KI und Secuity Operation Center

Ersetzt künstliche Intelligenz bald das Security Operations Center?

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Ersetzt künstliche Intelligenz bald das Security Operations Center?

Experten sind skeptisch

Künstliche Intelligenz (KI) ist nicht mehr nur eine Vision. KI, maschinelles Lernen (ML), Deep Learning (DL) und andere Formen algorithmisch basierter, automatisierter Prozesse sind heute Mainstream und auf dem Weg zu einer tiefgehenden Integration in ein breites Spektrum von Front-Office-, Back-Office- und In-the-Field-Anwendungen. Ebenso gibt es viele gute Beispiele dafür, wie KI eingesetzt wird, um potenzielle Cybersicherheitsbedrohungen zu erkennen und eine Infektion in Unternehmensumgebungen zu verhindern. Palo Alto Networks analysiert, was dies für die Zukunft der Cybersicherheit bedeuten kann.

In vielen Unternehmen werden bereits Überlegungen angestellt, ob sich durch KI bald das Security Operations Center (SOC) vollständig ersetzen lässt. Schließlich geht es um Kosten für den Betrieb des SOC rund um die Uhr und es sind immer mehr Ressourcen, also Fachkräfte, Technologie und Finanzmittel nötig, um neue und vielfältigere Sicherheitsbedrohungen zu bekämpfen. Trotz aller Kostenaspekte sollten sich Unternehmen nicht nur auf Technologie zum Schutz ihres Unternehmens verlassen, sondern stattdessen evaluieren, wie KI zur Ergänzung ihres SOC beitragen kann. Warum ein SOC nicht durch KI ersetzt werden kann, macht eine Begebenheit aus der Profiliga des Schachsports deutlich.

Der unorthodoxe Zug von Deep Blue gegen Kasparow

Es ist bekannt, dass Schachgroßmeister Garry Kasparov 1997 gegen die berühmte KI-Maschine Deep Blue von IBM gespielt und verloren hat. Was viele vielleicht nicht wissen, ist, dass Kasparov ein Schlüsselspiel gewann, als Deep Blue einen damals als ungewöhnlich empfundenen Zug machte und Kasparov bis zu dem Punkt verwirrte, an dem er seinen Rhythmus und letztlich das Spiel verlor. Der unorthodoxe Zug von Deep Blue war jedoch kein berechneter Schritt, um den Schachmeister zu überlisten. Stattdessen wurde später entdeckt, dass Deep Blue einen Fehler und dadurch einen zufälligen, nicht akribisch durchdachten Zug machte.

Während der Sieg von Deep Blue als Meilenstein in der Entwicklung der KI gefeiert wurde, sollte der „Bug“, der das Ergebnis des Schlüsselspiels beeinflusste, ein warnender Aspekt sein, nicht alle Eier in den KI-Korb zu legen. Tatsächlich muss man manchmal außerhalb des Rahmens denken und handeln und nicht nach vordefinierten Regeln, um das Spiel zu gewinnen. Dies gilt insbesondere für die Cybersicherheit. Mit anderen Worten, der Hype um KI und maschinelles Lernen sollte nicht so interpretiert werden, dass die Technologie bereit ist, SOCs und die engagierten, einfallsreichen und kritisch agierenden Sicherheitstechniker und -analysten zu ersetzen.

Wie profitiert die Cybersicherheit von KI?

KI und ML haben die Fähigkeit bewiesen, viele Aufgaben zu automatisieren, die zuvor entweder von SOC-Mitarbeitern oder Werkzeugen der früheren Generation durchgeführt wurden. KI bietet zudem eine großartige Möglichkeit, viele Entscheidungsprozesse zum Thema Cybersicherheit zu automatisieren. KI wird jedoch immer in ihrer Fähigkeit eingeschränkt sein, menschliche Intelligenz in einem Bereich zu ersetzen, der sich so schnell und dramatisch verändert wie die Identifizierung und das Management von Cybersicherheitsbedrohungen. Wir wissen oft nicht, wie die Bedrohung aussieht und welche Auswirkungen sie haben kann, bis sie tatsächlich erkannt wird.

Daher ist es oft nicht möglich, eine Maschine im Voraus darauf zu trainieren, völlig unbekannte Muster zu erkennen. Maschinen, ebenso wie Menschen, haben es extrem schwierig, das relevante Signal aus dem Rauschen, die wirklichen Bedrohungen aus den False Positives herauszufiltern. Warum gibt es trotz zunehmendem Einsatz von automatisierten und algorithmischen Tools noch so viele nicht erkannte Sicherheitsvorfälle?

Die Großmeister der Cyber Security konkurrieren in ihrer Disziplin und suchen nach Möglichkeiten, den Bedrohungen voraus zu sein, indem sie den massiven und ständig wachsenden Datenberg der Threat-Intelligence-Dienste und anderer Überwachungsmethoden nutzen. Die Analyse aktueller Vorfälle, die Teilnahme an Diskussionsrunden zur Cybersicherheit, die Einrichtung von Honeypots oder die Herstellung von Red-Team-Übungen helfen hier und können zur Trainingsgrundlage für eine KI-gesteuerte Verteidigung werden. Das Einlernen der Maschinen mit diesen Daten ist jedoch sehr schwierig und bei weitem nicht lückenlos.

Einlernen der Maschinen

Was Maschinen natürlich gut können, ist das Erkennen von Mustern, die auf Input und Lernen von menschlichen Quellen basieren. Man kann einer Maschine beibringen, wie man einen Stuhl erkennt, indem man ihm Milliarden von Bildern in verschiedenen Größen, Formen und Formaten zeigt. Aber wie reagiert das maschinelle Lernen bei einer völlig anderen oder neuen Form, wie dem ergonomischen Sitzball oder einem Spaßprodukt wie ein Stuhl in Form eines Tieres oder eines Sportgeräts? In diesen Fällen wird das menschliche Gehirn die Verbindung zwischen diesem nie zuvor gesehenen Format und der Funktionalität eines Stuhls herstellen. Die Maschine hingegen wird nicht ohne weiteres verstehen, dass man darauf sitzen kann, es sei denn, es sieht aus wie ein Stuhl.

„Wir brauchen daher immer noch unsere cleveren SOC-Analysten, um den Algorithmen beizubringen, wie man erkennt, dass es sich um einen Stuhl handelt. Dies bedeutet, dem KI-System beizubringen, ein neues Stück Malware als Bedrohung zu erkennen, die es darstellt“, so Sergej Epp, Chief Security Officer, Central European Region, bei Palo Alto Networks.

KI und ML werden nach Meinung von Palo Alto Networks das SOC nicht ersetzen können, aber eine immer wichtigere Rolle bei der Automatisierung und erheblichen Beschleunigung von Entscheidungsprozessen spielen, z.B. in folgenden Bereichen:

  • Netzwerk-Traffic-Analyse
  • Datei- oder Mail-Klassifizierung
  • Endgeräteschutz
  • Analyse des Nutzerverhaltens
  • Quellcode-Analyse
  • Analyse von Anwendungs- oder Datenbankanfragen
  • Prozessverhalten (z.B. Kreditkartenbetrug oder andere Formen von Identitätsdiebstahl)

Sind Unternehmen KI-bereit?

Bevor Unternehmen auf KI setzen, wird oft vergessen, sowohl die Cybersicherheitstechnologien als auch das SOC selbst zu verändern. Der Erfolg von KI wird durch den Automatisierungs- und Integrationsgrad der Sicherheitskontrollen bestimmt. Es gibt Technologien und Tools, die entwickelt wurden, um bösartigen Netzwerkverkehr zu blockieren, eine Maschine unter Quarantäne zu stellen, ein Problem zu beheben oder einen Patch durchzuführen. Diese Technologien und Tools müssen zuvor verfügbar und implementiert sein – als automatisierte Anwendungsprogrammierschnittstelle im gesamten Unternehmen. Der Vorteil schneller Entscheidungen durch KI wäre ansonsten nutzlos, wenn man nicht automatisiert handeln kann.

KI wird einen bedeutenden Einfluss auf die Arbeit von SOC-Analysten haben, aber nicht als Jobkiller, wie es aufgebauschte Medienberichte zu glauben machen versuchen. Tatsächlich wird KI die Rolle der SOC-Analysten bereichern, indem diese von Routineaufgaben entlastet werden und zu Datenwissenschaftlern und Sicherheitsarchitekten avancieren. In diesen Funktionen können sie sich auf Wichtigeres konzentrieren: auf die architektonische Anpassung der operativen Kernprozesse, die Sicherstellung, dass die richtigen Daten gesammelt werden und von höchster Qualität sind, und auf innovative „Jagdtechniken“ sowie kreative neue Wege, um Bedrohungen zu erkennen, die für einzelne Branchen, Unternehmen oder Abteilungen spezifisch sind.

KI wird die Fähigkeiten des SOC-Teams ergänzen und erweitern, sie wird Bedrohungsrisiken reduzieren, die Rolle der SOC-Fachkräfte verändern, aber das SOC nicht ersetzen. Daher müssen sich Führungskräfte auf die Fähigkeit der KI konzentrieren, Entscheidungsprozesse zu automatisieren, wenn die Maschinen unter der Leitung des SOC-Personals arbeiten. Hierbei gilt es einen umfassenden Einblick in Bedrohungen, den Zugang zu allen relevanten Daten und die Instrumentierung der Kontrollmaßnahmen zu gewährleisten.

„Nicht zu vergessen ist, dass immer wieder neue Akteure auftauchen, die nicht nach den Regeln spielen, die die Maschinen gelernt haben und beherrschen. Unternehmen sollten daher besser ihre eigenen Großmeister für Cybersicherheit zur Hand haben, um sicherzustellen, dass sie die Angreifer bei der Erfindung neuer Regeln behindern können“, fasst Sergej Epp von Palo Alto Networks abschließend.