Die stetig steigende Zahl an erfolgreichen Cyberangriffen demonstriert, wie häufig Angreifer trotz moderner Präventionslösungen ihre Ziele erreichen. Dadurch rücken vermehrt Technologien in den Fokus, die der schnellen Entdeckung laufender Angriffe dienen – NDR (Network Detection & Response). Eine große Rolle spielen hierbei künstlicher Intelligenz – KI – und maschinellem Lernen – ML-basierte Systeme.
Da diese Begriffe aber gerne miteinander vermischt werden und viele Unternehmen das Thema „KI & ML“ noch ein Buch mit sieben Siegeln ist, geht Andreas Riepen, Head Zentral- und Osteuropa bei Vectra AI, drei grundlegende Fragen auf den Grund.
Allheilmittel oder Waffe, die sich gegen Unternehmen richtet?
Einer der am weitesten verbreiteten Mythen rührt direkt von den extremen Positionen her, die in der Debatte über die Wirksamkeit von KI und ML als Lösungen für Cybersicherheit eingenommen werden. Das eine Extrem ist das Argument, dass KI und ML das Allheilmittel für alle Probleme im Zusammenhang mit der Cyber Security sind. Das andere Extrem ist das Argument, dass KI und ML in der Cybersicherheit überhaupt keine Rolle spielen. Die tatsächliche Wahrheit ist leider weit weniger schlagzeilenträchtig und lässt sich von Marketingabteilungen nicht so leicht zitieren. Tatsache ist, dass KI und ML für sich genommen kein Allheilmittel für Ihr Security Operations Center (SOC) sind. Der Verzicht auf KI und ML würde jedoch dazu führen, dass Ihr SOC bei einem breiten Spektrum aktueller und zukünftiger Angriffe im Dunkeln tappt. Es ist leicht zu erkennen, warum dies der Fall ist.
Lösungen, die keine KI oder ML nutzen, können mit der sich ständig verändernden Landschaft von Techniken und Tools der Angreifer nicht Schritt halten. Ein weiteres (potenziell schwerwiegenderes) Problem ist die Tatsache, dass es bestimmte Aufgaben gibt, die einfach nicht von Menschen allein erledigt werden können. Menschen sind beispielsweise nicht in der Lage, eine Zeitreihe von verschlüsselten Verkehrsströmen im Netzwerk zu betrachten, um vorherzusagen, welche davon einen versteckten Command- & Control-Kanal enthalten könnten. Diese Art von Aufgabe erfordert KI- und ML-Lösungen, die über die menschlichen Fähigkeiten hinausgehen.
KI- und ML-Lösungen müssen besser sein
Auf der anderen Seite neigen Lösungen, die nur allgemeine KI- und ML-Techniken verwenden, die ohne Sicherheitskontext und Besonderheit der Domänen entwickelt wurden, dazu, einfach nach statistischen Anomalien in einer Umgebung zu suchen. Diese Anomalien selbst werden wahrscheinlich recht häufig auftreten, obwohl es sehr unwahrscheinlich ist, dass eine davon bösartig ist. Dies führt zu einem erhöhten Aufmerksamkeits- und Betriebsaufwand und lenkt von den tatsächlichen Verhaltensweisen der Angreifer ab, die oft so gestaltet sind, dass sie harmlos aussehen. Blindes Vertrauen in Lösungen von Cyber Security, die auf generischen KI- und ML-Konstrukten basieren, verhält sich wie der Versuch, eine Nadel im Heuhaufen zu finden, indem man zuerst mehr Heu hinzufügt.
Ein weiterer Mythos, der sich immer weiter verbreitet, ist die Vorstellung, dass offensive KI die größte Bedrohung für eine Umgebung darstellt. Es gibt zwar neue Bedrohungen durch den Einsatz von KI im Cyberspace (z. B. die Verwendung von KI zur Generierung glaubwürdiger menschlicher Texte für Phishing-Kampagnen und die Erstellung von Fälschungen, wie wir bereits vor einigen Jahren vorausgesagt haben), aber die Vorstellung, dass KI-basierte Systeme derzeit für End-to-End-Angriffe eingesetzt werden, ist einfach von der Realität abgekoppelt. Jeder, der dem Kunden ein Sicherheitsprodukt unter der Prämisse verkauft, dass KI-Angreifer seine primäre Bedrohung sind und nicht entschlossene und kreative menschliche Angreifer, hat vielleicht auch eine Behelfslösung in der Tasche, die er einem verkaufen möchte.
Menschliche Defizite bei Cybersicherheitsaufgaben
Unternehmen sehen in der KI eine Möglichkeit, das menschliche Defizit bei den Cybersicherheitsaufgaben komplett zu beheben. Ist das realistisch? Die Antwort auf diese Frage hängt zum großen Teil davon ab, wie man das Wort „beheben“ interpretiert. Der Mangel an Cybersecurity-Experten und die daraus resultierenden Risiken stehen außer Frage. Dieser Mangel sollte in den Reihen derjenigen, die mit nationaler Sicherheit und wirtschaftlicher Planung zu tun haben, für tiefe und anhaltende Besorgnis sorgen. Da unser Leben zunehmend von digitalen, vernetzten Systemen abhängt, müssen wir uns der Tatsache stellen, dass wir viel schneller neue Angriffsflächen schaffen, als wir Experten für die Sicherung dieser Systeme ausbilden.
Vor diesem Hintergrund ist es notwendig, darauf hinzuweisen, dass KI und ML eine klare Rolle bei der Entschärfung der Situation spielen können. Es gibt letztlich zwei Gründe, warum dies der Fall ist: Erstens können KI und ML eingesetzt werden, um bestimmte Aspekte des menschlichen Verhaltens zu reproduzieren. Zweitens können KI und ML eingesetzt werden, um über das hinauszugehen, wozu Menschen fähig sind. Im ersten Fall ist es möglich, Teile des Arbeitsablaufs von Sicherheitsexperten zu automatisieren. Im zweiten Fall können KI und ML dazu genutzt werden, die Aufmerksamkeit der Experten auf die tatsächlichen Bedrohungen zu lenken, anstatt sich auf oberflächliche und harmlose Verhaltensweisen zu konzentrieren.
Letztendlich gibt es keinen Ausweg aus dem Mangel an Experten für Cyber Security. Es müssen mehr Menschen in diesem Bereich ausgebildet werden. Dennoch werden KI und ML eine entscheidende Rolle bei der Unterstützung von Experten bei der Suche nach Bedrohungen und deren Behebung spielen.
Was sollte man über die Unterschiede zwischen KI und ML in Sicherheitssystemen wissen?
Die Unterscheidung zwischen KI und ML ist wahrscheinlich so unscharf geworden, dass der Versuch, die beiden Begriffe wirklich voneinander abzugrenzen, nicht mehr viel bringt. Ein viel wichtigerer und fruchtbarer Weg für Unternehmen ist es, sich zu fragen, ob die Art der Technologie in einer bestimmten Lösung Dinge tut, die ein Mensch allein nicht tun könnte. Spart sie einem menschlichen Analysten Zeit? Oder lenkt sie von den eigentlichen Angriffen ab, die der Analytiker aufzudecken hofft? Sich in der Frage zu verzetteln, ob es sich um KI oder ML handelt oder nicht, ist ungefähr so, als würde man sich Gedanken darüber machen, ob U-Boote schwimmen oder nicht. Letztendlich kommt es darauf an, ob die Lösung funktioniert oder nicht.
Mehr bei Vectra.ai
Über Vectra Vectra ist ein führender Anbieter von Bedrohungserkennung und -abwehr für Hybrid- und Multi-Cloud-Unternehmen. Die Vectra-Plattform nutzt KI zur schnellen Erkennung von Bedrohungen in der Public Cloud, bei Identitäts- und SaaS-Anwendungen sowie in Rechenzentren. Nur Vectra optimiert die KI, um Angreifermethoden – die TTPs (Taktiken, Techniken und Prozesse), die allen Angriffen zugrunde liegen – zu erkennen, anstatt einfach nur bei „anders“ zu alarmieren.