Anzeige

Sicherheit

Das Ziel von Cybersicherheitsanbietern ist es, Sicherheitsexperten in Unternehmen dabei zu helfen, gefährliche Aktivitäten in ihren Netzwerken zu erkennen.

Bei genauerem Hinsehen wird deutlich, dass viele Anbieter ihre Aufmerksamkeit jedoch auf Vorgänge und Themen lenken, die harmlos oder irrelevant sind. Besonders schwer ist es für Unternehmen die Wirksamkeit von Sicherheitslösungen zu bewerten, die auf maschinellem Lernen basieren.

Vectra geht daher der Frage nach: Worauf sollte ein Sicherheitsexperte bei Sicherheitsprodukten mit maschinellem Lernen achten?

  1. Verwendet dieses Sicherheitsprodukt maschinelles Lernen und KI, um Vorhersagen zu erkennen, zu clustern, zu klassifizieren und zu treffen, die von Menschen allein nicht erkannt, geclustert, klassifiziert oder vorhergesagt werden könnten?
  2. Machen das maschinelle Lernen und die KI in einem Sicherheitsprodukt Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Intervention und Analyse reduzieren? Oder sind es Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Eingriffe und Analysen eher erhöhen?

Dies erfordert eine angemessene Bewertung und Validierung durch potenzielle Kunden. Im Allgemeinen werden diese Kriterien nur erreicht, wenn das maschinelle Lernen und die KI, die in ein Produkt einfließen, für die vorliegenden Probleme konzipiert sind. Wenn ein Sicherheitsprodukt nicht richtig funktioniert, könnte es die Aufmerksamkeit eines Sicherheitsexperten von den relevanten und anhaltenden Bedrohungen in einem Netzwerk ablenken und ihn stattdessen damit beschäftigen, unzählige irrelevante und nicht bösartige Aktivitäten zu durchsuchen.

„Versucht ein Sicherheitsprodukt, alle Probleme mit einem einzigen, monolithischen Algorithmus oder Ansatz zu lösen? Dies führt in der Regel zu vielen Erkennungen, die es wert sind, weiter untersucht zu werden“, erläutert Andreas Müller, Director DACH bei Vectra AI. „Es ist unwahrscheinlich, dass es einen Kontext oder Informationen darüber liefert, warum diese Aktivität überhaupt gekennzeichnet wurde.“

Wenn ein Produkt beispielsweise nur eine Anomalie-Erkennung mit unüberwachtem maschinellen Lernen durchführt, wird alles, was außerhalb des Bereichs der normalen Aktivität liegt, als bösartig markiert. Vielleicht wurde eine Verbindung über einen Port hergestellt, der nicht häufig beobachtet wurde, oder vielleicht hat sich ein Benutzer zu einer unregelmäßigen Tageszeit angemeldet. Ist eine dieser beiden Entdeckungen notwendigerweise bösartig? Nein. Wird Zeit verschwendet, wenn das Sicherheitsprodukt glaubt, dass etwas Anomales bösartig ist? Auf jeden Fall.

Ein anderer Aspekt, auf den Unternehmen achten sollten, ist die Frage, von wem die Sicherheitsprodukte entwickelt wurden. Im Optimalfall wären dies Teams, die über das Fachwissen und das Verständnis der Algorithmen, die sie verwenden, und über das Wissen zu den Arten von Problemen verfügen, für die diese Algorithmen am besten geeignet sind. Die Art der Erkennung beruht beispielsweise auf Eingaben, die von Natur aus temporär oder sequentiell sind. Eine Erkennung böswilliger Aktivitäten ginge somit darauf zurück, das viele Schritte in der Vergangenheit aufgetreten sind. Verwendet die Lösung dann Bayes'sche Methoden, die nicht von der zeitlichen Abfolge abhängen? Oder kommen stattdessen Deep-Learning-Methoden wie rekurrierende neuronale Netze (RNN) und das Long Short-Term Memory (LSTM) zum Einsatz? Dann stellt sich die Frage nach dem Fachwissen, wie und wann sich diese Modelle richtig ausführen lassen.

Im ersteren Fall erkennt das Sicherheitsprodukt am Ende bestimmte Arten von Aktivitäten nicht mehr. Und im zweiten Fall kann die Leistungsfähigkeit von Techniken wie Deep-Learning-Algorithmen in einem Team verloren gehen, das nicht über die Erfahrung verfügt, sie zu verstehen.

„Sicherheitslösungen, die auf maschinellem Lernen basieren, bietet zahlreiche Vorteile gegenüber klassischen Sicherheitskonzepten. Sie erfordern aber auch ein Umdenken bei den IT-Teams, die mit ihnen arbeiten“, fasst Andreas Müller abschließend zusammen. „Deshlab ist es in der Evaluierungsphase sehr wichtig, dass Unternehmen sich umfassend informieren und beraten lassen, welche Lösung zu ihren Anforderungen, der bestehenden Infrastruktur und den Fähigkeiten des IT-Teams passt.“

www.vectra.ai


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Industrie 4.0
Jul 17, 2020

Wie die Industrie 4.0 von der 6GHz-Frequenz profitieren kann

Die Industrie 4.0. ist in Deutschland angekommen. Maschinelles Lernen, Virtual Reality…

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!