sarayut_sy - stock.adobe.com
KI, Machine Learning und Automatisierung in der IT-Security
Automatisierung unterstützt die IT bei der Erledigung wichtiger Security-Aufgaben. Die diesbezüglichen Fähigkeiten von künstlicher Intelligenz sind noch längst nicht ausgeschöpft.
Viele alltägliche Dinge sind heutzutage bereits automatisiert – von den Smart Gadgets zu Hause, bis hin zum (fast) selbstfahrenden Auto. Es ist schwer, etwas zu finden, das sich nicht für die Automatisierung eignet. In der Wirtschaft ist die Automatisierung noch allgegenwärtiger: Von Geschäftsprozessen und SaaS-Anwendungen (Software-as-a-Service) bis hin zu komplexen Netzwerk- und Cloud-Automatisierungen ist alles bereits Teil des digitalen Geschäfts. Warum erscheint es also manchmal, als ob im Bereich der Cybersicherheit immer noch Nachholbedarf besteht?
Cyberkriminelle nutzen Automatisierung bereits für wirkungsvolle Malware- und Phishing-Kampagnen, da sie Umfang, Schnelligkeit und Wiederholbarkeit bietet. Dies hat zur Folge, dass diese ausgefeilten Angriffe immer häufiger auftreten. Security-Teams stellt dies vor eine Herausforderung, da sie mit repetitiven Prozessen und langwierigen Untersuchungen von Fehlalarmen überlastet sind. Kurz gesagt: Es gibt nicht genügend Ressourcen oder Zeit, um Schritt zu halten.
Sicherheitsautomatisierung hilft, indem sie die Anzahl zeitaufwändiger monotoner Aufgaben reduziert und dennoch sicherstellt, dass sie unabhängig von Häufigkeit und Menge vollständig und akkurat erledigt werden. Das ermöglicht die Konzentration auf andere, strategischere Geschäftsaufgaben und erhält gleichzeitig die Funktionsfähigkeit, Sicherheit und Compliance des Netzwerks aufrecht.
Automatisierung ist die Antwort
Der Einsatz von Sicherheitsautomatisierung ist essentiell, um die heutigen komplexen und anhaltenden Angriffe zu bekämpfen. Ein Beispiel für die Bedrohungslandschaft, mit der Unternehmen konfrontiert sind, ist Malware. Sie tarnt sich, um im Stealth-Modus zu bleiben, bis sie ihr beabsichtigtes Ziel erreicht hat. IBM demonstrierte dies mit seinem DeepLocker-Konzept, welches in Videokonferenzsoftware eingebettet war und nur dann ausgelöst wurde, wenn die Zielperson auf der Kamera zu sehen war.
Sicherheitsautomatisierung bietet Unterstützung – von der Überwachung ungewöhnlichen Netzwerkverhaltens oder Datenbewegungen bis hin zur Erstellung von Regeln für das Netzwerk – die Möglichkeiten sind endlos. Dies sind einige Schlüsselbereiche für den Einsatz der Technologie:
- Jeden Tag erhalten Netzwerkanalysten hunderte Warnmeldungen, von denen die meisten harmlos sind. Nichtsdestotrotz müssen sie auch die Bedrohungen im Blick haben, die eventuell gefährlich sind. Durch die Automatisierung dieser Aufgabe wird die Anzahl der Warnungen reduziert, die im Detail untersucht werden müssen. Dies erhöht die Effizienz und verringert gleichzeitig das Risiko, eine wichtige Warnung zu übersehen.
- Die Gefahr einer Ermüdung des Spezialisten erhöht sich durch immer wiederholende Handlungen. Jeder Alarm ist entweder gut, schlecht oder unbekannt, was dazu führt, dass ein Analyst immer wieder die gleichen Handlungen ausführt. Dadurch erhöht sich die Fehlerwahrscheinlichkeit. Mithilfe von Automatisierung werden Regeln auf Grundlage früherer Erfahrungen angewendet, um festzustellen, ob Maßnahmen erforderlich sind. So werden nur Warnmeldungen angezeigt, die weitere Untersuchungen erfordern.
- Eine kritische Warnung erfordert eine manuelle Untersuchung sowie das Verständnis dafür, was passiert ist und welche Maßnahmen notwendig sind. Selbst der komplexeste Alarm erfordert häufige und sich wiederholende Maßnahmen, wie die Isolierung von infizierten Geräten oder das Löschen von Phishing-Anhängen aus E-Mails. Auch wenn die Sicherheitsautomatisierung Angriffe noch nicht erkennt, so kann sie doch repetitive Handlungen durchführen und ermöglicht dem Mitarbeiter so, sich auf andere Aufgaben zu konzentrieren.
„Die Fähigkeiten von KI und Machine Learning in Bezug auf die Cybersicherheit sind definitiv noch nicht ausgeschöpft.“
Laurence Pitt, Juniper Networks
Sicherheitsautomatisierung reduziert die Arbeitsbelastung der SOC-Teams (Security Operations Center) erheblich, doch welche Rolle spielen dabei Machine Learning und KI (künstliche Intelligenz)?
Es ist noch zu früh für eine konkrete Antwort, doch maschinelles Lernen und künstliche Intelligenz werden wahrscheinlich zu wichtigen Werkzeugen im Kampf gegen die Cyberkriminalität. Tatsächlich sagen viele Experten voraus, dass diese Technologien die Cybersicherheit in Zukunft dominieren werden.
Um klarere Analysen zu liefern, Verhalten und Muster zu erkennen und Mitarbeiter bei der Problemlösung zu unterstützen, bedarf es einer Verbesserung der automatisierten Sicherheit. Machine Learning und künstliche Intelligenz spielen dabei eine Schlüsselrolle und tragen dazu bei, den menschlichen Einsatz zu reduzieren und die Cybersicherheit schneller, konsistenter und genauer zu machen.
Effektive Threat Response ist datengesteuert
Herkömmliche Cybersicherheit verwendet Daten aus Sicherheitslösungen zum Schutz, während maschinelles Lernen auf Daten aufbaut, um zu verstehen, wo eine Bedrohung versucht, in das Netzwerk einzudringen. Durch die Nutzung sowohl von Sicherheitsdaten als auch von Daten von Switches und Routern wird die Sicherheitslage weiter verbessert. Da die Sicherheit vom Netzwerkrand aus und in die gesamte Netzwerkinfrastruktur integriert ist, werden Bedrohungen für wertvolle Daten und Endpunkte erheblich abgeschwächt.
Die Fähigkeiten von KI und Machine Learning in Bezug auf die Cybersicherheit sind definitiv noch nicht ausgeschöpft. Eine frühzeitige Analyse zur Effektivität der Security-Teams und zur Verbesserung der allgemeinen Datenhaltung schadet jedoch nicht.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
