Die Rolle von künstlicher Intelligenz und maschinellem Lernen in Sachen Cybersicherheit – Vectra AI erläutert

  • Aktualisiert vor2 Monaten 
  • 6Minuten Lesezeit
  • 1150Wörter
  • 74Leser

München, den 08.07.2022 – Die stetig steigende Zahl an erfolgreichen Cyberangriffen demonstriert, wie häufig Angreifer trotz moderner Präventionslösungen ihre Ziele erreichen. Dadurch rücken vermehrt Technologien in den Fokus, die der schnellen Entdeckung laufender Angriffe dienen – NDR (Network Detection & Response). Eine große Rolle spielen hierbei KI- und ML-basierte Systeme.

Da diese Begriffe aber gerne miteinander vermischt werden und viele Unternehmen das Thema „KI & ML“ noch ein Buch mit sieben Siegeln ist, geht Andreas Riepen, Head Zentral- und Osteuropa bei Vectra AI, drei grundlegende Fragen auf den Grund.

Allheilmittel oder Waffe, die sich gegen Unternehmen richtet?

Einer der am weitesten verbreiteten Mythen rührt direkt von den extremen Positionen her, die in der Debatte über die Wirksamkeit von AI und ML als Lösungen für Cybersicherheit eingenommen werden. Das eine Extrem ist das Argument, dass AI und ML das Allheilmittel für alle Probleme im Zusammenhang mit der Cyber Security sind. Das andere Extrem ist das Argument, dass AI und ML in der Cybersicherheit überhaupt keine Rolle spielen. Die tatsächliche Wahrheit ist leider weit weniger schlagzeilenträchtig und lässt sich von Marketingabteilungen nicht so leicht zitieren. Tatsache ist, dass AI und ML für sich genommen kein Allheilmittel für Ihr Security Operations Center (SOC) sind. Der Verzicht auf AI und ML würde jedoch dazu führen, dass Ihr SOC bei einem breiten Spektrum aktueller und zukünftiger Angriffe im Dunkeln tappt.  Es ist leicht zu erkennen, warum dies der Fall ist.

Lösungen, die keine AI oder ML nutzen, können mit der sich ständig verändernden Landschaft von Techniken und Tools der Angreifer nicht Schritt halten.  Ein weiteres (potenziell schwerwiegenderes) Problem ist die Tatsache, dass es bestimmte Aufgaben gibt, die einfach nicht von Menschen allein erledigt werden können. Menschen sind beispielsweise nicht in der Lage, eine Zeitreihe von verschlüsselten Verkehrsströmen im Netzwerk zu betrachten, um vorherzusagen, welche davon einen versteckten Command- & Control-Kanal enthalten könnten. Diese Art von Aufgabe erfordert AI- und ML-Lösungen, die über die menschlichen Fähigkeiten hinausgehen.

Auf der anderen Seite neigen Lösungen, die nur allgemeine AI- und ML-Techniken verwenden, die ohne Sicherheitskontext und Besonderheit der Domänen entwickelt wurden, dazu, einfach nach statistischen Anomalien in einer Umgebung zu suchen. Diese Anomalien selbst werden wahrscheinlich recht häufig auftreten, obwohl es sehr unwahrscheinlich ist, dass eine davon bösartig ist. Dies führt zu einem erhöhten Aufmerksamkeits- und Betriebsaufwand und lenkt von den tatsächlichen Verhaltensweisen der Angreifer ab, die oft so gestaltet sind, dass sie harmlos aussehen. Blindes Vertrauen in Lösungen von Cyber Security, die auf generischen AI- und ML-Konstrukten basieren, verhält sich wie der Versuch, eine Nadel im Heuhaufen zu finden, indem man zuerst mehr Heu hinzufügt.

Ein weiterer Mythos, der sich immer weiter verbreitet, ist die Vorstellung, dass offensive AI die größte Bedrohung für eine Umgebung darstellt.  Es gibt zwar neue Bedrohungen durch den Einsatz von AI im Cyberspace (z. B. die Verwendung von AI zur Generierung glaubwürdiger menschlicher Texte für Phishing-Kampagnen und die Erstellung von Fälschungen, wie wir bereits vor einigen Jahren vorausgesagt haben), aber die Vorstellung, dass AI-basierte Systeme derzeit für End-to-End-Angriffe eingesetzt werden, ist einfach von der Realität abgekoppelt. Jeder, der dem Kunden ein Sicherheitsprodukt unter der Prämisse verkauft, dass AI-Angreifer seine primäre Bedrohung sind und nicht entschlossene und kreative menschliche Angreifer, hat vielleicht auch eine Behelfslösung in der Tasche, die er einem verkaufen möchte.

Unternehmen sehen in der KI eine Möglichkeit, das menschliche Defizit bei den Cybersicherheitsaufgaben komplett zu beheben. Ist das realistisch?

Die Antwort auf diese Frage hängt zum großen Teil davon ab, wie man das Wort "beheben" interpretiert. Der Mangel an Cybersecurity-Experten und die daraus resultierenden Risiken stehen außer Frage. Dieser Mangel sollte in den Reihen derjenigen, die mit nationaler Sicherheit und wirtschaftlicher Planung zu tun haben, für tiefe und anhaltende Besorgnis sorgen. Da unser Leben zunehmend von digitalen, vernetzten Systemen abhängt, müssen wir uns der Tatsache stellen, dass wir viel schneller neue Angriffsflächen schaffen, als wir Experten für die Sicherung dieser Systeme ausbilden.

Vor diesem Hintergrund ist es notwendig, darauf hinzuweisen, dass AI und ML eine klare Rolle bei der Entschärfung der Situation spielen können. Es gibt letztlich zwei Gründe, warum dies der Fall ist: Erstens können AI und ML eingesetzt werden, um bestimmte Aspekte des menschlichen Verhaltens zu reproduzieren. Zweitens können AI und ML eingesetzt werden, um über das hinauszugehen, wozu Menschen fähig sind. Im ersten Fall ist es möglich, Teile des Arbeitsablaufs von Sicherheitsexperten zu automatisieren. Im zweiten Fall können AI und ML dazu genutzt werden, die Aufmerksamkeit der Experten auf die tatsächlichen Bedrohungen zu lenken, anstatt sich auf oberflächliche und harmlose Verhaltensweisen zu konzentrieren.

Letztendlich gibt es keinen Ausweg aus dem Mangel an Experten für Cyber Security. Es müssen mehr Menschen in diesem Bereich ausgebildet werden. Dennoch werden AI und ML eine entscheidende Rolle bei der Unterstützung von Experten bei der Suche nach Bedrohungen und deren Behebung spielen. 

Was sollte man über die Unterschiede zwischen AI und ML in Sicherheitssystemen wissen?

Die Unterscheidung zwischen AI und ML ist wahrscheinlich so unscharf geworden, dass der Versuch, die beiden Begriffe wirklich voneinander abzugrenzen, nicht mehr viel bringt. Ein viel wichtigerer und fruchtbarer Weg für Unternehmen ist es, sich zu fragen, ob die Art der Technologie in einer bestimmten Lösung Dinge tut, die ein Mensch allein nicht tun könnte. Spart sie einem menschlichen Analysten Zeit? Oder lenkt sie von den eigentlichen Angriffen ab, die der Analytiker aufzudecken hofft? Sich in der Frage zu verzetteln, ob es sich um AI oder ML handelt oder nicht, ist ungefähr so, als würde man sich Gedanken darüber machen, ob U-Boote schwimmen oder nicht. Letztendlich kommt es darauf an, ob die Lösung funktioniert oder nicht.

# # # ENDE # # #

Über Vectra

Vectra ist ein führender Anbieter von Cyber-Bedrohungserkennung und -Reaktion für Hybrid- und Multi-Cloud-Unternehmen. Die Vectra-Plattform nutzt AI zur schnellen Erkennung von Bedrohungen in der öffentlichen Cloud, bei Identitäts- und SaaS-Anwendungen sowie in Rechenzentren. Nur Vectra optimiert die AI, um die Methoden der Angreifer – die TTPs (tactics, techniques and procedures) –, die allen Angriffen zugrunde liegen – zu erkennen, anstatt nur einfach vor ihnen zu warnen. Das daraus resultierende realitätsnahe Bedrohungssignal und der klare Kontext ermöglichen es den Teams für Cyber Security, schneller auf Bedrohungen zu reagieren und laufende Angriffe zu stoppen. Unternehmen auf der ganzen Welt verlassen sich auf Vectra, wenn es darum geht, gefährliche Cyberbedrohungen abzuwehren und zu verhindern, dass Ransomware, Kompromittierungen der Lieferkette, Identitätsübernahmen und andere Cyberangriffe ihr Geschäft beeinträchtigen. Weitere Informationen finden sich unter www.vectra.ai

 

+ + + + + + + + +

 

tech2com UG

Philipp Haberland

Festnetz: 07162/601400-1

Mobil: 0163/2722363

Mail: p.haberland@tech2com.de