Cyber-Security: Mit KI Angriffe abwehren

Cyber-Angriffe sind immer schwieriger aufzuspüren und abzuwehren. Inzwischen gibt es erste Ansätze mit Künstlicher Intelligenz (KI), die auch bis dato verborgene Verhaltensweisen von Angreifern in Netzwerken erkennen.

Cyberangriffe mit künstlicher Intelligenz, Vectra Bildquelle: © Fotolia / PixlMakr

Die Ergebnisse in der Praxis sind vielversprechend, wie Gérard Bauer, Vice President für den EMEA-Raum bei Vectra, berichtet. 

Warum spielt künstliche Intelligenz in der Cybersicherheit eine immer größere Rolle?
Gérard Bauer:
KI wird in vielen Bereichen der Cybersicherheit eingesetzt, da sie komplexe Daten in einer Größenordnung und Geschwindigkeit verarbeiten und analysieren kann, die über die menschlichen Fähigkeiten hinausgeht. Dies ermöglicht die automatisierte Erkennung von neuen, versteckten Bedrohungen und Angriffen. Die Bedrohungslandschaft diversifiziert sich rasant und die Angriffsfläche wächst exponentiell. Gleichzeitig leidet die Cyber-Sicherheit unter Personal- und Ressourcenmangel. KI spart den Sicherheitsteams wertvolle Zeit, um Angriffe zu verhindern und Probleme zu beheben, bevor sich diese zu schwerwiegenden Compliance-Verstößen entwickeln. KI ersetzt nicht den Menschen, aber befähigt ihn, effizienter zu arbeiten, um Cyber-Risiken zu reduzieren und zu managen.

Gérard Bauer, Vectra Bildquelle: © Vectra

Algorithmen und ihr Lernansatz sind abhängig von der Aufgabenstellung.

Welche KI-Methoden kommen dabei zum ­Einsatz? 
Bei vortrainierten überwachten Modellen sind die aus den Daten ausgewählten Merkmale ebenso wichtig wie die Algorithmen selbst. Hier arbeiten Sicherheitsexperten und Datenwissenschaftler zusammen, um ihre Sicherheitshypothesen, Modelle und Eingabedaten auszuwählen, zu testen und zu validieren. Vortrainierte Algorithmen sind sofort einsatzbereit. 

Unüberwachtes Lernen ist dagegen untrainiert. Dabei wird versucht, Gruppen und Muster zu identifizieren, basierend auf Beobachtungen, ohne dass Attribute vorselektiert werden; hier können etwa Algorithmen wie Random Forest und K-Means Clustering verwendet werden. Sie sind nützlich, um einzigartige lokale Phänomene und Bedrohungen wie das Auskundschaften seitens der Angreifer zu erkennen. 

Kommen dabei neuronale Netze zum Einsatz?
Ja, obwohl rechnerisch aufwendig, wird auch das auf neuronalen Netzen basierende Deep Learning eingesetzt. Inspiriert von der biologischen Struktur und Funktion der Neuronen im Gehirn, nutzen Deep-Learning-Techniken große Netzwerke von künstlichen Neuronen. Diese sind in Schichten organisiert, wobei die einzelnen Neuronen durch eine Reihe von Gewichten miteinander verbunden sind, die sich als Reaktion auf neu eintreffende Eingaben anpassen. Mit zunehmender Tiefe des Netzwerks wird es schwieriger, ein Modell zu trainieren. Fortschritte in diesem Bereich sind auf Techniken und mathematische Analysen zurückzuführen. Die Wahl und Kombination der Algorithmen beeinflusst letztendlich die Leistung und Wirksamkeit des KI-Systems bei der Bedrohungserkennung.

Wo ist der Vorteil gegenüber herkömmlichen Methoden?
Heutige Cyber-Angriffe sind komplexe, mehrstufige Operationen, die eine Vielzahl von Techniken und Strategien umfassen, um immer tiefer ins Netzwerk vorzudringen. KI-Tools sind in der Lage, bisher unbekannte Angriffe zu erkennen – ohne Hash-Signatur, basierend auf dem, was Angreifer gerade tun, und nicht darauf, welche Schwachstellen, Exploits oder sogar legitime Tools sie verwenden. So wird zum Beispiel ein bisher ungesehener Remote-Access-Trojaner (RAT) von einem KI-Modell erkannt, dass nach RAT suchen soll. Verhaltensbasierte Ansätze zur Angriffserkennung haben den zusätzlichen Vorteil, dass sie sowohl mit Klartext als auch mit verschlüsselter Kommunikation arbeiten, da sie keine Deep Packet Inspection erfordern.

Dashboard Vectra-Software, Vectra Bildquelle: © Vectra

Mit dem Dashboard der Vectra-Software behalten die Cybersecurity-Experten den Überblick über Angriffe. Künstliche Intelligenz hilft bei der Detektion.

Welche konkreten Lösungen bieten Sie an?
Wir haben eine umfassende Suite von Erkennungsalgorithmen entwickelt, die auf überwachtem und unüberwachtem Lernen sowie Deep-Learning basiert. Sie sind optimiert, um einen bestimmten Typ von Angreiferverhalten im gesamten Lebenszyklus eines aktiven Angriffs zu identifizieren: Command and Control*), Aufklärung, Privilegien-Erweiterung & Querbewegung sowie Datenmanipulation & Exfiltration.

Jede dieser Verhaltensweisen beziehungsweise Phasen bietet mehrere Möglichkeiten, den versteckten Angreifer bei der Arbeit zu erkennen. Die Algorithmen bewerten dann die Vorfälle nach Risiko und Sicherheitsrelevanz. Darüber hinaus korreliert die KI das Verhalten im Laufe der Zeit zurück zu den betroffenen Hosts. Dies macht es für Sicherheitsanalysten möglich, schnell, einfach und in Echtzeit jene Hosts zu erkennen, die sofortige Aufmerksamkeit erfordern. Eine letzte Schicht der KI korreliert, welche Hosts an der gesamten Angriffskampagne beteiligt sind, was eine vollständige Darstellung des Angriffs im gesamten Unternehmen liefert. 

Welche Vorteile ergeben sich daraus?
Im Live-Betrieb bei Kunden konnten wir eine um das 32-fache reduzierte Analysezeit feststellen. Wenn Sicherheitsanalysten schnell und effektiv reagieren, können sie Angriffe stoppen, bevor sie geschäftskritisch werden.

Wie sieht es mit der Akzeptanz aus? Vertrauen die Anwender den KI-Tools?
Angesichts von KI-Software, die sich ­ständig selbst anpasst, ist es schwierig zu verstehen, wie am Ende ein Ergebnis zustandekommt. Daher ist es wichtig, dass die Benutzer ein gewisses Basiswissen besitzen. 

Und wenn es dann an den Erwerb eines bestimmten Tools geht? 
Hier ist es ratsam, den KI-Herstellern im Vorfeld einige aufschlussreiche Fragen zu ihren Tools zu stellen. Zum Beispiel, welche und wie viele maschinelle Lernalgorithmen ein Produkt verwendet und wie diese kategorisiert und aktualisiert werden. Wie lange dauert es, bis die Erkennungssoftware einsatzbereit ist? Wie viele Algorithmen werden für eine Lernphase benötigt und wie lange dauert diese? Wie werden die Algorithmen trainiert, was sind Quelle und Herkunft der Trainingsdaten?

Zusätzlich kann eine Live-Evaluierung vor Ort die Wirksamkeit der Software belegen. Wissen und praktische Erfahrung bilden eine solide Grundlage, um das Vertrauen in ein KI-Tool aufzubauen.

Was sind typische Anwendungen für solche Tools im Produktionsumfeld?
Im Zusammenhang mit der Verwendung von KI zur Automatisierung der Erkennung und Reaktion auf Bedrohungen gibt es eine Reihe von Anwendungen. So können solche KI-Tools aktive, aber unbekannte und versteckte Bedrohungen innerhalb des Unternehmens-Netzwerks erkennen, die Sicherheitskontrollen und Abwehrmaßnahmen umgehen. Dies ist bis dato häufig ein blinder Fleck. Ein weiteres Einsatzfeld ist das Erkennen von Bedrohungen in der Cloud und im Rechenzentrum. Denn die Virtualisierung und die Cloud bringen einzigartige Sicherheitsherausforderungen mit sich, einschließlich eines hohen Prozentsatzes an Kommunikation, die für herkömmliche Sicherheitskontrollen nicht sichtbar ist.

Letztendlich geht es auch darum, das Sicherheitsteam zu entlasten, das mit einer Flut von Alarmmeldungen zu kämpfen hat. Automatisierung mittels KI steigert nachweisbar erheblich die Effizienz und Effektivität des Sicherheitsbetriebs.

Können Sie hier ein konkretes Anwendungsbeispiel nennen?
Die Vetropack-Gruppe, ein Hersteller von Glasverpackungen, hat sich für die KI-Plattform ‚Vectra Cognito‘ entschieden, um ihre wichtigsten Vermögenswerte zu schützen und um die Sicherheitsabläufe zu optimieren. Dem Unternehmen war klar, dass Sicherheitsmaßnahmen für die ­Netzwerk-Peripherie allein heutigen Cyber-Bedrohungen nicht gewachsen sind. Um Cyber-Angreifer schnell zu erkennen und zu stoppen, bevor sie wichtige Ver­mögenswerte beschädigen oder stehlen, war Transparenz im Netzwerk erforderlich. 

Die KI-basierte Cyber-Sicherheitsplattform bietet dem Hersteller Vetropack heute eine lückenlose, automatische Bedrohungssuche und Angreifer-Erkennung in Echtzeit, unterstützt durch KI und ständig lernende Verhaltensmodelle. Die intelligente Technologie priorisiert automatisch die risikoreichsten Bedrohungen im unternehmensweiten Netzwerk, das sich auf Büros, Produktionsstätten und Distribu-tionszentren in mehreren europäischen Ländern erstreckt. So kann Vetropack schnell und proaktiv Cyber-Bedrohungen stoppen.