Künstliche Intelligenz in der Security

Schlauer Schupo

10. Juni 2020, 07:00 Uhr   |  Andreas Müller/wg

Schlauer Schupo
© Vectra

Immer mehr Unternehmen behaupten, künstliche Intelligenz (KI) zu nutzen. Doch laut einer MMC-Ventures-Studie von 2019 kommt bei 40 Prozent der europäischen KI-Startups in deren Lösungen KI gar nicht zum Einsatz. Im umkämpften Security-Markt ist es nicht anders. Wodurch aber zeichnet sich „echte“ KI überhaupt aus, und was kann sie für die Security tatsächlich leisten?

„Worin besteht der Unterschied zwischen künstlicher Intelligenz und maschinellem Lernen? KI ist in Powerpoint geschrieben, ML in Python“, so lautete einst ein Leserkommentar in der Financial Times. Der Kommentar spiegelt wider, dass der Begriff KI durch die inflationäre Präsenz seine innovative Aura verloren hat und vieles nur in Marketing-Versprechen mündet. Der effektive Einsatz von KI in der Cybersicherheit ist im Jahr 2020 jedoch real und ML ist eine Teilmenge davon.

KI ist ein eher unpräziser und nicht ganz neuer Begriff, geprägt in den 1950er Jahren. Heute gilt generell, dass KI in ihren vielen Formen Aufgaben in einer Größenordnung und Geschwindigkeit ausführen kann, die der Mensch allein nicht erreichen würde. Von KI ist die Rede, wenn eine Maschine menschliche kognitive Funktionen wie Lernen und Problemlösen nachahmt. Allerdings kann sie die menschliche Intelligenz nicht ersetzen: Sie kann keine Verbindungen herstellen, die für Menschen, deren hochgradig vernetzte Neuronen abstrakte Verbindungen in Zusammenhang bringen, implizit Sinn ergeben würden. Für die Durchführung langwieriger Aufgaben in der Cybersicherheit bietet sich der Einsatz von KI jedoch optimal an.

Denn KI kann neue Erkenntnisse aus datenintensiven analytischen Aufgaben gewinnen. Es geht aber nicht nur darum, große Datenmengen – Stichwort Big Data – zu erfassen und mit fortgeschrittener Mathematik zu untersuchen. Neben der Auswahl der algorithmischen Ansätze müssen Datenwissenschaftler auch die Bewertung der Daten, die Auswahl und Extraktion der Merkmale und das Training verwalten. Künstliche Intelligenz intelligent zu machen, setzt jede Menge Wissenschaft voraus. In der Cybersicherheit automatisiert der Einsatz von KI Aufgaben zur Erkennung und Reaktion auf subtile Signale versteckter Angreifer, da letztere zwangsläufig Spuren hinterlassen. Die richtigen Spuren zu finden und sie korrekt zu interpretieren, ist mit herkömmlichen Sicherheitslösungen, die Tausende unpräziser Warnmeldungen produzieren, nicht zu stemmen. KI erweitert hier die Fähigkeiten der Sicherheitsanalysten, die nicht mehr nach der Nadel im Heuhaufen suchen müssen, sondern die Nadel im Idealfall serviert bekommen.

Der effektive Einsatz von KI in der Cybersicherheit ist anhand einer KI-basierten Lösung für die Erkennung und Reaktion auf Bedrohungen im Netzwerk (Network Detection and Response, NDR) gut nachzuvollziehen. Eine derartige Lösung ist Teil eines ganzheitlichen Sicherheitsansatzes, der davon ausgeht, dass sich trotz vorbildlicher Prävention und Netzwerksicherheit nie ganz vermeiden lässt, dass ein Angreifer doch einen Weg ins Netzwerk findet. Genau diese Angreifer, die sich im Netzwerk einnisten und dort wochen- oder monatelang heimlich aktiv sind, gilt es zuverlässig aufzuspüren. KI ist dazu in der Lage – schnell und in einem Größenrahmen, wie es selbst versierte Fachkräfte nie leisten könnten.

Die Funktionsweise einer solchen NDR-Plattform beruht darauf, unveränderliche Verhaltensweisen der Angreifer im Verlauf des Angriffslebenszyklus zu erkennen. Dazu zählen C2-Kommunikation (Command and Control), das Auskundschaften des Netzwerks, Seitwärtsbewegungen im Netzwerk, Datenexfiltration, Ransomware-Aktivitäten oder auch die heimliche Nutzung von Rechenressourcen für den lukrativen Botnet-Betrieb.  Mittels Algorithmen zur Verhaltenserkennung, die Metadaten aus erfassten Paketen analysieren, erkennt die KI-Plattform versteckte und unbekannte Angriffe in Echtzeit, unabhängig davon, ob der Datenverkehr verschlüsselt ist oder nicht. Die KI analysiert nur Metadaten, die sie aus den Paketen erfasst, und führt keine Deep Packet Inspection durch. Dies wahrt die Privatsphäre der Benutzer, da das Security-Werkzeug nicht in sensible Workloads eindringt.

Funktionsweise in vier Schritten

Die Funktionsweise einer KI-basierten NDR-Lösung umfasst folgende Schritte:

1. Datenerfassung: Zur Erfassung der Metadaten aus dem Netzwerkverkehr dienen Sensoren in der Cloud, im Rechenzentrum und in Unternehmensumgebungen. Das Tool untersucht Protokolle wie DHCP, LDAP, Kerberos etc., die detaillierte Einblicke in verdächtige Aktivitäten auf Benutzerkonten liefern. Hinzu kommen externe Bedrohungsinformationen.

2. Datennormalisierung: Es folgt eine Deduplizierung der Verkehrsströme. Die KI-Plattform ordnet den Datenfluss einem Host zu, statt diesen anhand der IP-Adresse zu identifizieren. Eine benutzerdefinierte Flow-Engine extrahiert Metadaten, um das Verhalten von Angreifern zu erkennen. Die aufgezeichneten Merkmale jedes Datenflusses sind Intensität („Ebbe und Flut“), zeitlich Abfolge der Datenpakete, Verkehrsrichtung und Paketgröße. IP-Adressen sind eine Identifikationsquelle, aber es gibt viele andere Netzwerk-Artefakte, die sich je nach Kontext verwenden lassen, darunter DHCP, DNS, Maschinenname, NetBIOS-Information oder MAC-Adresse. Da einige Hosts wechselnde oder mehrere IP-Adressen haben, kann die IP-Adresse allein nicht immer eine robuste und dauerhafte eindeutige Identifikation eines Hosts liefern. Muss ein Sicherheitsanalytiker eine Untersuchung durchführen, ist es weitaus effizienter, einen bestimmten Host anzugeben als eine IP-Adresse, die er verfolgen, finden und validieren muss.

3. Datenanreicherung: Selbstlernende Verhaltensmodelle reichern die Metadaten mit ML-generierten Sicherheitsinformationen an. Die Verhaltensmodelle ergänzen die Netzwerkdaten um wichtige Sicherheitsattribute. Die Analyse von Sicherheitsmustern wie etwa Beacons ist bei Weitem die effektivste Methode der Bedrohungsjagd im Netzwerk. In der Sicherheitsbranche bezeichnet man das Verhalten eines infizierten Hosts, in regelmäßigen Abständen mit dem Angreifer zu kommunizieren, als „Beaconing“. Während Beaconing an der Oberfläche ähnlich wie normaler Netzwerkverkehr erscheinen kann, gibt es einige einzigartige Merkmale, nach denen man im Rahmen einer Bedrohungsjagd suchen kann. Diese Merkmale drehen sich um den Zeitpunkt der Kommunikation und die verwendete Paketgröße.

Dabei setzt man auf die Fähigkeit von KI, Muster und Regelmäßigkeiten in Daten automatisiert zu erkennen. Hier kommen maschinelle Lernverfahren zum Einsatz. Fachleute trainieren diese Mustererkennungssysteme in vielen Fällen anhand von gelabelten Trainingsdaten (beaufsichtigtes Lernen). Sind keine gelabelten Daten verfügbar, können andere Algorithmen zum Einsatz kommen, um bisher unbekannte Muster zu entdecken (unbeaufsichtigtes Lernen). Derlei Verfahren nutzt man zum Beispiel für das Aufspüren sogenannter „Precursors“. Dies sind Signale, die auf Verhaltensweisen von Angreifern wie C2-Kommunikation, anomale Host-Connectivity, Auskundschaftung, Seitwärtsbewegung und ungewöhnliche Datenerfassung hindeuten. Dies können auch die Vorläufer von Ransomware-Angriffen sein.

Account-Scores und Host-Scores zeigen ungewöhnliche Ausschläge nach oben beim Zugriff auf bestimmte Accounts und Hosts an. Die kritische Punktzahl steigt mit der Geschwindigkeit und der Anzahl der IP-Adressen, auf die der möglicherweise kompromittierte Computer zugreift. Für das Scoring setzt die KI Ereignisse wie Auskundschaftungsaktivitäten, Seitwärtsbewegungen und Datendiebstahl in Beziehung zueinander und bewertet sie.

4. Bedrohungserkennung und Reaktion auf Bedrohungen: Der Abgleich der Daten mit mehreren Modellen des Angreiferverhaltens ermöglicht es, Bedrohungen automatisch und in Echtzeit zu erkennen, bevor der Angreifer größeren Schaden anrichtet. Die KI-Plattform überprüft dazu automatisch die erkannten Bedrohungen, priorisiert sie nach Risikograd und korreliert sie mit den gefährdeten Hosts. Durch ML gewonnene Attribute wie Host-Identität und Beaconing liefern einen wichtigen Kontext, der das breitere Ausmaß und die Reichweite eines Angriffs aufzeigt. Sicherheitsanalytiker können auf diese Weise schnell die kritischen Clients identifizieren, um sie näher zu untersuchen und Gegenmaßnahmen einzuleiten.

KI-Fähigkeiten bewerten

Zur Bewertung der tatsächlichen KI-Fähigkeiten können einige Fragen hilfreich sein, die Entscheider wenn möglich vorab klären sollten. Diese betreffen zunächst das jeweilige Unternehmen, dessen Führungskräfte und technischen Fachkräfte, also Entwickler und Ingenieure: Wie steht es um die Erfolgsbilanz und den Ruf des Anbieters, gibt es Fallstudien und unabhängige Bewertungen seitens User Communities? Wie tief und breit ist die Entwicklungstätigkeit des Anbieters aufgestellt? Kann das Unternehmen relevante Erfahrungen in der Branche vorweisen, oder hat es nur Know-how eingekauft? Haben Führungskräfte und Ingenieure fachlichen Background im Bereich ML oder Data Science?

Weitere Fragen betreffen die als „KI-basiert“ propagierte Lösung: Kann die Lösung Trends erkennen, klassifizieren und Vorhersagen treffen, was allein durch den Menschen nicht möglich wäre? Reduziert sie den Umfang erforderlicher menschlicher Eingriffe und Analysen? Erzielt die Lösung Effizienzgewinne oder neue Erkenntnisse auf wirklich autonome Weise, oder handelt es sich eher um eine Form von Automatisierung mit menschlichen Eingriffen im Hintergrund? Benötigt der Anbieter Fernzugriff auf die Lösung, um sein Versprechen zu erfüllen? Wenn ja, wofür nutzt er diesen Zugriff? Gibt es Proof-of-Concept-Optionen, um die Lösung in der eigenen Umgebung zu testen?

Andreas Müller ist Regional Sales Director bei Vectra DACH, www.vectra.ai.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Vectra Networks GmbH