Mit Künstlicher Intelligenz gegen Hacker kämpfen

Treffer mit Machine Learning

“„Erfolgreiches maschi­nelles Lernen erfordert eine gute Qualität und kontinuierliche Überwachung der zugrundeliegenden Daten sowie eine stetige Weiterentwicklung der Algorithmen.“„
Achim Kraus
Director Sales Engineering bei Cybereason
www.cybereason.com
Beim maschinellen Lernen wird das System – vereinfacht gesagt – zunächst trainiert und mit Netzwerkinformationen sowie den beschriebenen sicherheitsbezogenen Daten gefüttert. Dabei wird mittels Mustererkennung auch eine Art „Normalverhalten“ definiert, anhand dessen später frühzeitig Anomalien erkannt und Bedrohungen entdeckt werden.
Die Anbieter von SI-Lösungen entwickeln ihre Algorithmen stetig weiter und verfeinern sie mit dem Ziel, die Trefferquote zu erhöhen, die Anzahl von Fehlalarmen (False Positives) zu reduzieren und bislang unbekannte Angriffsmuster zu entdecken. Dazu kombinieren sie auch verschiedene Algorithmen miteinander oder verwenden Algorithmen, die auf neuronalen Netzen beruhen.
Letztendlich entstehen so statistische Machine-Learning-Modelle, auf deren Basis eine SI-Lösung in Echtzeit entscheiden kann, ob ein Netzwerkverkehr gut- oder bösartig ist. Zudem erkennen sie das Verhalten moderner Malware besser, die für traditionelle Standardlösungen nicht sichtbar ist. Sie identifizieren und blockieren selbst unbekannte Malware-Familien, die Domänennamen für infizierte Hosts generieren und versuchen, Befehls- und Kontroll-Server zu kontaktieren.

SI hat Grenzen

SI-Lösungen verknüpfen zwar Daten miteinander, die vorher nicht in Beziehung standen, liefern eine Gesamtsicht der Bedrohungen und ermöglichen, in Echtzeit Abwehrmassnahmen zu treffen und laufend zu verfeinern, ein Allheilmittel sind sie aber nicht. Security Intelligence allein reicht nicht aus, um Unternehmen sicher zu machen.
„Security Intelligence wird nur erfolgreich sein, wenn die Lösung in eine umfassende Security-Strategie und entsprechende Sicherheitsrichtlinien eingebettet ist. Firmen müssen zuvor ihre Daten klassifizieren und dann die Risiken analysieren. Aus der Risikobewertung heraus erfolgt meist die Security-Strategie mit unterschied­lichen Massnahmen und Abwehrlinien inklusive einer Schulung der Mitarbeiter. Hier sehen wir unterschiedliche Reifegrade in den Unternehmen“, sagt Ralf Gehrke von Akamai.
“„Ohne sinnvolle und effiziente Suchregeln für wirklich wichtige Auffälligkeiten nützt die beste Monitoring-Technik nichts. Hier kommt auch maschinelles Lernen zum Einsatz.“„
Dirk Backofen
Leiter Telekom Security
www.t-systems.com
Oliver Tavakoli, Chief Technology Officer bei Vectra Networks, weist auf weitere Fallstricke wie die niedrige Datenqualität und die hohe Komplexität der multidimensionalen SI-Lösungen hin: „Deshalb fällt es oft schwer, dem Endanwender wirklich verständlich zu machen, warum die Systeme beispielsweise ein bestimmtes Event als verdächtig einstufen und ein anderes nicht.“ Ein denkbares Risiko beim Einsatz sieht er zudem darin, dass „besonders ausgefuchste Angreifer möglicherweise versuchen werden, ihr Vorgehen auf die Erkennungsstrategien der Lösungen abzustimmen und die Daten zu kontaminieren, aus denen die Systeme ihre Schlüsse ziehen.“

Der Mensch bleibt wichtig

Eine spannende Frage ist auch, inwieweit SI-Lösungen fehlendes Wissen der Mitarbeiter kompensieren können. Für Jochen Rummel, Regional Director DACH bei FireEye, ist die Antwort eindeutig: „Mit Security Intelligence alleine lässt sich kein fehlendes Know-how der Mitarbeiter ausgleichen. Technologie sollte CISOs oder IT-Sicherheitsteams die Arbeit erleichtern, ihnen Sichtbarkeit in ihrem Netzwerk geben, Alerts priorisieren, um sie zu befähigen, eine schnelle Response durchzuführen. Es geht darum, Prozesse zu vereinfachen und zu automatisieren – aber auch darum, erfahrene Security-Analysten zu haben. Die Expertise eines erfahrenen Analysten ist kaum zu ersetzen: Am Ende verstehen Menschen andere Menschen immer noch am besten.“
“„Die Expertise eines erfahrenen Analysten ist kaum zu ersetzen. Am Ende verstehen Menschen andere Menschen immer noch am besten.“„
Jochen Rummel
Regional Director DACH
bei FireEye
www.fireeye.de
Ein Urteil, dem im Kern alle befragten Experten zustimmen. Für Marc Fliehe, Bereichsleiter Informa­tion Security beim Branchenverband Bitkom, senken Security-Intelligence-Lösungen zwar das Risiko durch „normale“ Mitarbeiter aus den Fachbereichen oder bieten einen Mehrwert, wenn im Unternehmen selbst nur geringe Security-Expertise vorhanden ist. „In der Firma selbst muss aber die Kompetenz und Erfahrung vorhanden sein, ob ich mich auf diese Daten und Treffer der Maschine verlassen kann. Es geht darum, die Güte und Qualität der Lösung bewerten zu können. Ist das ein falscher Alarm? Reicht die vorgeschlagene Massnahme aus?“
Marc Fliehe sieht in Security-Intelligence-Lösungen letztlich ein gutes Mittel zur Unterstützung der Security-Verantwortlichen, das allerdings das Risikomanagement und mensch­liches Know-how nicht ersetzen kann. Er hält die Cyberkriminellen für kreativ genug, Bedrohungen zu entwickeln, die auch die Maschinen nicht erkennen können – zumal ja auch aus neuen Anwendungen neue Muster entstünden. „Es kann sein, dass ein bestimmtes Kommunikationsverhalten im Netz aus einer neuen Business-Aktivität resultiert und nicht durch einen Angriff erklärt werden kann. Dieses Wissen haben ausschliesslich die Mitarbeiter, eine Secu­rity-Intelligence-Lösung kann sich das wohl auch mit Künstlicher Intelligenz nicht selbstständig erschliessen.“
Seite 4/5
Auf einer Seite lesen
  1. Mit Künstlicher Intelligenz gegen Hacker kämpfen
  2. Threat und Security Intelligence
  3. Schlüsse ziehen aus Big Data
  4. Treffer mit Machine Learning
  5. "KI erhöht die Erkennungsrate um den Faktor 100"
Artikel drucken
Das könnte Sie auch interessieren
WebGPU vor 4 Tagen
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
vor 4 Tagen
Betrugsversuch vor 4 Tagen
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
vor 4 Tagen
Untersuchung vor 4 Tagen
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen laut dem Polarization Research Lab schwer.
 
vor 4 Tagen
Künstliche Intelligenz vor 6 Tagen
GPT-4 Turbo with Vision: Ein Rückschritt für das Coding
Laut einem Bericht von Aider, einem führenden Anbieter von KI-gestützten Codiertools, ist die neueste Version von GPT-4 Turbo mit Vision-Funktionalität ein Rückschritt für die Codequalität.
 
vor 6 Tagen