker-Angriff hatten als Firmen mit bereits weitreichenden automatisierten Schutzmaßnahmen.
Künstliche Intelligenzen (KI) und maschinelles Lernen (Machine Learning) werden schon seit geraumer Zeit in neue Sicherheitslösungen integriert. Ihre Nutzung wird bei der Steuerung moderner Maßnahmen zum Schutz vor Cyberbedrohungen jedoch in Zukunft noch wichtiger werden.
Gerade bei der Erkennung von Zero-Day-Gefahren spielt die Automatisierung schon jetzt eine besonders große Rolle. Sie sorgt dafür, dass die Identifizierung bislang unbekannter Angriffe in manchmal nur Millisekunden erfolgen kann.
Vergleichen Sie diese Zahl mit den Zeiten, die menschliche Mitarbeiter für eine Reaktion benötigen. Sie liegen meist im Bereich von mehreren Stunden, Tagen oder gar Monaten. Von weiterer Bedeutung ist zudem, dass eine KI die Security-Teams in den Unternehmen dabei helfen kann, bessere Entscheidungen zu treffen, da den Mitarbeitern durch sie mehr Informationen zur Verfügung stehen.
In einer vom CapGemini Research Institute durchgeführten Studie gaben 69 Prozent der befragten leitenden Angestellten an, dass sie ohne Hilfe einer KI kaum in der Lage seien, auf einen Cyberangriff zu reagieren. Die Autoren schreiben weiter, dass zwei Drittel der Befragten noch in diesem Jahr KI in der einen oder anderen Form für den Schutz ihrer IT-Umgebungen einsetzen wollen.
Interessanterweise nannten viele Firmen, dass sie künstliche Intelligenzen als eine Möglichkeit sehen, um ihre Einnahmen zu erhöhen beziehungsweise um ihre Kosten zu senken. Der Trend zur Automatisierung der IT hat bereits viele große Unternehmen wie AWS, Microsoft und Google erfasst, die die künstlichen Intelligenzen zunehmend in ihre internetbasierten Angebote integrieren.
Automatisiertes Identity and Access Management
Da immer mehr Unternehmen auf noch vergleichsweise junge Zero-Trust-Security-Frameworks setzen, nimmt auch die Bedeutung von Identity and Access Management (IAM) wieder zu. In Anbetracht des sich verändernden Security-Perimeters wird die Automatisierung vieler Sicherheitsmaßnahmen vermutlich dazu führen, dass auch im Bereich IAM bald künstliche Intelligenzen eingesetzt werden, um die Effektivität der Maßnahmen weiter zu erhöhen.
So sind starke und effektive Passwörter bekanntermaßen alles andere als praktisch im täglichen Einsatz. Das führt dazu, dass immer wieder schwache Kennwörter gewählt werden, die dann der einzige Schutz zwischen den Daten eines Nutzers und einem Cyberkriminellen sind.
Künftige Authentifizierungsmaßnahmen werden aller Voraussicht nach von der erheblich verbesserten Zuverlässigkeit einer biometrisch gestützten Erkennung profitieren. Die Technik kann zum Beispiel dazu eingesetzt werden, um kontinuierlich die Aktivitäten der Anwender zu überwachen und sie dabei laufend neu zu authentisieren.
Auch etwa das Tippen auf der Tastatur oder das Bewegen der Maus kann für eine fortlaufende Erkennung genutzt werden. Mit Hilfe von KI und Machine Learning wird es also bald möglich sein, zu erkennen, ob ein Account bereits kompromittiert wurde oder ob etwa aktuell eine besondere Gefahr für ihn droht.
Ein weiterer bedeutsamer Trend ist die Kombination aus überwachten Algorithmen und nicht überwachtem Lernen. Diese Methoden sind besonders beim Erkennen von ungewöhnlichem Verhalten effektiv. Sie können des Weiteren verwendet werden, um fragliche Zugriffe zu beschränken oder komplett zu blockieren. Dabei ist es jedoch wichtig, auch wirklich die Unterschiede zwischen den beiden Methoden verstanden zu haben:
- Überwachte Algorithmen analysieren existierende Daten und erkennen Muster in ihnen. So lassen sich Verbindungen zwischen Daten erkennen, die mit einem traditionellen regelbasierten Vorgehen nicht oder erst verspätet aufgedeckt werden können. Das Identifizieren von Verbindungen ermöglicht auch ein schnelles Validieren und Bewerten von neuen Dateien, die der Algorithmus vorher noch nicht angetroffen hat. Dazu gehören insbesondere die gefährlichen Zero-Day-Bedrohungen.
- Nicht überwachtes Lernen findet dagegen Anomalien, Querverbindungen und Verknüpfungen zwischen noch nicht eingestuften Daten oder neu auftretenden Faktoren und Variablen, um auf diese Weise bislang verborgen gebliebene Muster aufzuspüren. Damit lassen sich sogar Vorhersagen für neue Bedrohungen treffen, die von einem menschlichen Analysten nahezu nicht erkennbar sind.
Künstliche Intelligenzen und Machine Learning werden in der IT-Security noch eine weit größere Rolle spielen, wenn es um den gesamten Schutz der Nutzererfahrung geht, also beispielsweise von dem Anlegen eines neuen Accounts, über das Login bis zur späteren Interaktion mit einem Dienst.
Mit den neuen Techniken ist es möglich, alle erfolgten Logins und Login-Versuche besser einschätzen und mit einer Risikobewertung versehen zu können. Außerdem lassen sich so auch die Antworten und Reaktionen auf verdächtige Ereignisse immer besser anpassen.
Ohne diese Möglichkeiten bleibt sonst meist nur, eine möglicherweise kompromittierte Session zu beenden oder den eingeloggten Nutzer zwangsweise abzumelden. Die in Unternehmen eingesetzten Anwendungen werden so im Laufe der Zeit selbst immer zuverlässiger, wenn es um das Erkennen legitimer Nutzer und Systemaktivitäten geht, während sie gleichzeitig die echten Bedrohungen eindämmen können.
KI, maschinelles Lernen und der Netzwerk-Edge
Der aktuelle Trend zum Edge Computing hat dafür gesorgt, dass Rechenleistung, Storage und Netzwerkressourcen wieder näher an entfernte Geräte gelangt sind. Mittlerweile ist klar geworden, dass bald auch KI- und Machine-Learning-Modelle näher an den Endpoints platziert werden.
Diese Modelle werden auf Kollaboration basierende Fähigkeiten zum Austausch von Informationen erhalten, die eine teils dramatisch schnellere Erkennung und Bekämpfung von Gefahren in Echtzeit ermöglichen. Für den Erfolg der neuen KI- und Machine-Learning-Techniken ist es jedoch maßgeblich, die Qualität der ihnen zur Verfügung stehenden Daten, mit denen die Produkte arbeiten müssen, laufend zu verbessern. Semantisch angereicherte Daten bieten mehr Optionen für eine sinnvolle Extraktion und erlauben es den Algorithmen, präzisere Vorhersagen treffen zu können.
Wie es aber auch bei anderen Techniken bereits der Fall ist, können sowohl künstliche Intelligenzen als auch Machine Learning für gute als auch böswillige Zwecke eingesetzt werden. Bereits heute nutzen Cyberkriminelle ihrerseits die Möglichkeiten der KI, um Schutzmaßnahmen in Netzwerken zu analysieren und um neue verhaltensbasierte Muster zu entwickeln, mit denen sie die Sicherheitskontrollen in den Unternehmen umgehen können.
Dieser Kampf um den Schutz der AI-basierenden Systeme, damit sie nicht kompromittiert werden, wird ebenfalls immer mehr in den Mittelpunkt des Geschehens rücken. Eine weitere bedeutende Gefahr für KI-Technologie ist zudem das bewusste Fälschen von Daten, auch Training Data Poisoning genannt.
Angreifer können einer KI zum Beispiel nicht zutreffende Daten zuspielen und dadurch für fehlerhafte Entscheidungen sorgen. Nach Einschätzung der Marktforschungsgesellschaft Gartner werden 30 Prozent aller gegen künstliche Intelligenzen gerichteten Cyberangriffe auf Training Data Poisoning, dem Diebstahl des verwendeten KI-Modells und gezielt eingestreuten gefälschten Mustern basieren.
KI und Machine Learning erlauben es, die Anwender in den Unternehmen besser zu schützen als wie bislang meist nur mit mehr oder weniger guten Passwörtern. Deswegen und aus den anderen genannten Gründen ist davon auszugehen, dass auf KI und Machine Learning setzende Systeme in Zukunft ein zentraler Bereich bei den Investitionen in Firmen sein werden.
Bedenken Sie jedoch, dass für ihren Betrieb spezialisierte Hard- und Software sowie gut ausgebildete Mitarbeiter benötigt werden, die über alle benötigten Kenntnisse verfügen. Auf diese Weise erhalten Sie engagierte Teams, welche die Fähigkeiten und das Wissen haben, um die neuen Systeme zuverlässig einzusetzen und zu verwalten.
Wenn es darum geht, die zur Verfügung stehenden Budgets sinnvoll zu investieren, müssen Unternehmen die unterschiedlichen angebotenen Optionen verstanden haben. Nur dann können sie die für ihre jeweilige Umgebung am besten passende Lösung identifizieren und auswählen.
Das ändert aber nichts daran, dass selbst bei einer Automatisierung der IT-Security mit Hilfe von KI und Machine Learning weiterhin menschliche Mitarbeiter benötigt werden, um den Umfang, die Schwere und die Bedeutung der gefundenen Bedrohungen zuverlässig einzuschätzen. Anschließend können sie die am besten passende Reaktion auswählen und zügig umsetzen.