Forschungsprojekt “Blackfin”: Cyberangriffe mit künstlicher Intelligenz bekämpfen

Für die Teams in Security Operations Centern (SOCs) ist die Menge und die Vielfalt an Warnmeldungen kaum noch zu handhaben.


Foto: Gorodenkoff – shutterstock.com

Mehr Tools und mehr IT-Security-Experten waren lange Zeit die Antwort von Unternehmen und IT-Security-Branche, um die steigende Zahl an Cyberangriffen in den Griff zu bekommen. Doch immer mehr Unternehmen sind damit überfordert. Ihre IT-Infrastruktur ist dank der Cloud immer verteilter und komplexer geworden. Mehr Knotenpunkte in einem Netz bedeuten allerdings mehr potenzielle Einfallstore für Hacker und mehr Möglichkeiten, diese Punkte anzugreifen. Speziell für die Teams in Security Operations Centern (SOCs) wird es aus diesem Grund langsam unübersichtlich: Die schiere Menge und die Vielfalt an Warnmeldungen ist für sie kaum noch zu handhaben.

Viele weichen daher auf ein SOC-as-a-Service aus, wie es inzwischen von vielen Dienstleistern angeboten wird. Aber auch da ist viel Arbeit erforderlich: Ein reines Outsourcing bringt kaum Kostenvorteile. Wer dagegen standardisierte Dienstleistungen nutzen will, muss dafür sorgen, dass die eigene Infrastruktur und das Angebot des Dienstleisters zusammenpassen. Das überfordert viele – oder stellt sie nicht zufrieden, weil Besonderheiten des eigenen Geschäftsbetriebs nicht berücksichtigt werden. Und nur mit der Erkennung ist es nicht getan: Anschließend müssen die erforderlichen Abwehrmaßnahmen eingeleitet werden – entweder durch den SOC-Dienstleister und dessen Mitarbeiter oder durch eigenes Personal.

Selbstverständlich kommen bereits heute in IT-Sicherheitsprodukten Verfahren aus den Bereichen Künstliche Intelligenz und Maschinelles Lernen zum Einsatz. Auch für Werkzeuge zum Monitoring und zur Sicherheitsanalyse von Datenströmen wird regelmäßig mit “KI-Unterstützung” geworben. Häufig geht es darum, mit Hilfe von maschinellen Lernverfahren Sicherheitswarnungen zu priorisieren und zumindest teilautomatisiert zu analysieren und zu bearbeiten.

Ziel ist es, die Fachkräfte für Cybersicherheit von diesen Routinetätigkeiten zu entlasten und ihnen mehr Freiraum für Analyse und Abwehr der relevanten Fälle zu geben. Letztlich bemühen sich viele dieser Systeme, bisher von Menschen übernommene Aufgaben mit einer der menschlichen Intelligenz nachgebildeten, maschinellen Intelligenz zu erledigen.

Die Tools sollen so zuerst Anomalien im Datenstrom erkennen. Allerdings hängt die Qualität jedes Kl-Algorithmus entscheidend davon ab, wie er trainiert wird und welche Datensätze und Daten dafür bereitstehen. Unzureichende Datenqualität führt zu einer mangelhaften KI, zu Fehlern bei der Erkennung und letztlich zu mangelhafter Sicherheit – bei einem trügerischen Gefühl der Sicherheit.

Die aktuellen Systeme der IT-Security arbeiten heute im Wesentlichen alle nach demselben Prinzip: Sie sammeln aus unterschiedlichen Quellen Daten – etwa von Endgeräten, Netzwerkgeräten, Firewalls, Servern, Applikationen – und führen diese an einem zentralen Punkt zusammen. Dort versuchen sie mit einer unterschiedlichen Zahl und Art an Filtern – und teilweise auch mit Hilfe von KI-Technologien – Gefahren zu erkennen. Lange galt: Je mehr Daten gesammelt werden, desto aussagekräftiger und besser sind die Ergebnisse.

Angesichts zunehmender Komplexität werden aber allmählich auch die Unzulänglichkeiten dieses Ansatzes deutlich. Wenn Angreifer zum Beispiel nicht direkt ihr Ziel ins Visier nehmen, sondern sich über mehrere Systeme und mehrere Nutzer vortasten, kann es sehr schwierig sein, das mit bestimmten Datensätzen zu erkennen. Auch die Frage, ob es sich bei der Vielzahl an Daten wirklich immer um einen ursächlichen Zusammenhang oder doch nur eine zufällige Korrelation handelt, ist oft schwer zu durchschauen.

Möglichst viele Daten zu sammeln, ist aber auch aus Kostengründen nicht wünschenswert. Denn die Datenmengen werden schnell sehr groß. Zudem müssen für aussagekräftige Analysen auch ausreichend historisch Daten vorgehalten werden. Bei der Verwaltung und Analyse – oft in einer Cloud – entstehen dadurch erhebliche Kosten. Und am Ende landen die tatsächlichen oder vermeintlichen Alarme wieder in einem SOC, wo sie von entsprechend qualifiziertem Personal bearbeitet werden müssen.

Im Rahmen seines Ansatzes für Outcome-based Security untersucht WithSecure mit dem langfristig angelegten “Projekt “Blackfin“, wie eine Alternative zu diesem derzeit gängigen Modell aussehen kann. Ausgangspunkt ist die Idee einer verteilten Analyse der Ereignisse (“Distributed Breach Detection”) – also nicht die Analyse an einem zentralen Punkt, sondern der Versuch, jede Komponente im Netzwerk zu befähigen, die für sie relevanten Ereignisse zu erkennen.

Mechanismen wie Federated Learning ermöglichen es, dass auf einem System Erlerntes mit anderen im Netzwerk gemeinsam genutzt wird – gleichzeitig aber berücksichtigt wird, dass dieses Wissen für andere Benutzer im selben Kontext in unterschiedlichem Maße nützlich ist. Der Kontext lässt sich nach Gruppen von Benutzern oder Endpunkten, nach einem oder mehreren ähnlichen Attributen – etwa Mitarbeiterrollen, Teams, Organisationen, Branchen – oder allen zusammen herstellen. (Bild: WithSecure)


Foto: WithSecure

So kann zum Beispiel bereits auf dem Endgerät entschieden werden, welche Daten zur Prozessüberwachung, Nutzer- oder Ressourcenaktivität relevant sind. Ermittelt wird im Rahmen des Blackfin-Projekts noch, welche Daten vor Ort verarbeitet werden können und bei welchen es sinnvoll ist, sie weiterhin an eine zentrale oder zumindest eine übergeordnete Stelle zu übermitteln. Die Frage ist dabei, an welcher Stelle im System bereits genügend Informationen vorliegen, um valide Schlüsse zu ziehen.

Der Fachbegriff hier heißt “Federated Learning”. Er lässt sich am Beispiel der Text-Vorschlagsfunktion eines Smartphones leicht erklären. Diese Vorschläge kommen aus unterschiedlichen Quellen. Einmal bietet der Hersteller aufgrund von Spracheinstellungen oder Standortdaten bestimmte Vorschläge an. Andererseits wird die persönliche Nutzung berücksichtigt – etwa Vornamen von Familienangehörigen oder häufig erwähnte Orte. Das funktioniert nicht immer einwandfrei und sorgt bei der Vorschlagsfunktion für manchen Lacher. Allerdings wird das System insgesamt mit jedem korrigierten Fehler besser.

Im Bereich IT-Security dürfte ein so mangelhaft funktionierendes System, wie es die Text-Vorschlagsfunktion auf Handys ab Werk heute noch ist, natürlich nie auf den Markt kommen. Auch deshalb ist erst noch Grundlagenforschung und viel Arbeit erforderlich, bevor es soweit ist. Doch diese Mühe wird damit belohnt, dass in solch einem System jede Komponente sehr datensparsam arbeiten kann. Denn zusätzlich zu einer “Grundversorgung” muss sie immer nur die für die jeweiligen Anwender spezifischen Merkmale berücksichtigen. Das Konzept lässt sich auf Branchen oder andere Teilgruppen erweitern und in unterschiedlichen Kombinationen anwenden.

Lokale Entscheidungen treffen zu können, hat in der IT-Sicherheit mehrere Vorteile. Erstens können sie schneller getroffen werden. Zweitens reduziert sich der zentral zu betreibende Aufwand. Drittens müssen seltener Menschen eingreifen und viertens lässt sich Datenschutz und der Schutz der Privatsphäre einfacher umsetzen, wenn zur Analyse nur wenige Daten an zentrale Stellen übermittelt werden. Nicht zuletzt lassen sich dadurch die Kosten deutlich reduzieren: Während in der Cloud oder an einer zentralen Stelle für die Verarbeitung der Sensordaten von tausenden von Endgeräten erhebliche Rechenleistung und viel Speicherplatz erforderlich sind, kann diese Aufgabe auf den Endgeräten vor Ort vielfach “nebenher” erledigt werden.

Erste Elemente dieses Konzepts erprobt WithSecure bereits seit Ende 2019 im Rahmen seines Rapid Detection & Response Service. Die Erfahrungen damit sind ermutigend – auch wenn noch einiges an Arbeit zu tun ist, bevor kollektive Intelligenz breit einsetzbar und allgemein verfügbar ist. Mehr über das Projekt Blackfin und seinen weiteren Weg erfahren Sie in diesem Whitepaper.