Ersetzt künstliche Intelligenz das Security Operations Center?

Illustration: Absmeier, Computerizer

Künstliche Intelligenz (KI) ist nicht mehr nur eine Vision. KI, maschinelles Lernen (ML), Deep Learning (DL) und andere Formen algorithmisch basierter, automatisierter Prozesse sind heute Mainstream und auf dem Weg zu einer tiefgehenden Integration in ein breites Spektrum von Front-Office-, Back-Office- und In-the-Field-Anwendungen. Ebenso gibt es viele gute Beispiele dafür, wie KI eingesetzt wird, um potenzielle Cybersicherheitsbedrohungen zu erkennen und eine Infektion in Unternehmensumgebungen zu verhindern. Palo Alto Networks analysiert, was dies für die Zukunft der Cybersicherheit bedeuten kann.

In vielen Unternehmen werden bereits Überlegungen angestellt, ob sich durch KI bald das Security Operations Center (SOC) vollständig ersetzen lässt. Schließlich geht es um Kosten für den Betrieb des SOC rund um die Uhr und es sind immer mehr Ressourcen, also Fachkräfte, Technologie und Finanzmittel nötig, um neue und vielfältigere Sicherheitsbedrohungen zu bekämpfen. Trotz aller Kostenaspekte sollten sich Unternehmen nicht nur auf Technologie zum Schutz ihres Unternehmens verlassen, sondern stattdessen evaluieren, wie KI zur Ergänzung ihres SOC beitragen kann. Warum ein SOC nicht durch KI ersetzt werden kann, macht eine Begebenheit aus der Profiliga des Schachsports deutlich.

 

Der unorthodoxe Zug von Deep Blue gegen Kasparow

Es ist bekannt, dass Schachgroßmeister Garry Kasparov 1997 gegen die berühmte KI-Maschine Deep Blue von IBM gespielt und verloren hat. Was viele vielleicht nicht wissen, ist, dass Kasparov ein Schlüsselspiel gewann, als Deep Blue einen damals als ungewöhnlich empfundenen Zug machte und Kasparov bis zu dem Punkt verwirrte, an dem er seinen Rhythmus und letztlich das Spiel verlor. Der unorthodoxe Zug von Deep Blue war jedoch kein berechneter Schritt, um den Schachmeister zu überlisten. Stattdessen wurde später entdeckt, dass Deep Blue einen Fehler und dadurch einen zufälligen, nicht akribisch durchdachten Zug machte.

Während der Sieg von Deep Blue als Meilenstein in der Entwicklung der KI gefeiert wurde, sollte der »Bug«, der das Ergebnis des Schlüsselspiels beeinflusste, ein warnender Aspekt sein, nicht alle Eier in den KI-Korb zu legen. Tatsächlich muss man manchmal außerhalb des Rahmens denken und handeln und nicht nach vordefinierten Regeln, um das Spiel zu gewinnen. Dies gilt insbesondere für die Cybersicherheit. Mit anderen Worten, der Hype um KI und maschinelles Lernen sollte nicht so interpretiert werden, dass die Technologie bereit ist, SOCs und die engagierten, einfallsreichen und kritisch agierenden Sicherheitstechniker und -analysten zu ersetzen.

 

Wie profitiert die Cybersicherheit von KI?

KI und ML haben die Fähigkeit bewiesen, viele Aufgaben zu automatisieren, die zuvor entweder von SOC-Mitarbeitern oder Werkzeugen der früheren Generation durchgeführt wurden. KI bietet zudem eine großartige Möglichkeit, viele Entscheidungsprozesse zum Thema Cybersicherheit zu automatisieren. KI wird jedoch immer in ihrer Fähigkeit eingeschränkt sein, menschliche Intelligenz in einem Bereich zu ersetzen, der sich so schnell und dramatisch verändert wie die Identifizierung und das Management von Cybersicherheitsbedrohungen. Wir wissen oft nicht, wie die Bedrohung aussieht und welche Auswirkungen sie haben kann, bis sie tatsächlich erkannt wird.

Daher ist es oft nicht möglich, eine Maschine im Voraus darauf zu trainieren, völlig unbekannte Muster zu erkennen. Maschinen, ebenso wie Menschen, haben es extrem schwierig, das relevante Signal aus dem Rauschen, die wirklichen Bedrohungen aus den False Positives herauszufiltern. Warum gibt es trotz zunehmendem Einsatz von automatisierten und algorithmischen Tools noch so viele nicht erkannte Sicherheitsvorfälle?

Die Großmeister der Cybersicherheit konkurrieren in ihrer Disziplin und suchen nach Möglichkeiten, den Bedrohungen voraus zu sein, indem sie den massiven und ständig wachsenden Datenberg der Threat-Intelligence-Dienste und anderer Überwachungsmethoden nutzen. Die Analyse aktueller Vorfälle, die Teilnahme an Diskussionsrunden zur Cybersicherheit, die Einrichtung von Honeypots oder die Herstellung von Red-Team-Übungen helfen hier und können zur Trainingsgrundlage für eine KI-gesteuerte Verteidigung werden. Das Einlernen der Maschinen mit diesen Daten ist jedoch sehr schwierig und bei weitem nicht lückenlos.

 

Einlernen der Maschinen

Was Maschinen natürlich gut können, ist das Erkennen von Mustern, die auf Input und Lernen von menschlichen Quellen basieren. Man kann einer Maschine beibringen, wie man einen Stuhl erkennt, indem man ihm Milliarden von Bildern in verschiedenen Größen, Formen und Formaten zeigt. Aber wie reagiert das maschinelle Lernen bei einer völlig anderen oder neuen Form, wie dem ergonomischen Sitzball oder einem Spaßprodukt wie ein Stuhl in Form eines Tieres oder eines Sportgeräts? In diesen Fällen wird das menschliche Gehirn die Verbindung zwischen diesem nie zuvor gesehenen Format und der Funktionalität eines Stuhls herstellen. Die Maschine hingegen wird nicht ohne weiteres verstehen, dass man darauf sitzen kann, es sei denn, es sieht aus wie ein Stuhl.

»Wir brauchen daher immer noch unsere cleveren SOC-Analysten, um den Algorithmen beizubringen, wie man erkennt, dass es sich um einen Stuhl handelt. Dies bedeutet, dem KI-System beizubringen, ein neues Stück Malware als Bedrohung zu erkennen, die es darstellt«, so Sergej Epp, Chief Security Officer, Central European Region, bei Palo Alto Networks.

KI und ML werden nach Meinung von Palo Alto Networks das SOC nicht ersetzen können, aber eine immer wichtigere Rolle bei der Automatisierung und erheblichen Beschleunigung von Entscheidungsprozessen spielen, etwa in folgenden Bereichen:

 

  • Netzwerk-Traffic-Analyse
  • Datei- oder Mail-Klassifizierung
  • Endgeräteschutz
  • Analyse des Nutzerverhaltens
  • Quellcode-Analyse
  • Analyse von Anwendungs- oder Datenbankanfragen
  • Prozessverhalten (etwa Kreditkartenbetrug oder andere Formen von Identitätsdiebstahl)

 

Sind Unternehmen KI-bereit?

Bevor Unternehmen auf KI setzen, wird oft vergessen, sowohl die Cybersicherheitstechnologien als auch das SOC selbst zu verändern. Der Erfolg von KI wird durch den Automatisierungs- und Integrationsgrad der Sicherheitskontrollen bestimmt. Es gibt Technologien und Tools, die entwickelt wurden, um bösartigen Netzwerkverkehr zu blockieren, eine Maschine unter Quarantäne zu stellen, ein Problem zu beheben oder einen Patch durchzuführen. Diese Technologien und Tools müssen zuvor verfügbar und implementiert sein – als automatisierte Anwendungsprogrammierschnittstelle im gesamten Unternehmen. Der Vorteil schneller Entscheidungen durch KI wäre ansonsten nutzlos, wenn man nicht automatisiert handeln kann.

KI wird einen bedeutenden Einfluss auf die Arbeit von SOC-Analysten haben, aber nicht als Jobkiller, wie es aufgebauschte Medienberichte zu glauben machen versuchen. Tatsächlich wird KI die Rolle der SOC-Analysten bereichern, indem diese von Routineaufgaben entlastet werden und zu Datenwissenschaftlern und Sicherheitsarchitekten avancieren. In diesen Funktionen können sie sich auf Wichtigeres konzentrieren: auf die architektonische Anpassung der operativen Kernprozesse, die Sicherstellung, dass die richtigen Daten gesammelt werden und von höchster Qualität sind, und auf innovative »Jagdtechniken« sowie kreative neue Wege, um Bedrohungen zu erkennen, die für einzelne Branchen, Unternehmen oder Abteilungen spezifisch sind.

KI wird die Fähigkeiten des SOC-Teams ergänzen und erweitern, sie wird Bedrohungsrisiken reduzieren, die Rolle der SOC-Fachkräfte verändern, aber das SOC nicht ersetzen. Daher müssen sich Führungskräfte auf die Fähigkeit der KI konzentrieren, Entscheidungsprozesse zu automatisieren, wenn die Maschinen unter der Leitung des SOC-Personals arbeiten. Hierbei gilt es einen umfassenden Einblick in Bedrohungen, den Zugang zu allen relevanten Daten und die Instrumentierung der Kontrollmaßnahmen zu gewährleisten.

»Nicht zu vergessen ist, dass immer wieder neue Akteure auftauchen, die nicht nach den Regeln spielen, die die Maschinen gelernt haben und beherrschen. Unternehmen sollten daher besser ihre eigenen Großmeister für Cybersicherheit zur Hand haben, um sicherzustellen, dass sie die Angreifer bei der Erfindung neuer Regeln behindern können«, fasst Sergej Epp von Palo Alto Networks abschließend zusammen.

 

2671 Artikel zu „KI Sicherheit“

5 Bereiche in denen Cybersicherheit von KI profitiert

Illustration: Geralt Absmeier Eine Untersuchung von Markets and Markets prognostiziert, dass die Industrie für künstliche Intelligenz bis zum Jahr 2025 auf ein Volumen von 190 Milliarden Dollar wächst. Bis zum Jahr 2021 werden dreiviertel aller kommerziellen Unternehmensanwendungen KI nutzen. Ein Bereich, in dem künstliche Intelligenz weiterhin auf dem Vormarsch ist, ist die Cybersicherheit. Wie in…

Wettlauf zwischen Angreifern und Verteidigern – KI und IT-Sicherheit

Die vom Bundesministerium für Bildung und Forschung (BMBF) initiierte Plattform Lernende Systeme (PLS) hat das Ziel, künstliche Intelligenz und maschinelles Lernen im Sinne der Gesellschaft zu gestalten. Im aktuellen Whitepaper »Künstliche Intelligenz und IT-Sicherheit« analysiert die Arbeitsgruppe »IT-Sicherheit, Privacy, Recht und Ethik« der PLS eines der Spannungsfelder der KI. Beigetragen haben dazu auch Experten des…

Die Grenzen KI-basierter Sicherheit

Klassische Sicherheitslösungen können viele Cyberangriffe nicht verhindern. Neuester Trend sind deshalb KI-gestützte Applikationen. Aber auch sie sind zum Scheitern verurteilt, denn sie sind nach wie vor auf die Angriffserkennung angewiesen. Nur die konsequente Isolation aller Gefahren lässt Cyberattacken zuverlässig ins Leere laufen. Security-Unternehmen werben derzeit stark mit Begriffen wie künstliche Intelligenz (KI) oder Machine Learning…

Sichere APIs für Open-Banking-Partnerschaften: Referenzarchitektur für Cybersicherheit

Wie können Finanzinstitute und FinTechs neue Technologien am besten einführen und gleichzeitig den Vorgaben und Gesetzen der Europäischen Union (EU) entsprechen?   In seinem ersten Beitrag beschreibt der Autor, Open Banking-Berater und Trainer, Jon Scheele welche Ansätze man braucht um Cybersicherheit in Partnerschaften zwischen Finanzinstituten und FinTechs zu integrieren. Sein zweiter Artikel beleuchtet die Auswirkungen der…

IoT verändert Sicherheitsdenken: Warum PKI immer wichtiger wird

Die digitale Transformation hat inzwischen eine Vielzahl von Branchen erreicht. Nicht zuletzt angetrieben durch die rasante Weiterentwicklung des Internet of Things (IoT) und die darin liegenden unternehmerischen Möglichkeiten. Wie etwa den, sich Wettbewerbsvorteile gegenüber der Konkurrenz zu verschaffen. Richtig aufgesetzt haben IoT-Projekte das Potenzial, betriebliche Abläufe zu rationalisieren, neue Umsatzquellen zu erschließen und Dienstleistungen besser…

Cryptojacking-Boom unterminiert die Sicherheit im Internet

Bericht zur aktuellen Bedrohungslage zeigt, dass jede zehnte professionelle Hackergruppe auf Zerstörung ausgelegte Schadsoftware verwendet.   Cyberkriminelle haben im vergangenen Jahr Cryptojacking für sich entdeckt und sich damit eine neue, hoch lukrative Einnahmequelle neben dem zunehmend überteuerten und überlaufenen Ransomware-Markt erschlossen. Dies geht aus dem von Symantec in der 23. Auflage veröffentlichten Internet Security Threat…

Skilanglauf trifft den Wunsch nach Natur, Entschleunigung und Sicherheit

Die Trendstudie »Wintersport in Deutschland 2017/2018« zeigt ein steigendes Interesse der Deutschen an der Wintersportart Skilanglauf [1]. Darüber hinaus untersucht sie die Urlaubsbedürfnisse der Deutschen und stellt einen ausgeprägten Wunsch nach Entschleunigung und aktivem Natururlaub mit der Familie sowie ein Sicherheitsbedürfnis bei der Wahl des Urlaubsortes fest. Die Trendstudie verdeutlicht, dass Skilanglauf die kommende Wintersportart…

Entwicklern fehlen die notwendigen Skills für mehr Sicherheit in der Software

Hochschulen und andere traditionelle Bildungsinstitutionen vermitteln keine ausreichenden Security-Kenntnisse. Unternehmen müssen eigene Bildungsangebote schaffen.   Entwickler besitzen oftmals nicht die nötigen Kenntnisse und Fähigkeiten, um in der DevSecOps-Welt erfolgreich zu sein. Das haben der Anwendungssicherheitsspezialist Veracode – seit kurzem Teil von CA Technologies – und DevOps.com in ihrer gemeinsamen 2017 DevSecOps Global Skills Survey herausgefunden…

KI und maschinelles Lernen für mehr Sicherheit

Jedes Unternehmen, jede Organisation muss damit rechnen, dass Hacker, Spione, Erpresser erfolgreich in ihre Netzwerke eindringen und sich oft monatelang unentdeckt dort tummeln können. Die Angriffsflächen sind durch die Mobilität der Mitarbeiter, durch Cloud Computing, durch das Internet der Dinge und durch Industrie 4.0 enorm vergrößert worden. Ein Eldorado für die Cyberkriminellen. Angreifer nutzen automatisierte…

Top IT Skills: Sicherheitsexperten sind am stärksten gefragt

Angesichts weltweiter Cyberangriffe wachsen die Anforderungen an die IT-Sicherheit in Unternehmen, Behörden und Organisationen. »Der aktuelle Hacker-Angriff ›WannaCry‹ in mehr als 100 Ländern hat sehr deutlich gezeigt, wie groß der Bedarf an IT-Sicherheitsexperten ist«, sagt Sonja Pierer, Geschäftsführerin der Experis GmbH. Die aktuellen Entwicklungen bestätigt eine internationale Studie der ManpowerGroup-Tochter Experis. Demnach gehört Wissen über…

Banking-Apps: Sieben Sicherheitslöcher pro App

Untersuchung zeigt: Mobile Bankanwendungen sind hochgefährdet. 500 Millionen Nutzer weltweit betroffen. Pradeo Lab, ein Unternehmen im Bereich Sicherheit von Terminals und mobilen Anwendungen, hat 50 Apps der Top-100-Banken weltweit auf Sicherheitslücken hin überprüft. Das Ergebnis ist alarmierend: Jede Anwendung weist im Durchschnitt sieben verschiedene Gefahrenstellen auf. Keine einzige überprüfte App ist ohne Sicherheitsmangel. Gerade für…

Weitere Artikel zu