Anzeige

Sicherheit

Das Ziel von Cybersicherheitsanbietern ist es, Sicherheitsexperten in Unternehmen dabei zu helfen, gefährliche Aktivitäten in ihren Netzwerken zu erkennen.

Bei genauerem Hinsehen wird deutlich, dass viele Anbieter ihre Aufmerksamkeit jedoch auf Vorgänge und Themen lenken, die harmlos oder irrelevant sind. Besonders schwer ist es für Unternehmen die Wirksamkeit von Sicherheitslösungen zu bewerten, die auf maschinellem Lernen basieren.

Vectra geht daher der Frage nach: Worauf sollte ein Sicherheitsexperte bei Sicherheitsprodukten mit maschinellem Lernen achten?

  1. Verwendet dieses Sicherheitsprodukt maschinelles Lernen und KI, um Vorhersagen zu erkennen, zu clustern, zu klassifizieren und zu treffen, die von Menschen allein nicht erkannt, geclustert, klassifiziert oder vorhergesagt werden könnten?
  2. Machen das maschinelle Lernen und die KI in einem Sicherheitsprodukt Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Intervention und Analyse reduzieren? Oder sind es Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Eingriffe und Analysen eher erhöhen?

Dies erfordert eine angemessene Bewertung und Validierung durch potenzielle Kunden. Im Allgemeinen werden diese Kriterien nur erreicht, wenn das maschinelle Lernen und die KI, die in ein Produkt einfließen, für die vorliegenden Probleme konzipiert sind. Wenn ein Sicherheitsprodukt nicht richtig funktioniert, könnte es die Aufmerksamkeit eines Sicherheitsexperten von den relevanten und anhaltenden Bedrohungen in einem Netzwerk ablenken und ihn stattdessen damit beschäftigen, unzählige irrelevante und nicht bösartige Aktivitäten zu durchsuchen.

„Versucht ein Sicherheitsprodukt, alle Probleme mit einem einzigen, monolithischen Algorithmus oder Ansatz zu lösen? Dies führt in der Regel zu vielen Erkennungen, die es wert sind, weiter untersucht zu werden“, erläutert Andreas Müller, Director DACH bei Vectra AI. „Es ist unwahrscheinlich, dass es einen Kontext oder Informationen darüber liefert, warum diese Aktivität überhaupt gekennzeichnet wurde.“

Wenn ein Produkt beispielsweise nur eine Anomalie-Erkennung mit unüberwachtem maschinellen Lernen durchführt, wird alles, was außerhalb des Bereichs der normalen Aktivität liegt, als bösartig markiert. Vielleicht wurde eine Verbindung über einen Port hergestellt, der nicht häufig beobachtet wurde, oder vielleicht hat sich ein Benutzer zu einer unregelmäßigen Tageszeit angemeldet. Ist eine dieser beiden Entdeckungen notwendigerweise bösartig? Nein. Wird Zeit verschwendet, wenn das Sicherheitsprodukt glaubt, dass etwas Anomales bösartig ist? Auf jeden Fall.

Ein anderer Aspekt, auf den Unternehmen achten sollten, ist die Frage, von wem die Sicherheitsprodukte entwickelt wurden. Im Optimalfall wären dies Teams, die über das Fachwissen und das Verständnis der Algorithmen, die sie verwenden, und über das Wissen zu den Arten von Problemen verfügen, für die diese Algorithmen am besten geeignet sind. Die Art der Erkennung beruht beispielsweise auf Eingaben, die von Natur aus temporär oder sequentiell sind. Eine Erkennung böswilliger Aktivitäten ginge somit darauf zurück, das viele Schritte in der Vergangenheit aufgetreten sind. Verwendet die Lösung dann Bayes'sche Methoden, die nicht von der zeitlichen Abfolge abhängen? Oder kommen stattdessen Deep-Learning-Methoden wie rekurrierende neuronale Netze (RNN) und das Long Short-Term Memory (LSTM) zum Einsatz? Dann stellt sich die Frage nach dem Fachwissen, wie und wann sich diese Modelle richtig ausführen lassen.

Im ersteren Fall erkennt das Sicherheitsprodukt am Ende bestimmte Arten von Aktivitäten nicht mehr. Und im zweiten Fall kann die Leistungsfähigkeit von Techniken wie Deep-Learning-Algorithmen in einem Team verloren gehen, das nicht über die Erfahrung verfügt, sie zu verstehen.

„Sicherheitslösungen, die auf maschinellem Lernen basieren, bietet zahlreiche Vorteile gegenüber klassischen Sicherheitskonzepten. Sie erfordern aber auch ein Umdenken bei den IT-Teams, die mit ihnen arbeiten“, fasst Andreas Müller abschließend zusammen. „Deshlab ist es in der Evaluierungsphase sehr wichtig, dass Unternehmen sich umfassend informieren und beraten lassen, welche Lösung zu ihren Anforderungen, der bestehenden Infrastruktur und den Fähigkeiten des IT-Teams passt.“

www.vectra.ai


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Industrie 4.0
Jul 17, 2020

Wie die Industrie 4.0 von der 6GHz-Frequenz profitieren kann

Die Industrie 4.0. ist in Deutschland angekommen. Maschinelles Lernen, Virtual Reality…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!