Thought Leadership
In den vergangenen Monaten stand das Thema künstliche Intelligenz (KI) im Mittelpunkt etlicher technischer Diskussionen. Mit der wachsenden Popularität von KI-Chatbots wie ChatGPT und KI-Bildgeneratoren wie DALL-E wurde die Benutzung von KI-Tools immer populärer – und das sowohl bei Endverbrauchern wie Unternehmen.
Künstliche Intelligenz wird jedoch schon seit Jahren von Cybersicherheitsexperten und anderen Technikprofis in einer Reihe von Anwendungsgebieten eingesetzt. Etwa, um die Sicherheit zu verbessern oder um Abläufe bei der E-Mail-Sortierung, Textprognose und automatisierten Systeme zu optimieren. KI-Tools basieren auf der gleichen Technologie. Da bedeutet aber nicht, dass sie identisch sind oder als identisch betrachtet werden sollten. Es ist wichtig zu verstehen, wie KI funktioniert, wenn man sie richtig und effektiv nutzen will.
KI ist nicht gleich KI
In den Bereichen Endpoint Detection and Response (EDR) und Endpoint Protection Platform (EPP) ist maschinelles Lernen ausgesprochen hilfreich, wenn man beim Thema Sicherheit Zeit und Aufwand sparen will. Mithilfe statistischer Wahrscheinlichkeiten und komplexer Algorithmen entwickelt die Software ein Verständnis für die Arten von Alarmsignalen und Markern, die auf einen möglichen Cyberangriff hindeuten. Unabhängig davon, wozu man maschinelles Lernen nutzt, erlaubt es dem betreffenden Tool, sich an die Daten anzupassen, die es verarbeitet und analysiert. Dies trägt dazu bei, auch subtile Angriffe zu identifizieren, weil die Software in der Lage ist, selbst unerwartete Anzeichen richtig einzuordnen.
Eine Maschine lernt natürlich nur anhand der Informationen, die in ihr Training einbezogen werden. Das ist der wichtigste Teil des Prozesses und gleichzeitig der schwierigste und kostspieligste. Die KI muss auf Basis eines ausreichend großen Datensatzes trainiert werden, und er muss genau genug sein, damit alles wie vorgesehen funktioniert. Damit eine KI die Marker einer potenziellen Bedrohung erfolgreich erkennt, braucht man riesige Mengen an Trainingsdaten. Bei Weitem nicht jeder EDR-Anbieter verfügt über Datensätze aus annähernd zwei Jahrzehnten, um eine Software zu trainieren.
Wie das Training funktioniert
KI-Tools, die verdächtiges Verhalten am Endpunkt aufdecken sollen, neigen ohne ein entsprechendes Training dazu, viele falsch-positive Ergebnisse zu produzieren. So lösen beispielsweise legitime Verhaltensweisen und Aktionen einen Alarm aus, obwohl gar keine Bedrohung vorliegt. Die KI muss also nicht nur hinsichtlich von Merkmalen verdächtiger oder potenziell riskanter Software geschult werden, sondern auch Kennzeichen einer legitimen Software erkennen.
Das gelingt nur dann, wenn man aus beiden Bereichen ausreichend viele Beispiele zur Verfügung hat. Dieser Prozess ist langwierig und aufwendig, denn man braucht außer riesigen Datenmengen zusätzlich viel Erfahrung, damit eine KI effektiv arbeitet. Das Training beinhaltet die Extraktion von Merkmalen („Signalen“) von verschiedenen möglichen Bedrohungen, wie Malware, Phishing usw. sowie maschinelles Lernen, um diese Signale mit einem riskantem Verhalten in Verbindung zu bringen. Dasselbe gilt für Signale, die sonst mit gutartigem Verhalten in Verbindung gebracht werden, um falsch-positive Ergebnisse zu vermeiden.
Herkömmliche Methoden trainieren die KI im Hinblick auf diese Verhaltensweisen, anschließend wird das Tool getestet, durchläuft eine Reihe von Iterationen, wird weiter trainiert und erneut getestet. Dabei verlässt man sich auf menschliche Expertise und menschliches Lernen.
Neue Entwicklungen bei KI-Schulungen
Neuere Schulungsansätze sollen den Zeitaufwand insgesamt und den Anteil an menschlicher Arbeit senken, die mit dem iterativen Training von KI-gestützten EDR-Tools üblicherweise verbunden sind. Dabei wird der ressourcenintensive Zyklus von Trainieren, Testen und Wiederholen so weit als möglich automatisiert. Das System basiert selbst auf maschinellem Lernen. Es arbeitet und entscheidet mithilfe komplexer Algorithmen, um die Merkmale auszufiltern, die am besten für das Training eines EDR-Tools geeignet sind. Ohne diesen Grad an Automatisierung würde ein solches Training Stunden oder Tage in Anspruch nehmen. Setzt man hingegen „KI im Quadrat“ zur Malware-Erkennung ein, trainiert eine KI eine andere KI mithilfe von „Ausführungsgraphen, Anomalienerkennung und automatischem Feature Pruning“ – eine relativ junge Entwicklung innerhalb der Branche.
Dieser Einsatz von KI verbessert zwar die Effizienz und Wirksamkeit von EDR-Lösungen, allerdings kann KI allein noch keine angemessene Cybersicherheit gewährleisten. Es gibt durchaus Bedrohungssituationen, in denen KI sogar weniger hilfreich ist. Eine EDR-Lösung sollte diese Fälle berücksichtigen, indem sie KI-gestützte Funktionen mit anderen Techniken kombiniert, z. B. der einfachen Erkennung von Signaturen. Wenn man das gewünschte Sicherheitsniveau erreichen will, empfiehlt sich ein robuster, mehrschichtiger Ansatz. Die Kombination von KI-fähigen EDR-Tools mit anderen Lösungen, wie solchen für die E-Mail-Sicherheit und Awareness-Trainings, ist nach wie vor einer der besten Wege, um KMUs, aber auch große Firmen vor Cyberangriffen und Sicherheitsverletzungen zu schützen.
Fazit
Wenn man EDR-Tools einsetzt, die KI nutzen, sollte man vor allem eines bedenken: Längst nicht alle KI-basierten Tools sind gleichermaßen effektiv. Das Training einer KI auf Basis einer großen Menge genauer Daten entscheidet letzten Endes wie wirksam KI-Tools einsetzbar sind. Da KIs regelmäßig falsch-positive Ergebnisse produzieren, sollten die Tools nicht nur darin geschult werden, wie man riskantes Verhalten an Endpunkten identifiziert. Sie sollten zusätzlich lernen, legitimes Verhalten zu erkennen, das nicht auf einen Angriff oder einen anderen Sicherheitsvorfall hinweist. KI-geschulte KI bei der Bedrohungserkennung einzusetzen, ist ein wichtiger Schritt, um Zeit und menschliche Arbeitskraft einzusparen und das Training von KI-gestützten EDR-Lösungen zu optimieren.
Autor: Jörn Koch, VIPRE Security Group
vipre.com/de/
