Wie KI und maschinelles Lernen die Cybersicherheit von Firmen verbessern

Eine aktuelle Studie von Information Risk Management weist darauf hin, dass 86 Prozent der Unternehmen in den nächsten fünf Jahren mit künstlicher Intelligenz (KI) in Berührung kommen. Wenn diese Technologie richtig eingesetzt wird, wirkt sich das unter anderem positiv auf die Abwehr von Cyberattacken aus.

Aktuell sind die Sicherheitsanalysten aufgrund der wachsenden Zahl von Cyberangriffen oft überfordert. Es werden mehr sicherheitsrelevante Daten gesammelt, die wiederum noch mehr Warnmeldungen generieren. Das alles führt zu dem sogenannten «Ermüdungsproblem». Auf der anderen Seite fehlt es der Branche an genügend ausgebildeten Sicherheitsanalysten, um solche Warnungen zu verarbeiten.

KI und das maschinelle Lernen (ML) können helfen, mühsame Aufgaben wie das Suchen und Bewerten von Bedrohungen und die entsprechende Reaktion zu automatisieren. Dadurch werden die Analysten entlastet, die mit Warnungen überschwemmt werden. Die Cybersicherheit ist ein sehr spannendes Feld für die Anwendung von KI und ML, denn es gibt eine Menge Daten über das Sicherheitsumfeld, und viele Angriffe verlaufen nach einem ähnlichen Muster.

KI verwendet Algorithmen, um Entscheidungen darüber zu treffen, was in bestimmten Situationen zu tun ist. Die Algorithmen sind ein Plan dafür, was der Computer angesichts bestimmter spezifischer Ereignisse tun soll. Sie versuchen, menschliche kognitive Funktionen nachzuahmen, wobei der Computer innerhalb einer definierten Problemumgebung angewiesen wird, eine Lösung für das Problem zu finden. ML verwendet Daten und erzielt Resultate, um zu lernen, was in Zukunft in ähnlichen Situationen zu tun ist.

Anomalieerkennung – unüberwachtes Lernen

Wenn wir über Sicherheit sprechen, geht es stark vereinfacht darum, dass ein System gut von schlecht, normal von anormal unterscheiden kann. Diese Anomalieerkennung basiert auf unüberwachtem Lernen, also einer Art selbstorganisiertem Lernen. Diese Methode hilft dabei, zuvor unbekannte Muster in einem Datensatz ohne die Verwendung bereits vorhandener Klassifizierung zu finden.

Im Wesentlichen weiss ein System, das auf unüberwachtem Lernen basiert, was normal, ist und identifiziert alles Abnormale als Anomalie. Wie Sie sich vielleicht vorstellen können, erzeugen Systeme, die auf unüberwachtem Lernen basieren, viele Fehlalarme – denn viele Situationen, die als anormal gelten, sind vollkommen harmlos. Die Anomalieerkennung ist gut darin, Dinge zu erkennen, die anders sind, können diese aber nicht zuverlässig in ein Sicherheitsrisiko einstufen.

Das überwachte Lernen

Beim überwachten Lernen werden Entscheidungen aus einer Reihe gekennzeichneter Daten gelernt. Diese Klassifizierungen spezifizieren den Normalfall oder eine Bedrohung. Ein solches Beispiel ist ein URL-Klassifikator. Zunächst werden grosse Datensätze gutartiger URLs und bösartiger URLs verwendet, um einen URL-Klassifikator zu trainieren. Dann wird dieser eingesetzt und vergleicht die URLs, die aus eingehenden E-Mails extrahiert wurden.

Für jede URL erstellt der URL-Klassifikator ein Etikett. Dieses gibt an, ob es sich um einen gutartigen oder bösartigen Inhalt handelt. Ein überwachter Lernalgorithmus analysiert die Daten und erzeugt eine daraus abgeleitete Funktion, die zur Auswertung neuer Daten verwendet werden kann.

Adaptives Lernen – die starke Kombination

Überwachtes Lernen hat sich in Sicherheitsanwendungen als erfolgreicher erwiesen, erfordert jedoch einen einfachen Zugriff auf grosse Mengen gekennzeichneter Daten, die für Cyberangriffe wie APT (Advanced Persistent Threats) und Zero-Day-Angriffe auf Unternehmen nur sehr schwer zu generieren sind. Daher kann das überwachte ML nicht einfach angewendet werden, um alle Cyberangriffe zu lösen.

Hier kommt das unüberwachte Lernen wieder ins Spiel. Die Kombination aus unüberwachtem und überwachtem Lernen – also das adaptive Lernen – verbessert die Fähigkeit, diese APTs und Zero-Day-Exploits zu erkennen. Anders als beim überwachten Lernen, wo wir eine grosse Anzahl von Angriffsfällen kennzeichnen müssen, nutzt das adaptive Lernen die begrenzte Anleitung von Menschen, um die Richtung oder Präferenz der Anomalieerkennung zu steuern und genauere Ergebnisse zu erzielen.

Genau das zeichnet moderne Security-Monitoring-Systeme aus, um zuverlässig und effizient bei echten Bedrohungen zu alarmieren.

Korrelation von verschiedenen Punkten

Eines der grossen Probleme bei der einfachen Erkennung von Anomalien ist die Menge der falsch-positiven Ergebnisse. Und selbst wenn die Ergebnisse tatsächlich genau sind, fehlt es an Kontext, damit ein Sicherheitsanalyst die Auswirkungen auf die Sicherheitslage bewerten und entsprechende Schritte einleiten kann. Zudem kommen immer noch weitere Datenquellen hinzu, was die Aufgabe weiter erschwert.

Um diese Probleme zu lösen, muss das Security-Monitoring mehrere Ereignisse (Punkte) automatisiert korrelieren, um dann zu bewerten, ob es sich um einen Cyberangriff handelt. Ein «Punkt» könnte zum Beispiel eine Führungskraft sein, die sich um 11 Uhr abends in das Netzwerk einloggt. Obwohl dies allein ein sicherheitsrelevantes Signal ist, reicht es nicht aus, um einen Alarm auszulösen.

Wenn sich die Führungskraft jedoch um 11 Uhr abends von einer IP-Adresse in Russland oder China aus anmeldet, sich aber erst wenige Stunden davor in der Schweiz abgemeldet hat, würde dies eine Warnung auslösen. Denn dann gibt es drei relevante Punkte, die miteinander kombiniert den Kontext liefern, dass es sich eher um eine Kontoübernahme handelt.

Best Practice an der Uni Zürich

Die Universität Zürich ist mit über 25 000 Studentinnen und Studenten die grösste Universität der Schweiz. Aufgrund stetigen Wachstums der IT-Umgebung und des Mangels an personellen Ressourcen war eine neue Plattform für die IT-Sicherheit unumgänglich. Der zentralisierte IT-Security-Dienst der Universität unterstützt alle Bereiche und Universitätsabteilungen, jede mit ihren eigenen Herausforderungen.

Genau diese Komplexität und die verschiedenen Bedürfnisse waren der Grund, weshalb mittels KI ein grosser Teil des Security-Monitorings automatisiert werden musste. Eine installierte Security-Monitoring-Plattform sammelt nun Daten aus allen Bereichen der Angriffsflächen, korreliert vermeintlich nicht zusammenhängende Vorfälle und analysiert diese. Damit stellt sie fest, ob es sich um einen Fehlalarm oder eine echte Bedrohung handelt. Selbst bei der sehr komplexen IT-Umgebung der Universität werden Bedrohungen zuverlässig erkannt, die mit herkömmlichen Werkzeugen sehr schwierig zu erkennen wären.

Die automatische Priorisierung von Alarmen auf der Plattform macht die Analyse viel produktiver und ermöglicht es, tatsächliche Bedrohungen viel schneller zu beseitigen.

Kostenreduktion dank effizientem Monitoring

Trotz der wichtigen Aufgabe, alle Einrichtungen der Universität vor einer Vielzahl von Bedrohungen zu schützen, muss dies effizient und mit einem kleinen Team von Spezialisten funktionieren. Die Plattform macht die Arbeit viel produktiver; das spart Zeit und Geld. Analysten, die sonst Tage oder Wochen damit verbringen müssten, eine Bedrohung aufzuspüren, können dies nun dank KI in Minuten. Weiter erlaubt es die Automatisierung, beruhend auf KI, den IT-Manager in Echtzeit über sicherheitsrelevante Ereignisse in seinem Verantwortungsbereich zu informieren sowie erste Gegenmassnahmen einzuleiten.

Das bietet eine 24/7-Abdeckung ohne Dauereinsatz der Arbeitskräfte. Werkzeugen sehr schwierig zu erkennen wären. Die automatische Priorisierung von Alarmen auf der Plattform macht die Analyse viel produktiver und ermöglicht es, tatsächliche Bedrohungen viel schneller zu beseitigen.