CRN-Interview
»Irgendwann wird der Mensch die Entscheidung der KI überlassen«
Im Gespräch erklärt Michael Veit, Technology Evangelist bei Sophos, in welchen Bereichen sicherheitsrelevante Entscheidungen bereits durch KI getroffen werden und wo der Mensch entscheidet. Seine Prognose: Mit steigendem Vertrauen werde man KI häufiger Abwehrmaßnahmen selbständig durchführen lassen.
CRN: Um künstliche Intelligenz und Machine Learning ist in den vergangenen Monaten ein regelrechter Hype entstanden, auch im Security-Business. Geht IT-Sicherheit heute noch ohne KI/ML?
Michael Veit: Nein, um aktuellen Angriffen effektiv zu begegnen, müssen IT-Sicherheitslösungen immer umfangreicher KI/ML einsetzen.
CRN: In welchen Bereichen der Security ist der Einsatz von KI/ML sinnvoll, wie kann sie zu einem höheren Sicherheitsniveau beitragen?
Veit: KI/ML muss an mehreren Verteidigungslinien eingesetzt werden. Bei der Kontrolle der Einfallswege für Schadsoftware erfolgt die Analyse von unbekannten Programmen, Dokumenten und URLs heute mittels Machine Learning und Deep Learning. Da Angreifer aber immer wieder erfolgreich einzelne dieser Schutzschichten überwinden, setzt man heute KI/ML dazu ein, Anomalien im Verhalten von Rechnern und Benutzern sowie im Netzwerkverkehr zu identifizieren und damit mögliche Hackeraktivitäten im Firmennetzwerk zu erkennen.
CRN: Sollte man Entscheidungen, noch dazu sicherheitsrelevante, tatsächlich einer Maschine überlassen?
Veit: Das kommt auf den Kontext an. Wenn das Deep-Learning-Modell in einer NextGen Endpoint Protection mit hoher Wahrscheinlichkeit eine bisher unbekannte Malware in einem Word-Dokument oder einem heruntergeladenen Programm erkennt, dann wird diese bereits heute automatisch gestoppt und in Quarantäne genommen. Wenn die KI in einer EDR-Lösung dagegen verdächtige Aktionen einer unbekannten Software oder ungewöhnliches Login-Verhalten von Benutzern erkennt, dann geht heute in den meisten Fällen nur ein rotes Lämpchen an und ein menschlicher Analyst schaut sich diesen konkreten Fall an und entscheidet, ob weitergehende Aktionen notwendig sind.
CRN: Ist KI/ML eine Ergänzung zu bestehenden Sicherheitsmechanismen und Sicherheitstechnologien oder hat sie auch das Zeug, etablierte Konzepte abzulösen?
Veit: KI/ML eignen sich sehr gut, um in großen Datenmengen nach Regelmäßigkeiten und Anomalien zu suchen – eine Aufgabe, die Menschen heute gar nicht leisten können. Menschen können aber sehr gut und schnell den Kontext von Ereignissen erfassen und die von der KI/ML als auffällig markierten Ereignisse bewerten. Insofern ergänzt die KI/ML bestehende Konzepte und ermöglicht zudem die bessere Erkennung von Ereignissen wie Hackeraktivität, was mit traditionellen Loganalysetechniken nicht in der Form möglich war. Der Mensch kann dann schnell entscheiden, ob an einer Stelle tiefer eingestiegen werden muss.
CRN: Birgt der Einsatz von KI/ML auch Risiken? Wo liegen die Grenzen der neuen Technologien?
Veit: In der nahen Zukunft werden Unternehmen der KI in den meisten Anwendungsszenarien noch nicht soweit vertrauen, dass die KI aktiv Maßnahmen durchführen darf wie die Isolation von Rechnern und das Sperren von Benutzern – zumindest wenn nur schwache Indizien für einen Hackerangriff vorliegen. Je häufiger die von der KI/ML als verdächtig eingestuften Ereignisse jedoch zutreffen, desto stärker steigt das Vertrauen in die KI/ML. Irgendwann ist dann der Zustand erreicht, dass der Mensch der KI die Entscheidung überlässt, bei Gefahr im Verzug auch Maßnahmen wie die Eindämmung einer Bedrohung selbständig durchzuführen.
CRN: Welches Potenzial hat KI/ML im Security-Bereich, wo wird die Entwicklung in den kommenden Monaten und Jahren Ihrer Einschätzung nach noch hingehen?
Veit: KI/ML ermöglichen überhaupt erst die Verarbeitung der riesigen Mengen an Ereignisdaten, die in einem Firmennetzwerk anfallen. Je mehr Arten von Ereignissen wie Benutzerverhalten, Netzwerkverkehr und Aktivitäten auf Endpoints und Mobilgeräten in einem Datenmeer gesammelt und per KI analysiert und korreliert werden können, desto mehr können KI/ML zur Erkennung von Angriffen eingesetzt werden, die bei herkömmlicher Loganalyse nicht erkannt würden.
Wir werden in den kommenden Jahren immer bessere KI-unterstützte Werkzeuge sehen, die herstellerübergreifend solche Loganalysen und -korrelationen durchführen. Der Administrator wird von Routinetätigkeiten entlastet und muss nur noch die von der KI vorsortierten Verdachtsfälle mit menschlicher Intelligenz bewerten und entscheiden, was zu tun ist.
CRN: Auch Cyberkriminelle nutzen neue Technologien – wie setzen sie KI/ML ein?
Veit: Stand heute setzen Cyberkriminelle ML vor allem für die Erstellung von Malware ein, die von den Scan-Engines der Endpoint-Security-Hersteller nicht erkannt wird – das bezieht auch die Scan-Engines ein, die selbst mit ML/Deep Learning arbeiten. Dadurch gelingt es den Cyberkriminellen, die Schutzschicht »Dateiscan« am Gateway oder Endpoint zu überwinden. Sobald die initiale Infektion eines Unternehmensrechners stattgefunden hat, schalten sich heute meist menschliche Angreifer auf die Systeme und versuchen, mit menschlicher Intelligenz und krimineller Energie, sich im Netzwerk auszubreiten.
Wichtig ist aber: Sobald Angreifer wissen, dass KI/ML zur Erkennung ihrer Aktivitäten per Anomalie-Erkennung eingesetzt wird, versuchen sie natürlich, diese KI wiederum zu überlisten, indem sie Aktionen etwa über einen langen Zeitraum verteilen, um weniger stark aufzufallen. Wir haben hier also wie gehabt ein ständiges Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern – wobei die KI/ML das Pendel zukünftig deutlich zugunsten der Verteidiger ausschlagen lässt.
Lesen Sie mehr zum Thema
