phonlamaiphoto - stock.adobe.com
Maschinelles Lernen zur Steigerung der SIEM-Effizienz nutzen
Moderne SIEM-Lösungen werden zunehmend mit KI-Fähigkeiten erweitert, um die automatische Erkennung von gefährlichen Vorfällen zu verbessern. Aber das hat auch Grenzen.
Enterprise-Lösungen zum Security Information and Event Management (SIEM) gehören seit einiger Zeit zu den wichtigsten Maßnahmen zum Schutz von Firmennetzen. Eine Erweiterung um Fähigkeiten aus den Bereichen künstliche Intelligenz (KI) und Maschinellem Lernen können Ihrem SIEM einen deutlichen Anschub geben. Deswegen ist es kein Wunder, dass diese Themen derzeit von vielen IT-Experten heiß diskutiert werden.
Aber was ist maschinelles Lernen eigentlich? Mit Hilfe dieser Techniken können Computer selbsttätig Entscheidungen treffen, ohne dass sie dazu über ein umfangreiches Set an vorher festgelegten Instruktionen verfügen müssen. Das Ziel dieser Techniken ist, dass sie irgendwann genauso gute Entscheidungen treffen können wie Menschen. Aus diesem Grund wird dafür auch der Begriff künstliche Intelligenz verwendet. Dabei ist maschinelles Lernen allerdings nur ein Teilbereich von KI. Maschinelles Lernen wird also eingesetzt, um die Entscheidungsfähigkeiten von Computern immer weiter zu verbessern – sowohl in ihrer Zuverlässigkeit als auch in ihrer Geschwindigkeit.
Derzeit sind die in SIEM-Lösungen integrierten Fähigkeiten aus dem Bereich maschinelles Lernen aber noch relativ unreif. Das bedeutet jedoch nicht, dass Sie sie nicht heute schon einsetzen können. Aber die künstliche Intelligenz hat noch ihre Grenzen. Im Folgenden finden Sie eine Reihe von Tipps, mit denen Sie das meiste aus den KI-Fähigkeiten Ihrer SIEM-Lösung holen können.
Tipps zum Umgang mit SIEM-Lösungen und maschinellem Lernen
Sorgen Sie vor allem dafür, dass nur gut ausgebildete Mitarbeiter mit dem Überwachen und Verwalten Ihres SIEM befasst sind. IT-Sicherheit ist in den meisten Fällen ein schwieriges Umfeld für Machine Learning, weil sich die Lage hier sehr schnell ändern kann. Außerdem ist oft nicht sofort klar, welche Ereignisse harmlos und welche gefährlich für die jeweilige Umgebung sind.
Meist sind Kenntnisse über den Kontext einer bestimmten Situation unverzichtbar, um Gutes von Schlechtem zu unterscheiden. Bedeuten zum Beispiel eine Reihe von Remote Logins zu einem Server, dass ein System-Administrator aus der Ferne arbeitet, oder sammelt ein Angreifer gerade heimlich Daten? Menschliche Mitarbeiter können Situationen und das jeweilige Umfeld in der Regel deutlich besser einschätzen als es eine SIEM-Lösung vermag, die nicht über weitere Daten verfügt. Außerdem werden Menschen immer noch benötigt, um die Irrtümer zu beheben, die ein SIEM unvermeidlich macht. Nur so kann es von seinen Fehlern lernen und besser werden. Wenn ein SIEM jedoch immer wieder die falschen Schlüsse zieht, wird es in Zukunft weitere Fehler machen.
Stellen Sie darüber hinaus sicher, dass Ihr SIEM mit aktuellen Threat-Intelligence-Daten versorgt wird. Threat Intelligence hilft Ihnen unter anderem dabei, besser einzuschätzen, ob bestimmte IP-Adressen, Domains, Webseiten oder andere Einheiten im Internet eine Gefahr für Sie darstellen. Manche SIEM-Lösungen sind schon mit einem bestimmten Threat Intelligence Feed ausgestattet, während andere es den Kunden ermöglichen, selbst auszuwählen, welche Anbieter aus diesem Bereich sie abonnieren wollen. Wenn Sie Ihrem SIEM einen kontinuierlichen Zugriff auf einen oder mehrere solche Kanäle ermöglichen, dann können sie damit auch seine Fähigkeiten im Bereich Machine Learning verbessern. So optimieren Sie nach und nach die Entscheidungsfähigkeiten Ihrer SIEM-Lösung, vor allem was ihre Zuverlässigkeit angeht.
Versorgen Sie Ihr SIEM mit so vielen Daten zu einem Ereignis, wie Sie beitragen können. Je mehr Daten einer KI zur Verfügung stehen, desto besser. Das bedeutet, dass es auch sinnvoll sein kann, statt herkömmlicher relationaler Datenbanken zu einem Big-Data-Ansatz zu wechseln. Das ermöglicht dem SIEM deutlich mehr Informationen über Ereignisse zu sammeln, so dass sich das Machine Learning im Laufe der Zeit kontinuierlich verbessern wird. Aber das hat auch einen Nachteil: Big Data ist verlustbehaftet. So kann dadurch die Einhaltung der geltenden Compliance-Regeln erschwert werden. Aber das ist ein bekanntes Problem, zu dem es einige Möglichkeiten gibt, es zu umgehen.
Prüfen Sie zudem sorgfältig, wie viel Vertrauen Sie in Ihr SIEM setzen wollen, wenn es um automatische Entscheidungen geht, die es auf Basis seiner Fähigkeiten zum Maschinellen Lernen treffen soll. Das gilt insbesondere dann, wenn keine Menschen mehr involviert sind, die diese Entscheidungen erst absegnen müssen. Viele SIEM-Lösungen können andere in Unternehmen eingesetzte IT-Security-Systeme steuern und sich auch selbst neu konfigurieren, um besser auf neue Bedrohungen reagieren zu können. Dazu gehören etwa das Blockieren von gefährlichem Netzwerk-Traffic von einer bekannt bösartigen IP-Adresse oder das Verhindern von Verbindungen zwischen internen Hosts und bestimmten externen Domains. Fehler bei diesen Entscheidungen können unabsichtlich dazu führen, dass eigentlich erwünschte Aktionen verhindert werden, so dass diverse Schäden, auch finanzieller Natur, für ein Unternehmen auftreten können.
Im Idealfall sorgt maschinelles Lernen aber dafür, dass ein SIEM weitgehend autonom agieren kann und dass es gefährliche Vorfälle weit besser und schneller identifizieren kann, als es Menschen vermögen. Im Laufe der Zeit können damit auch die Eingriffe durch menschliche Mitarbeiter reduziert werden. Bis es soweit ist, bleiben sie aber notwendig.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!