KI
Worauf man bei Sicherheitsprodukten mit maschinellem Lernen achten sollte
Den richtigen Algorithmus für das individuelle Problem finden
Das Ziel von Cybersicherheitsanbietern ist es, Sicherheitsexperten in Unternehmen dabei zu helfen, gefährliche Aktivitäten in ihren Netzwerken zu erkennen. Bei genauerem Hinsehen wird deutlich, dass viele Anbieter ihre Aufmerksamkeit jedoch auf Vorgänge und Themen lenken, die harmlos oder irrelevant sind. Besonders schwer ist es für Unternehmen die Wirksamkeit von Sicherheitslösungen zu bewerten, die auf maschinellem Lernen basieren.
Vectra geht daher der Frage nach: Worauf sollte ein Sicherheitsexperte bei Sicherheitsprodukten mit maschinellem Lernen achten?
- Verwendet dieses Sicherheitsprodukt maschinelles Lernen und KI, um Vorhersagen zu erkennen, zu clustern, zu klassifizieren und zu treffen, die von Menschen allein nicht erkannt, geclustert, klassifiziert oder vorhergesagt werden könnten?
- Machen das maschinelle Lernen und die KI in einem Sicherheitsprodukt Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Intervention und Analyse reduzieren? Oder sind es Vorhersagen und Klassifikationen, die den Umfang der erforderlichen menschlichen Eingriffe und Analysen eher erhöhen?
Dies erfordert eine angemessene Bewertung und Validierung durch potenzielle Kunden. Im Allgemeinen werden diese Kriterien nur erreicht, wenn das maschinelle Lernen und die KI, die in ein Produkt einfließen, für die vorliegenden Probleme konzipiert sind. Wenn ein Sicherheitsprodukt nicht richtig funktioniert, könnte es die Aufmerksamkeit eines Sicherheitsexperten von den relevanten und anhaltenden Bedrohungen in einem Netzwerk ablenken und ihn stattdessen damit beschäftigen, unzählige irrelevante und nicht bösartige Aktivitäten zu durchsuchen.
„Versucht ein Sicherheitsprodukt, alle Probleme mit einem einzigen, monolithischen Algorithmus oder Ansatz zu lösen? Dies führt in der Regel zu vielen Erkennungen, die es wert sind, weiter untersucht zu werden“, erläutert Andreas Müller, Director DACH bei Vectra AI . „Es ist unwahrscheinlich, dass es einen Kontext oder Informationen darüber liefert, warum diese Aktivität überhaupt gekennzeichnet wurde.“
Wenn ein Produkt beispielsweise nur eine Anomalie-Erkennung mit unüberwachtem maschinellen Lernen durchführt, wird alles, was außerhalb des Bereichs der normalen Aktivität liegt, als bösartig markiert. Vielleicht wurde eine Verbindung über einen Port hergestellt, der nicht häufig beobachtet wurde, oder vielleicht hat sich ein Benutzer zu einer unregelmäßigen Tageszeit angemeldet. Ist eine dieser beiden Entdeckungen notwendigerweise bösartig? Nein. Wird Zeit verschwendet, wenn das Sicherheitsprodukt glaubt, dass etwas Anomales bösartig ist? Auf jeden Fall.
Ein anderer Aspekt, auf den Unternehmen achten sollten, ist die Frage, von wem die Sicherheitsprodukte entwickelt wurden. Im Optimalfall wären dies Teams, die über das Fachwissen und das Verständnis der Algorithmen, die sie verwenden, und über das Wissen zu den Arten von Problemen verfügen, für die diese Algorithmen am besten geeignet sind. Die Art der Erkennung beruht beispielsweise auf Eingaben, die von Natur aus temporär oder sequentiell sind. Eine Erkennung böswilliger Aktivitäten ginge somit darauf zurück, das viele Schritte in der Vergangenheit aufgetreten sind. Verwendet die Lösung dann Bayes’sche Methoden, die nicht von der zeitlichen Abfolge abhängen? Oder kommen stattdessen Deep-Learning-Methoden wie rekurrierende neuronale Netze (RNN) und das Long Short-Term Memory (LSTM) zum Einsatz? Dann stellt sich die Frage nach dem Fachwissen, wie und wann sich diese Modelle richtig ausführen lassen.
Im ersteren Fall erkennt das Sicherheitsprodukt am Ende bestimmte Arten von Aktivitäten nicht mehr. Und im zweiten Fall kann die Leistungsfähigkeit von Techniken wie Deep-Learning-Algorithmen in einem Team verloren gehen, das nicht über die Erfahrung verfügt, sie zu verstehen.
„Sicherheitslösungen, die auf maschinellem Lernen basieren, bieten zahlreiche Vorteile gegenüber klassischen Sicherheitskonzepten. Sie erfordern aber auch ein Umdenken bei den IT-Teams, die mit ihnen arbeiten“, fasst Andreas Müller abschließend zusammen. „Deshlab ist es in der Evaluierungsphase sehr wichtig, dass Unternehmen sich umfassend informieren und beraten lassen, welche Lösung zu ihren Anforderungen, der bestehenden Infrastruktur und den Fähigkeiten des IT-Teams passt.“