Der Nutzen von KI/ML in Sicherheitsumgebungen
Fakten statt Hype
Wer mit IT-Sicherheit auch nur im weitesten Sinne zu tun hat, kennt die Begriffe „künstliche Intelligenz (KI)“ und „maschinelles Lernen (ML)“. Beides sind Konzepte, die sowohl von Unternehmen als auch von Cyberkriminellen im Interesse ihrer – sehr unterschiedlichen – Ziele genutzt werden. Hacker wollen mit diesen Technologien vor allem Schutzmechanismen umgehen und Schwachstellen schneller ausfindig machen. Doch welchen Nutzen haben KI und ML für den Schutz Ihres Unternehmens?
Es wäre natürlich schön, wenn diese Technologien ein Zweck in sich selbst wären und ihr Einsatz alleine vollständigen Schutz für Ihre Infrastruktur und Systeme bieten würde. Doch ganz so einfach ist die Sache leider nicht. KI ist nicht gleich KI und ML ist nicht gleich ML. Es geht nicht einmal darum, immer die brandaktuellen Algorithmen zu nutzen, denn selbst die jüngsten Innovationen können keine Sicherheitswunder vollbringen.
Allerdings stimmt es, dass KI und ML unentbehrliche Bestandteile einer ganzheitlichen Sicherheitslösung sind – sie sind unerlässlich, um mit den Herausforderungen und dem Tempo der modernen Bedrohungslandschaft Schritt zu halten. Dabei sollte ihr Einsatz auf das ultimative Ziel ausgerichtet sein, möglichst jede Art von Bedrohung abzuwehren und auf solche, die nicht gestoppt werden können, so schnell wie möglich zu reagieren.
KI alleine reicht nicht aus
Künstliche Intelligenz ist für sich allein genommen kein Garant für Sicherheit. Heutzutage sind viele verschiedene Arten von KI-Frameworks und -Modellen im Einsatz, die im Allgemeinen von Wissenschaftlern entwickelt und dann als Open-Source-Modelle der Öffentlichkeit verfügbar gemacht werden. Es ist also nicht das KI-Framework, worauf es ankommt. Den Ausschlag gibt, wie KI eingesetzt wird und welche Daten einem KI-Modell zur Verfügung stehen.
Wie sorgen wir für effektivere und intelligentere KI in der Cybersicherheit?
Unabhängig vom Zweck benötigt ein KI-System, das auf maschinellem Lernen basiert, qualitativ hochwertige Daten – und zwar so viele wie möglich. Erst durch diese Menge an hochwertigen Daten kann ein KI-Modell verschiedene Szenarien beurteilen. Je mehr praxisrelevante Daten einem Modell zur Verfügung stehen, desto mehr Erfahrung sammelt es und desto intelligenter wird es.
Betrachten wir diesen Ansatz nun vom Standpunkt der Cybersicherheit aus. Daten von einer Bereitstellung oder einem Bedrohungsvektor reichen dem KI-Modell nicht aus. Vielmehr benötigen Sie eine Lösung, die von allen Bereitstellungen lernt, und ein Tool, das Informationen von allen Benutzern erfasst – und zwar nicht nur von einem Unternehmen. Je mehr Umgebungen und Benutzer, desto besser das KI-Modell. Aus diesem Grund muss Ihr System in der Lage sein, sowohl große Datenmengen als auch unterschiedliche Arten von Daten zu verarbeiten.
Eine erfolgreiche KI-Lösung muss weitaus mehr leisten, als nur mathematische Berechnungen auf einem Computer anzustellen. Zwar sind Daten eine wichtige Komponente für ein effektives KI-System, aber die Prinzipien der künstlichen Intelligenz und des maschinellen Lernens müssen darüber hinaus in die betrieblichen Abläufe integriert sein. Anstatt sich KI und ML als eigenständige Technologien vorzustellen, sollten wir sie als Konzepte verstehen, die Mehrwert für alle Aspekte der Sicherheit schaffen.
Die erfolgreichsten KI-Verfahren kombinieren eine ML-basierte statistische Mustererkennung mit anderen Techniken, zum Beispiel der Integration von Kenntnissen aus einem spezifischen Wissensbereich, zu einem Hybridsystem. Statistische Verfahren, die ausschließlich auf ML basieren, sind in der Regel nicht dazu geeignet, sich an neue, bislang unbekannte Bedrohungen anzupassen, für die es definitionsgemäß noch keine oder nur wenige statistische Daten gibt. Mithilfe von Daten aus einem spezifischen Wissensbereich (und oftmals auf der Basis umfassender Datenanalysen) lässt sich eine Logik erstellen, die konkrete Angriffstaktiken und -methoden erkennen und abwehren kann.
Werden solche Erkenntnisse allerdings in Punktlösungen aggregiert, führt dies zu Inkonsistenzen und Verzerrungen bei der Fehleranfälligkeit in Bereitstellungen. Stattdessen benötigen wir ein KI-System, das ML-basierte statistische Auswertungen in Kombination mit fachspezifischen Erkenntnissen aus anderen Bereichen des Systems verwendet, um neue Angriffe zu erkennen und zu stoppen und gleichzeitig für Konsistenz und fehlerarme Prozesse im Gesamten zu sorgen.
Der wahre Nutzen von KI und ML in der Cybersicherheit
Grundsätzlich ermöglicht die intelligente Nutzung von KI und ML Ihrem SOC-Team, wesentlich mehr mit weniger Personal zu leisten. Es ist sozusagen ein Multiplikator, der die Leistungsfähigkeit Ihres Unternehmens stärkt und Analysten erlaubt, ihre Stärken und Fähigkeiten dort einzusetzen, wo ihre Erfahrung wirklich zählt.
In der Sicherheit werden KI und ML häufig dazu genutzt, das Normalverhalten von Abläufen zu ermitteln, damit das Sicherheitsteam dann bei Abweichungen entsprechend benachrichtigt werden kann. KI- und ML-Prozesse helfen auch, die Effektivität im Betrieb zu steigern, indem sie Routineaufgaben identifizieren und dann Automatisierungs-Playbooks erstellen oder empfehlen, mit denen das Unternehmen Zeit und Ressourcen sparen kann.
Nicht zuletzt fördern KI und ML die Automatisierung – eine Grundvoraussetzung für die Skalierbarkeit in Umgebungen, in denen Personal und Ressourcen chronisch überlastet sind. Jedes SOC-Team kennt das Dilemma, einer zunehmenden Anzahl von immer komplexeren Bedrohungen mit weniger Mitarbeitern begegnen zu müssen. Letztendlich sollen KI und ML dazu beitragen, die äußerst knappen Ressourcen optimal zu nutzen und so die Sicherheit zu verbessern.
Effektivere Sicherheitsmaßnahmen mit KI und ML
Im Bereich der Security Operations geht es selten darum, ein konkretes Problem zu lösen – meist handelt es sich um eine Reihe von Problemen, die in der Regel miteinander verknüpft sind. KI und ML helfen, die Automatisierung zu optimieren und manuelle SecOps-Prozesse zu reduzieren, damit aus Risiken keine Sicherheitsvorfälle werden. Je weniger Vorfälle es gibt, desto effektiver können Ihre Sicherheitsteams auf Probleme reagieren. KI und ML bieten viele Vorteile: Ihr Betrieb kann sich an die moderne Bedrohungslandschaft anpassen, Ihre Teams können sich auf das Wesentliche konzentrieren und Ihre Mitarbeiter nutzen dieselben Tools wie die Angreifer, die es auf Ihr Unternehmen abgesehen haben. Das Ergebnis? Ein wesentlich stärkeres Sicherheitsniveau