Welche Art von künstlicher Intelligenz ist für IT-Sicherheit erforderlich?

Palo Alto Networks gibt einen aktuellen Überblick über Security-relevante Aspekte von KI. [...]

Überwachtes maschinelles Lernen ist wie Big-Data-Analytik mit Doping. (c) jackfrog - Fotolia
Überwachtes maschinelles Lernen ist wie Big-Data-Analytik mit Doping. (c) jackfrog - Fotolia

Künstliche Intelligenz (KI) oder maschinelles Lernen (ML) sind mittlerweile zu Unterscheidungsmerkmalen geworden, die ein Indikator sein können, ob ein Sicherheitsanbieter mit den neuen Technologien Schritt zu halten vermag. KI kann jedoch ein verwirrender Begriff sein, denn er wird genutzt in Verbindung mit einer ganzen Reihe von Methoden und Technologien. In der Cybersicherheit gibt es drei gängige Anwendungen, bei denen der Begriff KI auftaucht. Unternehmen können dadurch erkennen, ob eine Sicherheitslösung tatsächlich KI verwendet, und vor allem, ob sie davon auch profitieren. Palo Alto Networks gibt einen praxistauglichen Überblick.

Big-Data-Analytik

Die erste Anwendung ist die Big-Data-Analytik. Dabei werden statistische Analysen des Datenverkehrs von Websites und E-Mails oder anderer Netzwerkdaten verwendet, um Anomalien zu erkennen, die auf Sicherheitsbedrohungen wie Viren hinweisen können. Dieses Verfahren analysiert mehrere Datenformen, wie z.B. in E-Mails die Herkunft der Kommunikation, den eingeschlagenen Weg und den Betreff, um vorherzusagen, ob es sich wahrscheinlich um eine Bedrohung handelt.

Der Prozess ist jedoch recht einfach und identifiziert oft False Positives, wodurch legitimer Datenverkehr als bösartig eingestuft wird. Um dies zu vermeiden, werden die potenziellen Bedrohungen an menschliche Analysten weitergegeben, die wiederum eine Entscheidung fällen. Dies ist keine „richtige“ KI, da die Anwendung letztendlich auf einem hohen Maß an menschlicher Entscheidungsfähigkeit beruht.

Überwachtes maschinelles Lernen

Eine schon eher veritable Form von KI ist das maschinelle Lernen. Hierfür kategorisiert ein Algorithmus die Daten in verschiedene Gruppen. Beim überwachten maschinellen Lernen wird der Algorithmus trainiert, Daten in Kategorien einzuteilen, z.B. indem er sie mit kommentierten Bildern von Katzen und Hunden füttert, damit er lernt, diese in Zukunft zu erkennen. Trainiert mit genügend Daten über die Arten der Kommunikation, die wie Cyberbedrohungen aussehen, können ML-Algorithmen dann lernen, zwischen Bedrohungen und legitimem Datenverkehr zu unterscheiden.

Überwachtes maschinelles Lernen ist wie Big-Data-Analytik mit Doping. Es kann genaue Entscheidungen viel schneller treffen als der Mensch. Da die heutigen Bedrohungen aus oft Hunderten von Elementen bestehen, gilt: Je mehr sich identifizieren und korrelieren lässt, desto besser ist die Qualität der Erkennung.

Warum ist das so wichtig? Sicherheitspraktiker werden eine Aktion nur dann durchführen, wenn sie das Vertrauen haben, dass sie das Problem richtig erkannt haben. Die Angst, etwas falsch zu machen, bedeutet, dass in vielen Fällen ein Mensch die endgültige Entscheidung treffen muss. Die Fähigkeit, ML zu nutzen, um Cyberbedrohungen möglichst zuverlässig zu identifizieren, ist entscheidend. Dies gilt insbesondere, wenn automatisierte Maßnahmen eingesetzt werden sollen, ohne dass die menschliche Validierung den Prozess verlangsamt.

Unüberwachtes maschinelles Lernen

Eine noch reinere Form der KI ist das unüberwachte Lernen. Hier analysiert ein Algorithmus Daten und findet seine eigenen Erkenntnisse, ohne trainiert zu werden. Zum Beispiel, wenn Bilder online betrachtet werden, wird er sich selbst beibringen, dass einige Bilder Kühe und andere Zebras zeigen. Dies kann jedoch zeitaufwändig sein. Wenn man einen unüberwachten Algorithmus des maschinellen Lernens auf Sicherheitsdaten ansetzt, kann es Jahre dauern, bis man zu einem lohnenden Ergebnis kommt. Allerdings könnten die Erkenntnisse, die daraus hervorgehen, wie z.B. die Identifizierung bestimmter Codezeilen, die mit Viren oder Angriffen verbunden sind, wertvoll sein.

Eine einfache Analogie

Es gibt einen anderen Weg, um über KI nachzudenken, einen, der vielleicht leichter zu merken ist. Eine Analogie kann – so Palo Alto Networks – mit dem Kochen hergestellt werden. Big-Data-Analytik ist wie das Zubereiten von Bohnen auf Toast. Es gibt nur zwei einfache Zutaten, aber wir müssen sicherstellen, dass wir das beste Verhältnis von Bohnen zu Toast haben. Die Datenanalyse sucht nach Beispielen, bei denen das Gleichgewicht nicht stimmt und markiert die Anomalie, damit sie von einem menschlichen Koch behoben werden kann.

Das überwachte maschinelle Lernen ermöglicht es uns, die Zutatenliste zu erweitern. Es ist wie ein gutes Curry mit vielen Permutationen von Gewürzen. Je mehr Zutaten es gibt, desto höher ist die Anzahl der Permutationen. Überwachtes maschinelles Lernen macht das, was der durchschnittliche Koch macht. Er führt Tausende von Experimenten durch, um die beste Mischung aus Chili und Limette zu erhalten, und weiß dann, was gut schmeckt.

Unüberwachtes maschinelles Lernen kann inzwischen mit Rezepten des britischen Experimentalkochs Heston Blumenthal verglichen werden. Es gibt keine Begrenzung für die Inhaltsstoffe und Methoden, die er verwendet. Er hat keine Vorurteile darüber, was akzeptabler Geschmack ist, denn wer bei klarem Verstand würde erwägen, Kies als Kochzutat zu verwenden? Heston schlug kürzlich vor, der Suppe Kieselsteine hinzuzufügen, um sie zu verdicken. Es gibt wenig Einigkeit unter anderen Köchen oder Gästen darüber, ob dies eine gute Idee ist. Diese Unsicherheit würde bei der Erkennung von Bedrohungen, bei denen wir eine zuverlässige Antwort benötigen, nicht helfen.

Unüberwachtes Lernen wird nicht durch bestehende Wahrnehmungen eingeschränkt, und das ist dessen Stärke, aber gleichzeitig kann es viele Iterationen dauern, bis wir ein Rezept entwickeln, das wir verwenden wollen. Die Ergebnisse können viel Zeit in Anspruch nehmen und sehr unterschiedlich ausfallen. Das Positive ist, dass man etwas Erstaunliches finden könnte, an das unser menschliches Gehirn einfach nicht gedacht hätte.

Unternehmen sollten nach Meinung von Palo Alto Networks prüfen, ob eine KI-Cybersicherheitslösung ihren Geschäftsanforderungen entspricht. Sie müssen berücksichtigen, wie viele Daten sie produzieren und wie sensibel und wertvoll diese sind. Vielleicht brauchen sie nur Bohnen auf Toast, vielleicht wollen Sie ein Curry oder gar ein ganz neues Geschmackserlebnis. KI kann ein völlig neues Niveau an Cybersicherheit bieten, um den Betrieb zu rationalisieren. Die Herausforderung besteht darin, zu entscheiden, welches Rezept für das eigene Unternehmen am besten geeignet ist.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*