Anzeige

Sicherheit

Das Ziel von Cybersicherheitsanbietern ist es, Sicherheitsexperten in Unternehmen dabei zu helfen, gefährliche Aktivitäten in ihren Netzwerken zu erkennen.

Bei genauerem Hinsehen wird deutlich, dass viele Anbieter ihre Aufmerksamkeit jedoch auf Vorgänge und Themen lenken, die harmlos oder irrelevant sind. Besonders schwer ist es für Unternehmen die Wirksamkeit von Sicherheitslösungen zu bewerten, die auf maschinellem Lernen basieren.

Vectra geht daher der Frage nach: Worauf sollte ein Sicherheitsexperte bei Sicherheitsprodukten mit maschinellem Lernen achten?

  1. Verwendet dieses Sicherheitsprodukt maschinelles Lernen und KI, um Vorhersagen zu erkennen, zu clustern, zu klassifizieren und zu treffen, die von Menschen allein nicht erkannt, geclustert, klassifiziert oder vorhergesagt werden könnten?
  2. Machen das maschinelle Lernen und die KI in einem Sicherheitsprodukt Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Intervention und Analyse reduzieren? Oder sind es Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Eingriffe und Analysen eher erhöhen?

Dies erfordert eine angemessene Bewertung und Validierung durch potenzielle Kunden. Im Allgemeinen werden diese Kriterien nur erreicht, wenn das maschinelle Lernen und die KI, die in ein Produkt einfließen, für die vorliegenden Probleme konzipiert sind. Wenn ein Sicherheitsprodukt nicht richtig funktioniert, könnte es die Aufmerksamkeit eines Sicherheitsexperten von den relevanten und anhaltenden Bedrohungen in einem Netzwerk ablenken und ihn stattdessen damit beschäftigen, unzählige irrelevante und nicht bösartige Aktivitäten zu durchsuchen.

„Versucht ein Sicherheitsprodukt, alle Probleme mit einem einzigen, monolithischen Algorithmus oder Ansatz zu lösen? Dies führt in der Regel zu vielen Erkennungen, die es wert sind, weiter untersucht zu werden“, erläutert Andreas Müller, Director DACH bei Vectra AI. „Es ist unwahrscheinlich, dass es einen Kontext oder Informationen darüber liefert, warum diese Aktivität überhaupt gekennzeichnet wurde.“

Wenn ein Produkt beispielsweise nur eine Anomalie-Erkennung mit unüberwachtem maschinellen Lernen durchführt, wird alles, was außerhalb des Bereichs der normalen Aktivität liegt, als bösartig markiert. Vielleicht wurde eine Verbindung über einen Port hergestellt, der nicht häufig beobachtet wurde, oder vielleicht hat sich ein Benutzer zu einer unregelmäßigen Tageszeit angemeldet. Ist eine dieser beiden Entdeckungen notwendigerweise bösartig? Nein. Wird Zeit verschwendet, wenn das Sicherheitsprodukt glaubt, dass etwas Anomales bösartig ist? Auf jeden Fall.

Ein anderer Aspekt, auf den Unternehmen achten sollten, ist die Frage, von wem die Sicherheitsprodukte entwickelt wurden. Im Optimalfall wären dies Teams, die über das Fachwissen und das Verständnis der Algorithmen, die sie verwenden, und über das Wissen zu den Arten von Problemen verfügen, für die diese Algorithmen am besten geeignet sind. Die Art der Erkennung beruht beispielsweise auf Eingaben, die von Natur aus temporär oder sequentiell sind. Eine Erkennung böswilliger Aktivitäten ginge somit darauf zurück, das viele Schritte in der Vergangenheit aufgetreten sind. Verwendet die Lösung dann Bayes'sche Methoden, die nicht von der zeitlichen Abfolge abhängen? Oder kommen stattdessen Deep-Learning-Methoden wie rekurrierende neuronale Netze (RNN) und das Long Short-Term Memory (LSTM) zum Einsatz? Dann stellt sich die Frage nach dem Fachwissen, wie und wann sich diese Modelle richtig ausführen lassen.

Im ersteren Fall erkennt das Sicherheitsprodukt am Ende bestimmte Arten von Aktivitäten nicht mehr. Und im zweiten Fall kann die Leistungsfähigkeit von Techniken wie Deep-Learning-Algorithmen in einem Team verloren gehen, das nicht über die Erfahrung verfügt, sie zu verstehen.

„Sicherheitslösungen, die auf maschinellem Lernen basieren, bietet zahlreiche Vorteile gegenüber klassischen Sicherheitskonzepten. Sie erfordern aber auch ein Umdenken bei den IT-Teams, die mit ihnen arbeiten“, fasst Andreas Müller abschließend zusammen. „Deshlab ist es in der Evaluierungsphase sehr wichtig, dass Unternehmen sich umfassend informieren und beraten lassen, welche Lösung zu ihren Anforderungen, der bestehenden Infrastruktur und den Fähigkeiten des IT-Teams passt.“

www.vectra.ai


Artikel zu diesem Thema

Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Industrie 4.0
Jul 17, 2020

Wie die Industrie 4.0 von der 6GHz-Frequenz profitieren kann

Die Industrie 4.0. ist in Deutschland angekommen. Maschinelles Lernen, Virtual Reality…

Weitere Artikel

Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.