Welche Art von künstlicher Intelligenz ist für IT-Sicherheit erforderlich?
13. August 2019Künstliche Intelligenz (KI) oder maschinelles Lernen (ML) sind mittlerweile zu Unterscheidungsmerkmalen geworden, die ein Indikator sein können, ob ein IT-Sicherheitsanbieter mit den neuen Technologien Schritt zu halten vermag. KI kann jedoch ein verwirrender Begriff sein, denn er wird genutzt in Verbindung mit einer ganzen Reihe von Methoden und Technologien.
In der Cyber-Sicherheit gibt es drei gängige Anwendungen, bei denen der Begriff KI auftaucht. Unternehmen können dadurch erkennen, ob eine Sicherheitslösung tatsächlich KI verwendet, und vor allem, ob sie davon auch profitieren.
Als erste Anwendung gilt die Big-Data-Analytik. Dabei werden statistische Analysen des Datenverkehrs von Websites und E-Mails oder anderer Netzwerkdaten verwendet, um Anomalien zu erkennen, die auf Sicherheitsbedrohungen wie Viren hinweisen können. Dieses Verfahren analysiert mehrere Datenformen, wie z.B. in E-Mails die Herkunft der Kommunikation, den eingeschlagenen Weg und den Betreff, um vorherzusagen, ob es sich wahrscheinlich um eine Bedrohung handelt.
Der Prozess ist jedoch recht einfach und identifiziert oft False Positives, wodurch legitimer Datenverkehr als bösartig eingestuft wird. Um dies zu vermeiden, werden die potenziellen Bedrohungen an menschliche Analysten weitergegeben, die wiederum eine Entscheidung fällen. Dies ist keine „richtige“ KI, da die Anwendung letztendlich auf einem hohen Maß an menschlicher Entscheidungsfähigkeit beruht.
Überwachtes maschinelles Lernen
Eine schon eher veritable Form von KI ist das maschinelle Lernen. Hierfür kategorisiert ein Algorithmus die Daten in verschiedene Gruppen. Beim überwachten maschinellen Lernen wird der Algorithmus trainiert, Daten in Kategorien einzuteilen, z.B. indem er sie mit kommentierten Bildern von Katzen und Hunden füttert, damit er lernt, diese in Zukunft zu erkennen. Trainiert mit genügend Daten über die Arten der Kommunikation, die wie Cyberbedrohungen aussehen, können ML-Algorithmen dann lernen, zwischen Bedrohungen und legitimem Datenverkehr zu unterscheiden.
Überwachtes maschinelles Lernen ist wie Big-Data-Analytik mit Doping. Es kann genaue Entscheidungen viel schneller treffen als der Mensch. Da die heutigen Bedrohungen aus oft Hunderten von Elementen bestehen, gilt: Je mehr sich identifizieren und korrelieren lässt, desto besser ist die Qualität der Erkennung.
Warum ist das so wichtig? Sicherheitspraktiker werden eine Aktion nur dann durchführen, wenn sie das Vertrauen haben, dass sie das Problem richtig erkannt haben. Die Angst, etwas falsch zu machen, bedeutet, dass in vielen Fällen ein Mensch die endgültige Entscheidung treffen muss. Die Fähigkeit, ML zu nutzen, um Cyberbedrohungen möglichst zuverlässig zu identifizieren, ist entscheidend. Dies gilt insbesondere, wenn automatisierte Maßnahmen eingesetzt werden sollen, ohne dass die menschliche Validierung den Prozess verlangsamt.
Unüberwachtes maschinelles Lernen
Eine noch reinere Form der KI ist das unüberwachte Lernen. Hier analysiert ein Algorithmus Daten und findet seine eigenen Erkenntnisse, ohne trainiert zu werden. Zum Beispiel, wenn Bilder online betrachtet werden, wird er sich selbst beibringen, dass einige Bilder Kühe und andere Zebras zeigen. Dies kann jedoch zeitaufwändig sein. Wenn man einen unüberwachten Algorithmus des maschinellen Lernens auf Sicherheitsdaten ansetzt, kann es Jahre dauern, bis man zu einem lohnenden Ergebnis kommt. Allerdings könnten die Erkenntnisse, die daraus hervorgehen, wie z.B. die Identifizierung bestimmter Codezeilen, die mit Viren oder Angriffen verbunden sind, wertvoll sein.
Es gibt einen anderen Weg, um über KI nachzudenken, einen, der vielleicht leichter zu merken ist. Eine Analogie kann – so Palo Alto Networks – mit dem Kochen hergestellt werden. Big-Data-Analytik ist wie das Zubereiten von Bohnen auf Toast. Es gibt nur zwei einfache Zutaten, aber wir müssen sicherstellen, dass wir das beste Verhältnis von Bohnen zu Toast haben. Die Datenanalyse sucht nach Beispielen, bei denen das Gleichgewicht nicht stimmt und markiert die Anomalie, damit sie von einem menschlichen Koch behoben werden kann.
Das überwachte maschinelle Lernen ermöglicht es, die Zutatenliste zu erweitern. Es ist wie ein gutes Curry mit vielen Permutationen von Gewürzen. Je mehr Zutaten es gibt, desto höher ist die Anzahl der Permutationen. Überwachtes maschinelles Lernen macht das, was der durchschnittliche Koch macht. Er führt Tausende von Experimenten durch, um die beste Mischung aus Chili und Limette zu erhalten, und weiß dann, was gut schmeckt.
Viele Iterationen sind nötig
Unüberwachtes Lernen wird nicht durch bestehende Wahrnehmungen eingeschränkt, und das ist dessen Stärke, aber gleichzeitig kann es viele Iterationen dauern, bis wir ein Rezept entwickeln, das wir verwenden wollen. Die Ergebnisse können viel Zeit in Anspruch nehmen und sehr unterschiedlich ausfallen. Das Positive ist, dass man etwas Erstaunliches finden könnte, an das unser menschliches Gehirn einfach nicht gedacht hätte.
Unternehmen sollten daher prüfen, ob eine KI-basierte Cyber-Sicherheitslösung ihren Geschäftsanforderungen entspricht. Sie müssen berücksichtigen, wie viele Daten sie produzieren und wie sensibel und wertvoll diese sind. Vielleicht brauchen sie nur Bohnen auf Toast, vielleicht wollen Sie ein Curry oder gar ein ganz neues Geschmackserlebnis. KI kann ein völlig neues Niveau an Cyber-Sicherheit bieten, um den Betrieb zu rationalisieren. Die Herausforderung besteht darin, zu entscheiden, welches Rezept für das eigene Unternehmen am besten geeignet ist. (rhh)