Sicherheitsautomatisierung ist keine KI-Sicherheit

Januar 17, 2017
Vectra AI Team für Sicherheitsforschung
Cybersecurity
Sicherheitsautomatisierung ist keine KI-Sicherheit

Dieser Blog wurde ursprünglich auf ISACA Now veröffentlicht.

In vielen Bereichen der Arbeitswelt löst die Anwendung der Technologie der künstlichen Intelligenz (KI) eine wachsende Angst aus. Kevin Maney von Newsweek hat in seinem jüngsten Artikel "How artificial intelligence and robots will radically transform the economy" (Wie künstliche Intelligenz und Roboter die Wirtschaft radikal verändern werden) den bevorstehenden Wandel in der Arbeitswelt und die damit verbundenen Bedenken anschaulich zusammengefasst.

In der Informationssicherheits-Community (InfoSec) wird die KI gemeinhin als Heilsbringer angesehen - eine Technologieanwendung, die es Unternehmen ermöglicht, Bedrohungen schneller zu erkennen und zu entschärfen, ohne mehr Menschen einsetzen zu müssen. Der Faktor Mensch wird in der Regel als Hemmschuh für Unternehmen angesehen, da die erforderlichen Fähigkeiten und Erfahrungen sowohl kostspielig als auch schwer zu beschaffen sind.

Infolgedessen haben viele Anbieter in den letzten Jahren ihre Produkte umgestaltet und als KI-gestützt bezeichnet - zum einen als Reaktion auf die wachsende Frustration ihrer Kunden, dass die Bekämpfung jeder neuen Bedrohung zusätzliches Personal erfordert, das sich um die ihnen verkauften Tools und Produkte kümmert, und zum anderen als Unterscheidungsmerkmal zu den "alten" Ansätzen im Umgang mit den Bedrohungen, die trotz zwei Jahrzehnten innovativer Erkennungsmethoden weiter bestehen.

Die Umbenennung, die Neuvermarktung und die Aufnahme verschiedener datenwissenschaftlicher Schlagworte - maschinelle Intelligenz, maschinelles Lernen, Big Data, Data Lakes, unüberwachtes Lernen - in Produktwerbung und Werbematerialien haben den Anschein erweckt, dass Sicherheitsautomatisierung mit KI-Sicherheit gleichzusetzen ist.

Wir stehen noch ganz am Anfang der KI-Revolution. Produkt- und Serviceanbieter entwickeln ihre KI-Engines der Version 1.0 weiter und konzentrieren sich vor allem auf die Lösung von zwei Herausforderungen: das Durchsuchen einer wachsenden Menge an Bedrohungsdaten nach verwertbaren Nuggets und die Nachbildung der häufigsten und grundlegenden Funktionen menschlicher Sicherheitsanalysten.

Beide Herausforderungen stellen keine besonderen Anforderungen an eine KI-Plattform. Statistische Ansätze zur Erkennung von Anomalien, zum Clustering von Daten und zur Kennzeichnung von Prozessen erfüllen alle Kriterien für die erste Sicherheitsherausforderung, während "Expertensystem"-Ansätze aus den 1970er und 1980er Jahren für den größten Teil der zweiten Herausforderung ausreichend sind. Was sich geändert hat, ist die Datenmenge, auf die sich die Entscheidungen stützen müssen, und die Fortschritte bei den lernenden Systemen.

Was viele Käufer von Sicherheitstechnologien derzeit verwirrt, ist die Einbeziehung von KI-Schlagwörtern in Produkte und Dienstleistungen, die im Wesentlichen "Automatisierung" bieten.

Viele der stark beworbenen Wertversprechen haben mit der Automatisierung vieler manueller Aufgaben zu tun, die ein Bedrohungsanalytiker oder Incident Responder bei seiner täglichen Arbeit durchführen würde, wie z. B. das Durchsuchen kritischer Alarme, das Korrelieren mit anderen weniger wichtigen Alarmen und Protokolleinträgen, das Abrufen von Packet Captures (PCAPs) und Host-Aktivitätsprotokollen, das Überlagern externer Bedrohungsinformationen und Datenfeeds und das Präsentieren eines Analysepakets für einen menschlichen Analysten, um die nächsten Aktionen zu bestimmen. Alle diese verknüpften Aktionen können natürlich mit Hilfe von Skriptsprachen leicht automatisiert werden, wenn das Unternehmen dazu bereit ist.

Für die Automatisierung der Bearbeitung von Sicherheitsereignissen ist keine KI erforderlich - zumindest nicht die Art oder das Niveau der KI, von der wir annehmen, dass sie einen globalen Wandel in der Wirtschaft und bei den Arbeitsplätzen bewirken wird.

Die KI v1.0, die in vielen heutigen Produkten zum Einsatz kommt, kann man sich am besten als Fließbandroboter vorstellen, die wiederholte mechanische Aufgaben ausführen, die nicht unbedingt eine "Intelligenz" als solche erfordern. Diese Automatisierung bringt natürlich Effizienz und Konsistenz bei der Untersuchung von und Reaktion auf Vorfälle mit sich, hat aber an sich noch keine Auswirkungen auf den Bedarf der Unternehmen an qualifizierten menschlichen Analysten.

In dem Maße, in dem sich Unternehmen an die gemeinsame Nutzung und den kollektiven Austausch von Daten gewöhnen, kann die Sicherheits-Community mit der Weiterentwicklung und Integration besserer lernender Systeme rechnen - und damit mit einem inkrementellen KI v1.1-Pfad, bei dem die Prozessautomatisierung die Eigenheiten, Aktionen und allgemeinen Entscheidungen der Umgebung, in der sie arbeitet, effizient erlernt. Ein Beispiel wäre die Bewertung eines automatisch erstellten Analysepakets durch die Ermittlung von Ähnlichkeiten mit zuvor erstellten und bearbeiteten Paketen, die Zuweisung einer Prioritätsstufe und die Weiterleitung an den richtigen menschlichen Ansprechpartner. Das mag wie ein kleiner, aber logischer Automatisierungsprozess klingen, erfordert aber eine andere Ebene und Klasse von Mathematik und "Intelligenz", um einen fachkundigen Entscheidungsfindungsprozess zu erlernen und abzustimmen.

Meiner Meinung nach besteht Security AI v2.0 in einer Intelligenzmaschine, die nicht nur dynamisch durch die Beobachtung der wiederholten Klassifizierung von Bedrohungen und ihrer entsprechenden Aktionen lernt, sondern auch in der Lage ist, verdächtige Verhaltensweisen, die sie noch nie zuvor gesehen hat, korrekt zu identifizieren, den Kontext der Situation zu bestimmen und die am besten geeigneten Aktionen im Namen der Organisation einzuleiten.

Dazu könnte die Fähigkeit gehören, nicht nur zu erkennen, dass ein neuer Host dem Netzwerk hinzugefügt wurde und einen Port-Scan gegen den Active Directory-Server zu starten scheint, sondern auch vorherzusagen, ob die Aktion Teil eines Penetrationstests (Pentests) sein könnte, indem der typische Prozess der Bereitstellung von Pentests, typische Ziele vergangener Pentests und die regelmäßige Kadenz oder Planung von Pentests innerhalb der Organisation verstanden werden. Die Engine könnte dann zu einer evidenzbasierten Schlussfolgerung kommen, die verdächtigen Aktivitäten aufspüren und die Geschäftsinhaber benachrichtigen und, während sie auf die Bestätigung wartet, automatisch Regeln zur Bedrohungsabwehr und Warnschwellenwerte anpassen, um die verdächtigen Aktivitäten zu isolieren und den potenziellen Schaden zu minimieren.

Der Erfolg der Sicherheits-KI liegt in der Festlegung von Maßnahmen auf der Grundlage unvollständiger und zuvor nicht klassifizierter Informationen. An diesem Punkt werden die schwer zu haltenden "Tier-1"-Sicherheitsanalystenrollen verschwinden, wie so viele Fließbandjobs in der Automobilindustrie in den letzten Jahrzehnten.

Häufig gestellte Fragen