Thought Leadership
Kognitive Lösungen bieten ein großes Potenzial für die IT-Sicherheit von Unternehmen. Hans-Peter Fischer, Cyber Security-Experte bei KPMG, erklärt, wie mithilfe von KI-Anwendungen Anomalien schneller erkannt werden und Unternehmen dabei vorgehen sollten.
Eine der Erkenntnisse aus der Cyberattacke WannaCry – neben der noch überraschend großen Verbreitung von Windows XP – ist die Feststellung, dass Informationssicherheitsvorfälle im Allgemeinen weniger Schaden anrichten, wenn sie rechtzeitig erkannt werden – idealerweise noch bevor die Ausbreitung und der Fortschritt ein solches Ausmaß angenommen haben, dass ein Angriff für Außenstehende sichtbar wird.
Die große Frage ist: Wie lässt sich ein Angriff wie WannaCry im Ansatz erkennen und aufhalten?
Informationssicherheit muss den Normalzustand einer Organisation kennen
Wie hätte man früher erkennen können, dass etwas nicht stimmt? Betrachtet man das Problem abstrakt, stellt man fest, dass Informationssicherheit auch immer bedeutet, zwischen Erlaubtem und Unerlaubtem zu unterscheiden. Ähnlich wie ein Staat Gesetze definiert, muss ein Unternehmen vom Normalzustand abgeleitet Regeln entwickeln, welche Verletzungen der Informationssicherheit als solche definieren und erkennen. Es muss klare Regelungen treffen, wie bei Übertretung der Regeln zu verfahren ist, um den Schaden möglichst gering zu halten.
Während seit Anbeginn der Zivilisation Rechtswissenschaftler und Philosophen kontinuierlich der Frage nachgehen, was erlaubt sein sollte und wie man dies formuliert, stehen Unternehmen bei dieser Frage im Kontext der Informationssicherheit meist noch am Anfang und vor allem alleine dar.
Dies führt bei der Einführung und beim Betrieb eines klassischen Security Information & Event Management (SIEM) zu erheblichen Problemen. Die saubere Definition von SIEM Use Cases – also jener Kontrollmechanismen, welche das Security Operation Center (SOC) im Falle eines Verstoßes automatisiert alarmieren sollen – hängt stark von der Qualität der Dokumentation, der Kontextdatenquellen wie CMDBs und nicht zuletzt dem Know-how der Stakeholder ab.
Die Übersetzung der Geschäftsprozesse auf IT-Ebene herunter ist meist lückenhaft oder gar nicht vorhanden. Ebenso typisch ist eine starke Diskrepanz zwischen dem eigentlich gewollten Normalzustand (Policies, Richtlinien, Guidelines) und der real gelebten IT-Welt eines Unternehmens. Trends wie IoT, Bring your own device und Mobile Computing erhöhen die Ungewissheit.
Dies führt zu folgendem Phänomen: Der reale Normalzustand ist unbekannt und vor allem ist die Menge des Erlaubten kleiner als angenommen. Dies bedeutet dass die Menge des „Unerlaubten“ als viel zu groß im Security Monitoring Tool hinterlegt wurde. Verstärkt wird dieser Effekt durch die Gefahr der „False Negatives“: Das Regelwerk wird „von unten“, d.h. im Zweifel lieber zu engmaschig als zu durchlässig definiert.
In der Konsequenz führt diese Vorgehensweise bei vielen SIEM-Use Cases zu einer großen Menge an „False Positives“. Übersteigt diese Menge einen kritischen Wert, so werden diese Use Cases nicht selten sogar bewusst deaktiviert. Der Wert für die Informationssicherheit geht gegen Null – ein möglicher Angriffsvektor bleibt offen.
Data Analytics als Vorbild
Die Aufgabenstellung ist eigentlich nicht neu. Auf Profit-Center Seite, beispielsweise in der Fraud Detection, werden in der Organisation seit Jahrzehnten Data Analytics-Methoden eingesetzt, welche den Normalzustand durch kontinuierliches Sammeln und Auswerten von Daten beschreiben und abstrahieren („Machine Learning“). Somit können Anomalien datenbasiert statt szenariobasiert erkannt werden.
Entsprechende Module für SIEM-Lösungen wie zum Beispiel „User Behaviour Analytics“ für den Marktführer Splunk gibt es seit Jahren auf dem Markt. Trotzdem sind diese nicht weit verbreitet, es fehlt an Geld, Ressourcen und vielleicht wird sogar das erste SIEM Investment als minderwertig angesehen. Man ist gerade erst am Anfang des Reifeprozesses. Belastbare Analysen auf Security-Daten sind in weiter Ferne und das obwohl das Risiko das nächste Opfer zu sein spürbar zunimmt.
Paradoxerweise ist (zumindest teilweise) das notwendige Wissen und vor allem die Tools an anderen Stellen in der Organisation vorhanden. Hier ruhen gewaltige, ungehobene Synergien. Das Zusammenführen der Disziplinen – Informationssicherheit und Data Analytics – kann helfen, die Lücke, die auf Security Seite durch fehlende Budgets und die allgegenwärtige Ressourcenknappheit entstanden ist, zu schließen.
Der SOC-Analyst, der die mitunter gewaltige Anzahl an (falschen) Alerts bearbeitet und der SIEM-Ingenieur, der kontinuierlich das Regelwerk optimiert und erweitert, müssen ihre Aufgaben verstärkt als Problemstellung der Datenanalyse verstehen und entsprechend behandeln. Ein nicht zu vernachlässigender Nebeneffekt ist eine gestiegene Attraktivität der Aufgaben im SOC-Umfeld.
Die szenariobasierte Herangehensweise kann in der Security allerdings nie ganz außer Acht gelassen werden. Das Risiko die KI „falsch Anzulernen“ beispielsweise durch eine zu stark eingeschliffene, riskante Verhaltensweise wie das Ausführen von Routine Aufgaben mit kritischen Rechten oder im Worst-Case sogar durch eine bereits eingenistete APT, kann das Security Monitoring genauso aushebeln wie nicht modellierte Prozesse. Bis zur Utopie der vollkommen autargen Detektion ist es noch ein sehr langer Weg.
IBM-Watson hilft bereits: Am Ende der Kette
Spricht man von KI, so dauert es meist nicht lange bis „IBM Watson“ genannt wird. Die wohl bekannteste KI der Welt hat ihren Einzug in die Welt der IT-Security gefunden. Der IBM QRadar Advisor with Watson kann bereits detektierte Sicherheitsvorfälle als Cloud-Lösung kognitiv bewerten. Enorme Qualitäts- und Zeitgewinne in der Nachbearbeitung der Vorfälle sind die Folge. Watson sagt dem SOC-Analysten in Sekunden ob und welcher Hacking Kampagne die gefundene Malware zugeordnet werden kann und wie weiter vorzugehen ist. Im Falle der prominenten WannaCry kein großer Wert, bei kleineren Kampagnen kann dieser durchaus kritisch sein.
Wann IBM Watson an vorderster Front – in der Detektion – mithelfen wird, ist schwer abzusehen, dass er es eines Tages tun wird ist wahrscheinlich. Die Frage, ob und inwieweit der Superstar unter den Künstlichen Intelligenzen sein Potential in der heterogenen Welt des Security Monitorings ausspielen kann, ist spannend. Sich darauf zu verlassen auch.
Autor: Hans-Peter Fischer ist Partner im Bereich Security Consulting der KPMG AG Wirtschaftsprüfungsgesellschaft
