So unterstützt maschinelles Lernen die Security praktisch

Die Herausforderung der Cyberabwehr

Ein Teil der Aufgabe des Sicherheitsanalysten besteht in der Programmierung von Tools, um bekannte Indikatoren für eine Kompromittierung (IoC, Indicator of Compromise) eines Systems oder Netzwerks zu erkennen. Das Problem dabei ist, dass Hacker immer wieder neue Exploits und Methoden zur Kompromittierung finden und so die Liste der Indikatoren für eine Kompromittierung immer weiterwächst. Die Hacker sind den Analysten zwei Schritte voraus, und die Analysten sind dauerhaft bestrebt, ihre Methoden im Kampf gegen Cyberangriffe zu erweitern.

Maschinelles Lernen kann die Erkennung von Bedrohungen automatisieren und erweitern. Die Modellierung des Verhaltens von Anwendern und technischen Einheiten in der IT-Landschaft bietet Möglichkeiten zur Erkennung von Anomalien im Vorfeld oder während eines Angriffs.

Nicht alle Unternehmen oder Abteilungen verhalten sich gleich. Ein anomales Verhalten in einem Unternehmen kann in einem anderen ein normales Verhalten sein. Mithilfe von maschinellem Lernen können unterschiedliche Basislinien zwischen verschiedenen Gruppen erkannt und kontextbezogene Informationen eingeführt werden, wodurch die Reaktion auf einen Vorfall verbessert wird.

Automatisierte Unterstützung für Sicherheitsanalysten

Maschinelle Lernsysteme sind vielleicht nicht so flexibel wie Menschen, aber sie können so trainiert werden, dass sie bei bestimmten Aufgaben genauer sind. Sie können auch komplette Datensätze analysieren, anstatt sich wie ein Mensch auf Stichprobenmethoden zu verlassen. Schließlich können sie komplexe Daten, hochdimensionale Daten und komplexe Randfälle analysieren. Menschen müssten Visualisierungen und Datenpivotierung durchführen und aufgrund der riesigen Anzahl von Kombinationen wäre eine Abbildung auf niedrige Dimensionen notwendig.

„Maschinelle Lernsysteme sind vielleicht nicht so flexibel wie Menschen, aber sie können so trainiert werden, dass sie bei bestimmten Aufgaben genauer sind.“

Jon Gisli Egilsson, LogPoint

Maschinelles Lernen ergänzt Sicherheitsanalysten und übernimmt einige ihrer normalen Aufgaben. Dadurch können sich die Analysten auf Situationen konzentrieren, in denen maschinelles Lernen nicht eingesetzt werden kann – zumindest noch nicht. Zum Beispiel die allgemeine Härtung der Sicherheitslage, die Überprüfung von Architektur und Infrastruktur, die Reaktion auf Angriffe, und Untersuchungen.

Der datenzentrierte Ansatz liefert das stärkste Ergebnis

Der richtige Ansatz ist bei maschinellem Lernen wichtig. Der modellzentrierte Ansatz wurde häufiger verwendet, aber ein datenzentrierter Ansatz liefert bessere Ergebnisse. Während sich der modellzentrierte Ansatz auf die Erstellung komplexer Modelle konzentriert, liegt der Schwerpunkt des datenzentrierten Ansatzes auf der Qualifizierung des Datensatzes.

Maschinelles Lernen mag komplex und schwer zu implementieren klingen. Das muss es jedoch nicht sein, wenn Data Governance und Datenqualität sichergestellt werden. CISOs und andere IT-Entscheider oder für IT-Sicherheit Verantwortliche, die maschinelles Lernen als Sicherheitskonzept in Betracht ziehen, sollten einige interne und externe Aspekte berücksichtigen, bevor sie die Entscheidung treffen:

• Interne Aspekte: Sind genügend Daten vorhanden? Ist die Datenqualität gut genug? Gibt es die richtigen Daten in der richtigen Geschwindigkeit oder den richtigen Intervallen? Ist die IT-Organisation ausgereift genug?
• Externe Aspekte: Wie hoch ist die Genauigkeit der maschinellen Lernlösung? Wie wird sie getestet? Wie wird sie sichergestellt?

Sicherheit durch maschinelles Lernen in der Praxis

SIEM-Lösungen (Security Information and Event Management) können mit User Entity Behavior Analytics (UEBA) Verhaltensanomalien erkennen. Ein einfaches Beispiel: Die Technologie kann erkennen, wenn sich ein Mitarbeiter zu einer anomalen Tageszeit im Vergleich zu sonst anmeldet oder arbeitet. Verschiedene Personen haben unterschiedliche Verhaltensmuster, und sie lernt diesen Kontext aus den Daten. Es handelt sich dabei nicht um etwas, das ein Security Analyst in das Erkennungssystem programmiert hat. Es ist etwas, das das System aus bisherigem Verhalten ableitet.

UEBA erkennt ungewöhnliches Verhalten und ist damit ein Werkzeug zur Erkennung von Kontokompromittierung. Das gibt Security-Analysten die Möglichkeit, die unautorisierte Kontonutzung durch andere Personen als den Kontoinhaber zu stoppen. Auf diese Weise werden sie davor gewarnt, wenn Führungskräfte von Außenstehenden ausgespäht werden, die versuchen, das Unternehmen zu infiltrieren. Die Technologie kann auch interne Aufklärungsarbeit leisten, indem sie Beweise über Netzwerkressourcen sammelt und die Security-Analysten darüber informiert, wenn sich eine von ihnen anders als erwartet verhält.

Über den Autor:
Jon Gisli Egilsson ist Engineering Manager bei LogPoint.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.