KI Cybersecurity

Cyber-Angriffe werden immer ausgeklügelter. Um sich vor diesen Attacken zu schützen, müssen Unternehmen ihre Abwehrmaßnahmen stetig modernisieren. Der Einsatz von Machine Learning (ML) ist eine Möglichkeit, die Sicherheit von Netzwerk, Endpunkten und Nutzern zu verbessern. Ohne den Menschen geht es jedoch noch lange nicht.

Machine Learning bringt im Anwendungsbereich IT-Security einen großen Vorteil mit sich: Es ermöglicht die Auswertung riesiger Datenmengen, die durch die Protokollierung von sicherheitsrelevanten Aktionen von Identitäten sowie dedizierten Security-Systemen entstehen. So lässt sich auf Basis von Big Data das spezifische Normalverhalten für alle konkreten Identitäten lernen und anschließend alle ungewöhnlichen Aktivitäten und Anomalien nahezu in Echtzeit erkennen.

Vielfältige Einsatzmöglichkeiten in der Cyber Defence

Im Bereich Cyber Defence kommt Machine Learning sehr breit zum Einsatz. Die Hauptanwendungsfelder reichen von Real-Time Monitoring, Klassifikation von Vorfällen und Threat Intelligence bis hin zu risikobasiertem Schutz:

  • Im Bereich Real-time Monitoring and Triage lässt sich anomales Verhalten durch die Überwachung von Endpunkten, Nutzern, Services und Netzwerken schnell erkennen. Dazu setzen Unternehmen auf Lösungen wie SIEM (Security Information and Event Management) mit angelernten ML-Modellen, EDR-Tools (Endpoint Detection and Response), Anomalie-Erkennung durch Netzwerk-Monitoring und Verhaltensanalysen von Benutzeridentitäten.
  • Im Bereich Intelligence werden durch Machine Learning Veränderungen in der Risikolandschaft erkannt – sowohl bei interner Intelligence über genutzte Infrastrukturen, Services, Technologien oder Geschäftsprozessen als auch bei externer Intelligence über neue Bedrohungen oder Angriffsmethoden. Insbesondere Lieferanten von Threat-Intelligence-Informationen setzen oftmals auf ML. Dabei werden aus einer großen Menge von Angriffsweisen, DNS-Informationen, Hash-Werten, IP-Adressen und anderem maschinell „Indicators of Compromise“ (IoC) abgeleitet. Zur aktiven Suche in der Unternehmensinfrastruktur werden die extrahierten IoCs, beispielsweise schadhafte IP-Adressen oder File-Hashes, zur Verfügung gestellt.
  • Im Bereich ‚risikobasierter Schutz‘ werden mit Hilfe von ML präventiv Sicherheitsmaßnahmen optimal zur Angriffsabwehr ausgerichtet. Insbesondere Hersteller von Sicherheitslösungen setzen in diesem Bereich auf ML-Ansätze, um aus großen Mengen von Log-Daten Angriffsverhaltensweisen zu extrahieren, Gemeinsamkeiten festzustellen und diese in Muster zu überführen. Anschließend werden sie als Detektionsregeln beispielsweise in Viren-Scanner oder Intrusion-Prevention-/Intrusion-Detection-Systeme integriert. Das lokale Lernen der installierten Sicherheitsprodukte in der eingesetzten Infrastruktur zur Prävention befindet sich derzeit noch in den Anfängen. Es gibt allerdings bereits Ansätze, um Log-Daten, Daten von Sicherheitsvorfällen sowie implementierte Sicherheitsmaßnahmen auf Basis von ML auszuwerten, um Schutzmaßnahmen oder Änderungen an den Sicherheitsarchitekturen vorzuschlagen.

Mensch übernimmt Steuerungsfunktion

Auch wenn ML viele Vorteile bei der Erkennung von Sicherheitsvorfällen durch das Erlernen von lokalem und spezifischem Verhalten der IT-Infrastrukturen und Identitäten mit sich bringt, bleibt der Mensch unersetzlich. Denn ohne menschliche Steuerung würden zu viele Fehlalarme erzeugt. Nur durch ein Supervised Learning und eine Modell-Anpassung auf Grundlage des Feedbacks von menschlichen Experten lässt sich dies verbessern (s. Abb. 1).

Machine Learning

Endpoint-Sicherheit und User Behavior Analytics

So kann mit ML die Sicherheit am Endpoint erhöht werden. Auf Basis von lokalen Lernvorgängen in Bezug auf das Verhalten von Nutzern lassen sich dynamische und spezifische Abweichungen sowie potenzielle Risiken erkennen, beispielsweise wenn ein Angreifer eine gestohlene Nutzeridentität verwendet. Dabei ist es notwendig, das erlernte Normalverhalten eines Anwenders kontinuierlich „weiter zu lernen“, denn auch legitime Nutzungsgewohnheiten und Verhaltensweisen ändern sich.

Ähnlich funktioniert auch User Entity Behavior Analytics (UEBA). Hierbei wird das Verhalten des Anwenders oder von Entitäten (wie Service Accounts) über alle Systeme hinweg untersucht, beispielsweise welche Endpoints, Applikationen, Dateien, Fileshares und Business-Services eine Benutzerinstanz verwendet. Zudem werden die viele Meta-Informationen korreliert, z.B. wo, wann, wie lange und wie oft sie sich per VPN einwählt. Die UEBA-Lösung vergibt dann für jede Abweichung vom erlernten Normalverhalten der Nutzeridentität Risikopunkte. Anschließend muss auch hier ein Mensch bewerten, ob die Abweichung ein wirklicher Sicherheitsvorfall oder legitimes Verhalten ist.

Anomalien im Netzwerk erkennen

Darüber hinaus kann ML insbesondere bei der Network Anomaly Detection viel erreichen: Unternehmen lernen aus einem bestimmten Zeitraum in der Vergangenheit, wer mit wem, wie und wann kommuniziert. Normalerweise erfolgt dies auf der Ebene der Applikationen und Geräte. ML-Systeme erlernen in einer definierten Zeit normales Verhalten und erkennen anschließend Anomalien – bei signifikanter oder sicherheitsrelevanter Abweichung geben sie Alarme aus. Die große Herausforderung für Unternehmen liegt anschließend darin, die festgestellten Abweichungen zu verstehen, denn dazu bedarf es gut qualifizierter Experten.

Mittlerweile gibt es jedoch bereits moderne Systeme, die abweichende Parameter ausgeben, wodurch IT-Fachkräfte wichtige Hinweise auf die Ursache erhalten. Sie wissen damit jedoch noch nicht, welche Aktionen sie durchführen müssen, um die potenzielle Gefahr zu bewerten und abzuwehren. Hersteller von ML-Systemen beschäftigen sich daher mittlerweile damit, die Ergebnisdarstellung so zu vereinfachen, dass auch IT-Mitarbeiter ohne Spezialausbildung die Alarme verstehen. Sie können dann entscheiden, ob die entsprechenden Vorfälle harmlos oder bösartig sind. Es gibt allerdings auch Fälle, bei denen es sich um unbekannte Probleme oder Fehlermeldungen handelt. Heutige ML-Systeme sind noch nicht in der Lage, diese Entscheidungen vorzunehmen, daher unterstützen diese automatischen Lösungen Sicherheitsexperten bisher lediglich. Sie ermitteln Hinweise, die der Mensch sonst in der Datenflut übersehen würde. Diese zu interpretieren und Entscheidungen zu treffen, bleibt stets die Aufgabe eines Menschen.

 

Dr. Sebastian Schmerl, Solution Manager Cyber Defence & Industrial Security
Dr. Sebastian Schmerl
Solution Manager Cyber Defence & Industrial Security, Computacenter

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Phishing-Angriffe nehmen Spender ins Visier

Phishing bleibt die häufigste Methode für Cyberangriffe. Und gerade in Zeiten von grassierenden Epidemien oder Naturkatastrophen, in denen viele User über Spenden die Betroffenen unterstützen möchten, werden die Helfer nicht selten selbst zu Opfern. Ein…
Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…
Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!