Welche Rolle spielt künstliche Intelligenz in der Cybersicherheit?

Mit der Digitalisierung, der immer steigenden Menge verbundener Geräte und dem Internet der Dinge haben Cybersicherheitsexperten einiges zu tun. Mehr verbundene Geräte bedeuten mehr Datenverkehr, mehr Angriffsvektoren, mehr Angriffsversuche und sehr viel mehr Daten, die analysiert werden müssen. In Zukunft wird sich das immer mehr verstärken. Cybersicherheitsexperten werden jede Hilfe brauchen, damit sie zukünftige Vorfälle verhindern und auf Vorfälle reagieren können.

Künstliche Intelligenz und lernende Maschinen werden immer mehr in verschiedenen Industrien und Applikationen genutzt, und natürlich bildet die Cybersicherheit da keine Ausnahme. Wenn wir über künstliche Intelligenz (KI) sprechen, ist damit ein weitreichendes Grundkonzept gemeint, bei dem Maschinen kognitive Funktionen imitieren und Aufgaben wie Klassifikation, Erkennung von Anomalien und das Zusammenfassen von Proben effektiver als Menschen erledigen können. Lernende Maschinen sind dagegen eine Anwendung von KI, die auf der Idee basiert, dass wir Maschinen Zugang zu Daten geben und Algorithmen nutzen können, die es Maschinen erlauben, Lösungen für Probleme selbstständig aus den gelieferten Daten zu lernen.

Seit Jahrzehnten wird eine große Anzahl von Algorithmen für lernende Maschinen in wissenschaftlichen Veröffentlichungen besprochen und schon in vielen Fällen eingesetzt. Obwohl die meisten aktuellen KI-Lösungen begrenzt sind und sich mit einem sehr spezfischen Problem befassen (dem “was”) anstatt das gesamte Spektrum menschlicher kognitiver Fähigkeiten abzudecken (das “wie”), gibt es durchaus Beweise für die Effizienz solcher Lösungen. Sei es der AlphaGo Sieg, autonomes Fahren oder Vorschlagsautomatismen für Filme: diese Ansätze zur Nutzung von KI sind bereits effizienter als Menschen in Szenarien, die sich mit ganz genauen Rahmenbedingungen definieren lassen, und wenn genügend Daten vorhanden sind.

Künstliche Intelligenz ist nichts Neues in der Cybersicherheit. Es ist sogar so, dass wir Techniken der lernenden Maschinen seit 2005 nutzen und zwar für solch Aufgaben wie Probenanalyse und -Kategorisierung, URL-Reputation und -Kategorisierung und Erkennungslogik auf Client-Seite. Die KI hilft uns dabei, schnell neue Exploits und Schwachstellen zu identifizieren und zu analysieren, um so weitere Angriffe abfangen und/oder mitigieren zu können. Damit ist die KI ein integraler Teil unserer Lösungen.

Zusätzlich zur Verbesserung präventiver Maßnahmen, spielen KI-Technologien eine sehr wichtige Rolle in der Erkennung von Vorfällen und ermöglichen die Reaktion sogar auf vorher unbekannte Gefahren. In vielen Fällen sind Menschen schlicht zu langsam, um Cyberattacken schnell genug verhindern zu können. KI-Systeme, die so entworfen wurden, dass sie lernen und sich anpassen können und die kleinsten Veränderungen in der Umgebung erkennen, können sehr viel schneller reagieren – auch basierend auf der Verarbeitung von viel mehr Daten – als Menschen, wenn es darum geht, neuartige Attacken zu erkennen und aufzufangen.

Algorithmen aus dem Bereich der lernenden Maschinen können genutzt werden, um Profile zu erstellen, die normales Verhalten definieren. Diese Profile können dann entweder global anwendbar, oder eher Nutzer- oder Host-basiert sein. Basierend auf diesen Profilen ist es dann möglich, zwischen normalem und anormalem Verhalten in Echtzeit zu unterscheiden. Im Fall unseres Rapid Detection Service zum Beispiel, sammeln wir konstant Daten mit unseren Endpunktsensoren und erstellen Modelle, um Nutzer- oder Host-basierte Diskrepanzen zu finden und dann verdächtige Vorgänge in den Netzwerken zu erkennen. Alle Alarmsignale werden dann an Sicherheitsexperten geschickt, die solche Vorfälle Tag und Nacht untersuchen und die dann den angegriffenen Partner sofort informieren. Mit der Hilfe von KI können wir die Nebengeräusche ausblenden und die Zeit der Experten priorisieren, damit sie echte Gefahren untersuchen und dann die richtige Reaktionen entwickeln können.

Doch die alleinige Nutzung von Profilen ist nicht die optimalste Lösung, besonders wenn wir die Maschinen konstant unbetreut lernen lassen. Das ermöglicht es den Angreifern zu erkennen, wie die Algorithmen wie nach Verhaltensmustern lernen und dies können die Angreifer sich dann zunutze machen. Deshalb müssen wir darauf hinarbeiten, Modelle höherer kognitiver Funktionen zu erstellen, dieses mit dem Wissen menschlicher Experten zu verbinden und so dafür zu sorgen, dass unsere Systeme sich gegen die eigenen adaptiven Mechaniken wehren können.

Verbindung von Mensch und Maschine

Nur weil in künstliche Intelligenz investiert wird, heißt das natürlich nicht, dass Menschen keinen Platz mehr haben. Menschliche Einblicke und Wissen sind notwendig, um zu erkennen, wie groß die Tragweite einer identifizierten Gefahr ist. Außerdem können nur Menschen einen Plan entwickeln, wie auf diese spezifischen Szenarien reagiert werden muss, sich einen Überblick schaffen und mit der KI zusammen an der perfekten Lösung arbeiten. Außerdem sollten wir nicht vergessen, welche weiteren wertvollen Aspekte in der Automatisierung liegen – zusätzlich zu automatisierten Erkennungssystemen. Die KI hat definitiv die Fähigkeit, menschliche Experten auch an anderen Fronten zu unterstützen und zu entlasten. Zusätzlich können wir künstliche Intelligenz dazu nutzen, Tools zu befeuern, die die Arbeit unserer Experten viel effizienter machen. Anstatt, dass hochtalentierte Menschen ihre Zeit für alltägliche Aufgaben verschwenden, kümmert sich die Maschine darum und so können die Experten wichtigeren und herausfordernderen Aufgaben zuwenden.

Der menschliche Faktor ist essenziell für die Entwicklung brauchbarer KI-Lösungen in der Cybersicherheit. Die künstliche Intelligenz braucht menschliche Interaktion und “Training”, um weiter zu lernen und sich verbessern zu können, Falschmeldungen zu korrigieren und neue Entwicklungen der Cyberkriminellen erkennen zu können. Außerdem kann die KI maßgeschneiderte Algorithmen generieren, die genau auf Ihre Probleme zielen: Mensch und Maschine arbeiten zusammen. Obwohl wir künstliche Intelligenz jetzt schon bei unseren Produktionssystemen nutzen, arbeiten wir gegen fähige Gegner, die ihr Bestes versuchen, nicht entdeckt zu werden. Das verlangt eine ständige Verbesserung unserer Methoden. Und unsere Systeme, die von der KI betrieben werden, müssen sich ebenfalls entwickeln, damit sie besser und schneller in der Entdeckung und dem Verhindern der Gefahren werden.

Wir nennen diesen Ansatz Live Security.

Das Marktpotenzial von Technologien, die kontextbasierte Lösungen bieten und eher proaktiv als reaktiv sind, ist immens. Traditionelle, auf Regeln basierende, Sicherheit, ist nicht mehr gut genug, da Unternehmen ihre Netzwerke nicht nur gegen die bekannten Gefahren, sondern auch gegen unbekannte Gefahren schützen müssen. Wir glauben, dass der beste Ansatz für Unternehmen, die hier Erfolg haben wollen, der Ansatz ist, das Beste aus beiden Welten zu verbinden. Die Verbindung von menschlicher Expertise und lernenden Maschinen sorgt für bessere Ergebnisse, als wenn die Bereiche autark voneinander arbeiten.