SICHERHEITSTECHNIK 11 DSD 3 | 2022 Director Professional Services bei ForeNova (Bild: ForeNova) Vieraugenprinzip für die Cyberabwehr KI und Sicherheitsexperten ergänzen sich für eine Analyse des Netzwerkdatenverkehrs. Von Paul Smit Paul Smit Es gibt zwei Arten von Cyberangriffen: automatisierte opportunistische Versuche, in ein Netzwerk einzudringen, und gezielte Advanced-Persistent-Threat- (APT-)Attacken. Erstere sind in der Mehrzahl und Künstliche Intelligenz (KI) kann einen Großteil automatisiert abblocken. Hinter einer APT stehen aber oft Menschen. Wer solche immer häufiger vorkommenden Angriffe auf Netzwerkebene verteidigen will, benötigt sowohl KI als auch menschliche Intelligenz. Am frühesten zeigen sich die Hacker durch die Spuren ihrer Malware im Netzwerk. Diese anomalen Muster im Datenverkehr gehen in der Menge an Informationen aber leicht verloren. Auf sich allein gestellt ist der menschliche IT-Verantwortliche überfordert, wenn er sie erkennen soll. Erkennen ist das eine … Künstliche Intelligenz leistet einen wichtigen Abwehrbeitrag, erkennt Anomalien im Datenverkehr in Echtzeit anhand der Metadaten und schlägt dann Alarm, um Abwehrreaktionen auslösen zu lassen. KI und eine automatisierte Cyberabwehr können 90 Prozent der Sicherheitsvorfälle auf Tier-1-Level automatisch erkennen und die Abwehr initiieren – so das Urteil der Experten von Splunk. Es bleibt die Frage: Was ist mit den verbleibenden zehn Prozent? Da hinter komplexen Angriffen oft noch menschliche Täter stehen, sind für eine zukunftssichere Abwehr sowohl die menschliche Logik als auch das menschliche Urteilsvermögen bei der Analyse von Informationen essenziell. Sechsfacher Mehrwert menschlicher IT-Sicherheitsanalysten Keine Cyberabwehr kommt mehr ohne KI aus. Aber die menschlichen Beobachter bieten immer noch ein wichtiges Plus: 1. AI und menschliche Intelligenz ergänzen sich: Eine mit Machine Learning (ML) und Threat Intelligence optimierte KI kann große Mengen an Informationen schnell und ohne Fehler analysieren. Der IT-Sicherheitsexperte baut darauf auf und interpretiert die Muster des Datenverkehrs. Zugleich leitet er anhand erprobter Abläufe die Abwehr. Er ist zudem durch seine Kenntnis des Unternehmens und der IT ein wichtiger Coach der AI. Hier beschleunigt er die Definition normaler und damit legitimer Datenübertragungen – unter anderem durch das Taggen IT-sicherheitskritischer Systeme. Er berücksichtigt zusätzlich solche Informationen, die im Netzverkehr nicht sichtbar sind: Wenn etwa Geräte vorhanden, aber nicht zentral verwaltet sind, oder wenn ein Unternehmen einen neuen Sitz aufbaut, was Anfragen mit bis dahin ungewöhnlichen IP-Adressen erklärt. Oder wenn es neue Technologien, Anwendungen und damit Systeme implementiert. 2. Informationen im Kontext bewerten: Künstliche Intelligenz ist ein statistischer Ansatz. Da es für das Erkennen, die Abwehr und die Prävention von Gefahren Zusammenhänge braucht, die über Einzeldaten hinausgehen, spielt der Mensch und seine Urteilsfähigkeit eine wichtige Rolle. Konkretes Unternehmenswissen hilft zum Beispiel dann, wenn ein von einem Unternehmen beauftragter IT-Dienstleister plötzlich in einem Subnetz agiert, für das er überhaupt keinen Auftrag hat. Selbst wenn das Datenverkehrsmuster zunächst unauffällig erscheint, so weist das Überschreiten der Kompetenzen eventuell auf einen kompromittierten ITDienstleister hin und ist zu überprüfen. 3. Die nächsten Schritte des Hackers vorwegnehmen: Komplexe APT sind immer noch Menschenwerk. Hinter Phishing-Angriffen auf wichtige Personen im Unternehmen stehen oft keine Spambots, sondern menschliche Social-Engineering-Profis, die durch einen gezielt gesendeten Mail-An-
RkJQdWJsaXNoZXIy Mjc4MQ==