Mit KI und maschinellem Lernen Cyberangriffen begegnen

Grundvoraussetzung für die Implementierung von maschinellem Lernen

Um die den Schutzmechanismen zugrundeliegenden Machine-Learning-Modelle zu trainieren, sind hier zunächst einige Grundvoraussetzungen zu schaffen. So müssen die dafür herangezogenen Daten sauber, vorbereitet und im richtigen Format vorliegen. Es ist unmöglich, aus einem chaotischen Datensatz einen Sinn zu extrahieren – denn aus „unsauberen“ Daten werden in aller Regel auch „unsaubere“ Ergebnisse generiert. Eine weitere Herausforderung bei der Nutzung maschinellen Lernens ist der branchenweite Mangel an Sicherheitskompetenzen.

Ein Großteil der Prozesse des maschinellen Lernens in der Cybersicherheit wird derzeit von qualifizierten Analysten überwacht, die die Modelle der Wissensaneignung trainieren. Jedoch sind einige dieser Sicherheitsanalysten nicht unbedingt Experten für maschinelles Lernen. Daher müssen entweder die Lösungen selbst hochgradig interpretierbar sein oder jemand, der über keine oder unzureichende Expertise beim maschinellen Lernen verfügt, muss die Daten dennoch interpretieren können.

Schutz gegen menschenzentrierte Angriffe

Sobald maschinelles Lernen allerdings implementiert ist, kann es direkt dazu genutzt werden, Angriffe, die die Ausnutzung des Menschen als Schwachstelle zum Ziel haben, zu erkennen und in der Folge zu bekämpfen. Eine der ersten Anwendungen in diesem Bereich war bereits der E-Mail-Filter, der Bedrohungen anhand der Reputation einer IP-Adresse oder dem Versandmuster einer Mail, zum Beispiel die Geografie der Empfänger, deren Zahl oder andere Faktoren, analysiert.

Ähnlich verhält es sich mit anderen Faktoren eines potenziellen Angriffs. Zusätzlich zu den IP-Adressen und Domänen-Namen des Absenders zerlegt die künstliche Intelligenz die Nachricht in ihre Bestandteile und weist jedem dieser Bestandteile einen Reputationswert zu. Dies schließt alle Elemente einer E-Mail, wie den Header oder den eigentlichen Nachrichteninhalt mit ein. Ferner dient maschinelles Lernen auch der Erkennung verdächtiger Webseiten, die dem Nutzer beispielsweise vorspiegeln, eine legitime Anmeldung bei Office 365 durchzuführen, in Wahrheit jedoch Credential Phishing betreiben.

Um das System besser zu trainieren, können bekannte Bedrohungen in die KI-Modelle eingespeist werden. Dazu zählen beispielsweise E-Mails, die Bedrohungen enthalten, ausführbare Dateien mit Schadcode oder entsprechende Netzwerkpakete. Bei Social-Engineering-Angriffen, wenn keine URLs oder Dateianhänge vorhanden sind, sind die Möglichkeiten einer Analyse jedoch beschränkt. Hier steht die übermittelte Botschaft selbst im Fokus – die Technologie konzentriert sich in diesem Fall hierauf.

Auf dem richtigen Weg

Insgesamt ist maschinelles Lernen gerade dabei, sich zu etablieren. Die Anfangsphase ist hier jedoch schon längst vorbei, das Ziel aber noch lange nicht erreicht. Basis für die Entwicklung sind Open-Source-Technologien, die bereits seit Jahrzehnten verfügbar sind. Es mangelt aber noch an ausreichendem Datenmaterial, damit das Machine Learning seine Modelle dementsprechend einer genauen Prüfung unterziehen kann – sowie natürlich an den Analysten, die diese Modelle trainieren.

„Insgesamt ist maschinelles Lernen gerade dabei, sich zu etablieren. Die Anfangsphase ist hier jedoch schon längst vorbei, das Ziel aber noch lange nicht erreicht.“

Werner Thalmeier, Proofpoint

Die Zeichen stehen dennoch gut, dass künstliche Intelligenz und Machine Learning sich langfristig im Bereich der Cybersicherheit durchsetzen werden. Insbesondere dürften sie in den Kernfunktionen vieler Anwendungen, die eine Bedrohung erkennen oder sensible Informationen identifizieren müssen, ihren Platz finden. Hier können sie ihre Stärken voll ausspielen. Das maschinelle Lernen wird zu einem wichtigen Faktor, um die Automatisierung im Schwachstellen- und Konfigurationsmanagement voranzutreiben.

Sicherheitsexperten weiterhin gefragt

Es gibt hier aber auch Einschränkungen. Verhaltensanalysen oder Sensibilisierungsmaßnahmen, die flankierend zur Bedrohungserkennung erfolgen müssen, passen sich nicht in maschinelle Lernprozesse ein. Machine Learning hat hier Schwächen, das Verhalten von Menschen zu bewerten oder die Lerninhalte entsprechend aufzubereiten, so dass die Benutzer durch passende Sensibilisierung auch in die richtige Richtung gelenkt werden. Dazu verfügen Menschen über zu individuelle und unerwartete Denkmuster. Die falsch-positiv Rate, die mit der maschinellen Profilerstellung des Nutzerverhaltens einhergeht, wäre enorm. Außerdem wäre die Identifizierung, ob sie sich lediglich ungewöhnlich verhalten oder selbst ein Insider-Risiko darstellen, nur sehr schwierig umzusetzen.

Zusammenspiel von KI und Experten künftig notwendig

Daher wird es auch in Zukunft in der Bekämpfung der Cyberkriminalität ein Zusammenspiel aus automatisierten KI-Systemen und kompetenten IT-Experten geben, auf die die Unternehmen nicht verzichten können. Bei den Experten wird es lediglich zu einer Straffung der Arbeitsplätze kommen, deren Aufgaben von einer KI übernommen werden kann. Allerdings werden Cyberangriffe wohl weiter zunehmen, und gerade das Verhalten von Anwendern wird nicht vorhersehbarer. Denn auch wenn die künstliche Intelligenz unschlagbar darin ist, aus einer massiv hohen Anzahl von Referenzen die richtigen Schlüsse zu ziehen, um so für eine Grundsicherheit zu sorgen – die Überzeugungsarbeit in Richtung der Anwender, trotz aller technischen Maßnahmen, weiterhin große Vorsicht beim Umgang mit E-Mails, Social Media und der Eingabe vertraulicher Daten walten zu lassen, obliegt weiterhin den IT-Sicherheitsbeauftragten.

Über den Autor:
Werner Thalmeier ist Senior Director Systems Engineering EMEA bei Proofpoint.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.