In der Unternehmenswelt sind die Begriffe „maschinelles Lernen“ (ML) und „künstliche Intelligenz“ (KI) bereits gang und gäbe. Laut einer Bitkom-Studie sieht jedes zweite deutsche Unternehmen in KI eine große Bedeutung für die Wettbewerbsfähigkeit. Das Interesse an diesen Technologien ist auch im Sicherheitsumfeld groß: Anbieter und Anwender suchen nach Möglichkeiten, die Sicherheitslage zu verbessern und gegen Cyberangriffe vorzugehen.

Mit der Zunahme der mobilen Geräte und dem Internet der Dinge (Internet of Things, IoT) hat sich die Angriffsfläche exponentiell vergrößert. Um dem entgegenzutreten, konzentrieren sich die meisten Organisationen auf den Einsatz vieler verschiedener Techniken, die jedoch nicht aufeinander abgestimmt sind. Dies erhöht die Anzahl der Alarme, aber vor allem auch der Fehlalarme. Sicherheitsteams können deshalb nicht schnell genug arbeiten, um mit den zu analysierenden Aktivitäten Schritt zu halten. Die Folge: Echte Angriffe könnten unentdeckt bleiben. Das aktuelle Vorgehen vieler Unternehmen ist daher nicht nur übermäßig komplex und teuer, sondern auch ineffektiv, denn mehr Technik bedeutet nicht gleich höhere Sicherheit. Wichtiger sind stattdessen Genauigkeit und Effizienz der Maßnahmen. Dies erfordert die Entwicklung intelligenter Erkennungssysteme.

Hier kommen KI und ML ins Spiel. Denn automatisierte Methoden zur Erkennung von Bedrohungen und böswilligem Benutzerverhalten sind dringend erforderlich und von entscheidender Bedeutung. Dies liegt vor allem daran, dass traditionelle Präventionsmaßnahmen wie Virenscanner und Firewall nicht unfehlbar sind und viele der heutigen Methoden auf manuellen Ermittlungen und Entscheidungen basieren. Automatisierte Sicherheitsprozesse können die Lösung sein, denn mit intelligenter, selbstlernender Technik kann man Daten besser verwalten und daraus Erkenntnisse und Handlungsoptionen in Echtzeit ableiten. Leider gibt es jedoch eine Menge Fehlinformationen darüber, wie KI-affine Anwendungen die Sicherheit in Unternehmen verbessen können.

Definition von ML und KI

Um Klarheit zu schaffen, ist es zunächst notwendig, die Begriffe „maschinelles Lernen“ und „künstliche Intelligenz“ zu definieren und voneinander abzugrenzen. Unter maschinellem Lernen versteht man die automatisierte Anwendung von Statistiken und Algorithmen auf große Datenmengen. Der Computer nimmt Wissen selbstständig auf und lernt, ein Problem zu lösen, ohne explizit dafür programmiert zu sein. Künstliche Intelligenz hingegen versetzt einen Computer in die Lage, etwas zu automatisieren, was ein Mensch normalerweise tun würde. Dies erfordert Intelligenz, Analyse und Entscheidungsfindung. Eines der Ziele des maschinellen Lernens ist es, künstliche Intelligenz zu erreichen. Doch bis dahin ist es ein langer Weg.

Interface einer ML-gestützten UEBA-Lösung. Bild: LogRhythm

Die Aufgabe von Sicherheitstechnik mit integrierten maschinellen Lernverfahren ist demnach die Identifikation regelbasierter Ansätze und Muster in vorhandenen Daten. Daraufhin erlernt die Software typische Aktivitätsmuster innerhalb einer Netzwerkumgebung und kann dadurch Abweichungen hiervon frühzeitig erkennen und stoppen, wenn diese auf Bedrohungen hindeuten. Möglich ist dies alles jedoch nur auf Basis der „richtigen“ Datensätze.

ML in einer perfekten Welt

In einer perfekten Welt wäre ML die Königsdisziplin für eine funktionierende Unternehmenssicherheit. Sicherheitsoperationen würden vollständig automatisiert, menschliche Beteiligung wäre nicht mehr nötig. Das Verfahren würde lernen, was jeder Benutzer, jedes System und jede Anwendung tut, und auf Basis dieser Informationen den Versuch von Identitätsdiebstahl sowie böswillige Absichten und anderen Probleme sofort identifizieren, stoppen und automatisiert handhaben. Klingt nach einer einfachen Lösung – doch so ist es nicht.

Denn zunächst einmal ist ML nur dann effektiv, wenn es auf qualitativ hochwertige, strukturierte Daten zu erfassten Netzwerkaktivitäten, die über zahlreiche Endpunkte hinweg stattfinden, zugreifen kann. Bei schlecht organisierten und wenig umfassenden Datensätzen bringen die Lernalgorithmen nicht die gewünschten Erfolge. Mit anderen Worten: Nur weil es ML-Algorithmen gibt, bedeutet das nicht, dass das Gelernte intelligent und nützlich ist. Denn wenn die Algorithmen das Falsche lernen, liefern sie auch die falschen Antworten.

Des Weiteren kann kein Sicherheitsprodukt Sicherheitsanalysten, Notfall-Responder und andere SOC-Mitarbeiter (Security Operations Center) vollständig ersetzen. Auch wenn heute die Analyse und Identifikation von Unstimmigkeiten automatisierbar ist, benötigt man menschliche Sicherheitsexperten noch immer für die Einschätzung von Bedrohungen. Außerdem liegt es an ihnen zu entscheiden, ob ein Alarm tatsächlich ein echter Alarm ist, indem sie mit den betroffenen Personen kommunizieren und Maßnahmen mit anderen Organisationen koordinieren.

Entlastung für Sicherheitsexperten

Maschinelles Lernen darf man nicht als Wunderwaffe verstehen, es ist jedoch bei der Bekämpfung von Sicherheitsproblemen von großem Wert. Vor allem das Erreichen von KI würde die alltägliche Arbeit von hochqualifizierten, aber auch hochausgelasteten IT-Experten erheblich reduzieren und eine viel schnellere, wirkungsvollere, effizientere und genauere Reaktion ermöglichen. Da KI jedoch nur über einen längeren Zeitraum zu erreichen ist, muss man sich Schritt für Schritt vorarbeiten.

Heute ist ML beim Erkennen von Bedrohungen hilfreich, weil das Verfahren Muster in normalen Aktivitäten identifiziert, daraus lernt und dann Anomalien erkennt und den Experten seine Ergebnisse angereichert mit Informationen transparent bereitstellt. Angesichts der schieren Menge an Aktivitäten, die in heutigen Systemen und Anwendungen auftreten, hat eine solche Mustererkennung und Vorhersagefähigkeiten stark an Bedeutung gewonnen.

ML-basiertes UEBA erleichtert die Priorisierung von Vorfällen für die Jagd nach Eindringlingen, das sogenannte Threat Hunting. Bild: LogRhythm

Allerdings fehlt der Technik das Verständnis für den Sicherheitskontext, der wiederum wichtig für die Einschätzung der Anomalien ist. Denn wenn ein Benutzer auf atypische Weise handelt, ist das nicht unbedingt als böswilliger Akt zu werten. Ein Beispiel soll dies verdeutlichen: Ein Mitarbeiter loggt sich das erste Mal von einem anderen Server aus ein. Eine Anomalie – aber geht davon bereits Gefahr aus? Für die Bewertung solcher Fälle kann man auf menschliche Sicherheitsexperten im Vergleich zu anderen Bereichen, in denen maschinelles Lernen bei anomaliefreien Daten Verwendung findet, noch weniger verzichten.

Die Anomalieerkennung von ML ist hier also als hilfreiches Werkzeug für den Menschen anzusehen, mit dessen Hilfe Experten auf Basis bereitgestellter Informationen schnellere und genauere Entscheidungen treffen können. Denn wenn beispielsweise 80 bis 85 Prozent der Bedrohungen auf einer SIEM-Plattform (Security-Information- und Event-Management) bekannt sind, bleiben noch immer 15 bis 20 Prozent der Bedrohungen unerkannt. Mit ML lassen sich im Idealfall auch diese restlichen Gefahren noch auffinden.

Machine-Learning-Integration in SIEM-Lösung

Eine SIEM-Lösung mit maschinellen Lernverfahren kann Informationen aus vielen Tools integrieren und korrelieren, zum Beispiel aus der Personalverwaltung, Identity-Management-Lösungen, Schwachstellen-Scannern und dem Asset-Management. Dann kann sie abweichende Aktivitäten analysieren oder gar vorhersagen sowie Risikoinformationen und dynamische Risikoprofile erstellen und immer wieder mit neuen Daten anreichern. Informationen zu Anomalien kann sie im Weiteren verfeinern und priorisieren. Denn ohne eine Priorisierung gäbe es zu viele Anomalien, als dass Sicherheitsexperten alle untersuchen und einschätzen könnten.

Ist eine Bedrohung erkannt, überprüft und analysiert die Technik Informationen zu Ereignissen und Vorfällen, um nächste Schritte zu identifizieren und die Reaktionsprozesse und den Arbeitsablauf zu organisieren. Bestehende forensische Informationen werden um zusätzliche, damit zusammenhängende Angaben ergänzt, die man möglicherweise untersuchen sollten. Abschließend erlernt das System auf Basis der bestehenden Netzwerkumgebung intelligente Techniken zum Täuschen und Fehlleiten von Angreifern.

Die Vorhersage und Erkennung von Bedrohungen ist ein kritischer Sicherheitsbereich, der vom maschinellen Lernen profitieren kann. Ein Beispiel dafür ist die Disziplin UEBA (User and Entity Behavior Analytics). Hier werden die Benutzeraktivitäten und andere Entitäten wie etwa Endpunkte, Anwendungen und Netzwerke mit externen und internen Bedrohungen korreliert. In Kombination mit maschinellem Lernen wird eine solche Technologie wesentlich effektiver, solange der notwendige Sicherheitskontext zur Verfügung steht, um die Bedeutung jeder Anomalie zu ermitteln.

Dashboard für das Threat Hunting bei einem kompromittierten Benutzerkonto. Bild: LogRhythm

Die Vorteile von UEBA in Kombination mit ML lassen sich wie folgt zusammenfassen: Die zu analysierenden Datenmengen lassen sich optimal nutzen, indem man die verschiedenen Datensätze vom Netzwerkverkehr und den Anwendungsdaten bis hin zu Aufzeichnungen von Authentifizierungsversuchen sowie Benutzerzugriffen auf sensible Daten integriert. Die Kombination eignet sich für die qualifizierte Erkennung von Bedrohungen. Bei der Betrachtung potenzieller Bedrohungen berücksichtigt die Software in Echtzeit viel mehr Faktoren, als es Menschen in derselben Zeit schaffen könnten. Schwierig aufzufindende Bedrohungen, etwa Insider-Bedrohungen oder das Kapern privilegierter Konten, lassen sich durch die Erkennung von Verhaltensänderungen identifizieren. Die Software nutzt Risikoinformationen, um neue Aktivitäten zu identifizieren, die im Widerspruch zu erwarteten Mustern stehen, zum Beispiel wenn ein Benutzer mit geringem Risiko plötzlich mit einem System mit hohem Risiko verbunden ist und große Datenmengen auf einen Laptop überträgt.

Mensch und Maschine

Machine-Learning-Verfahren allein reichen nicht aus. Keine Anwendung dieser Technologie löst alle Sicherheitsprobleme eines Unternehmens, menschliche Experten bleiben notwendig. Jedoch kann ein solches Verfahren dem Sicherheitsteam eines Unternehmens unter die Arme greifen und die Sicherheit deutlich erhöhen, wenn es darum geht, Anomalien zu identifizieren und zu priorisieren, um dann automatisiert erste Schritte einzuleiten. Besonders in Zeiten des Fachkräftemangels ist es wichtig, die Experten zu entlasten, um auszuschließen, dass ein echter Alarm in einer Flut an falschen Informationen untergeht. Sicherheitsteams müssen wieder mit den zu analysierenden Aktivitäten Schritt halten können. ML verkürzt die Zeit für die Erkennung, Analyse und Behebung von Vorfällen. Analysten können sich so wieder auf die Probleme konzentrieren, die Intuition und Kreativität erfordern.

Doch Vorsicht: Auf der Suche nach einer geeigneten ML-Lösung gilt es, Einschränkungen und Fallstricke zu beachten. Denn intelligente Lösungen erbringen nicht gleich intelligente Antworten. Die richtigen Bedingungen, etwa geeignete Datensätze, müssen gegeben sein, damit die Technik auch erfolgversprechend funktionieren kann. Des Weiteren ist zu beachten, dass sich nicht der komplette Sicherheitsprozess automatisieren lässt. Denn menschliche Intuition ist im Sicherheitsbereich gefragt, wenn Vorfälle im Sicherheitskontext einzuordnen sind.

Das „Dream Team“ besteht also aus Mensch und Maschine – nur dann haben Cyberkriminelle in Zukunft schlechtere Chancen.

Ross Brewer ist Vice President und Managing Director EMEA bei LogRhythm, www.logrhythm.com.