KI ist großartig, aber es braucht immer noch Menschen, um die Cybersicherheit durchzusetzen

Wenn es um den Schutz von Computern und Informationssystemen vor Cyberangriffen geht, können künstliche Intelligenz und maschinelles Lernen helfen – aber sie sind kein Allheilmittel für ein wachsendes Problem.

Ungeachtet der aktuellen Begeisterung für KI und ihrer zunehmenden Fähigkeit, Menschen an zahlreichen Fronten zu besiegen, ist sie keine Wunderwaffe zur Unterstützung der Cybersicherheit, sagt Randy Watkins, Chief Technology Officer bei Critical Start, Inc.

KI zeichnet sich durch die Verwaltung riesiger Datenmengen aus, einschließlich Warnungen über mögliche Sicherheitsverletzungen. Das Problem liegt darin, wie diese Informationen interpretiert werden.

Warnungen werden in der Reihenfolge ihres Eintreffens adressiert. Anschließend werden sie priorisiert und auf das entsprechende Bedrohungsniveau hin bewertet. Menschliche Analysten mit fundierten Kenntnissen und Erfahrung im Geschäft sind gut darin, jede Warnung in den richtigen Kontext zu stellen. Maschinen, nicht so sehr. Ein KI-gesteuertes System kann anomale Benutzeraktivitäten erkennen, ist jedoch weniger effektiv bei der Feststellung, ob es sich bei dem Ereignis um eine böswillige Absicht handelt.

„Ich bin kein Neinsager gegenüber allem, was KI angeht“, sagt Watkins, „aber KI und maschinelles Lernen haben nicht die Fähigkeit, eine Fülle von Gründen auf das, was sie tun, anzuwenden.“

Maschinen sind nicht besonders gut darin, Fehlalarme zu minimieren. Nehmen Sie die PowerShell von Microsoft, ein beliebtes Framework für die Aufgabenautomatisierung. Eine Maschine kann nicht genau bestimmen, ob ein bestimmter Benutzer dieses Tools zu einem bestimmten Zeitpunkt einen Befehl ausführen sollte. Die Anomalie kann das Ergebnis eines böswilligen Angriffs sein oder nicht.

Der Begriff „maschinelles Lernen“ impliziert, dass das System mit der Erfahrung besser wird, aber Watkins sagt, dass die Fähigkeiten begrenzt sind. Das Training des Algorithmus, um auf die richtige Weise zu reagieren, erfordert das Einspeisen einer großen Anzahl früherer Beispiele, sowohl gute als auch schlechte. Und es löst immer noch nicht das Problem falscher Negative – tatsächliche Angriffe, die das System übersieht. „Sie müssen in der Lage sein, die Ausreißer zu entfernen, die Ihre Daten verzerren“, sagt Watkins.

Herauszufinden, ob ein Ereignis bösartig ist oder nicht, führt nicht immer zu einer Ja-oder-Nein-Antwort. Zum einen müssen Unternehmen bestimmen, wie sensibel das System sein soll. Sollte es bei 100 % der scheinbar anomalen Ereignisse Alarm schlagen? Wie wäre es mit 80%? Zu viel, und Sie werden mit Warnungen und möglichen Systemabschaltungen überschwemmt. Zu wenig, und Sicherheitsverletzungen werden wahrscheinlich unentdeckt bleiben.

„Wenn Sie mehr Variablen einführen, benötigen Sie zusätzliche Datensätze, mehr Kontext zum Thema und zum Verhalten [des Systems]“, bemerkt Watkins. „Sobald Sie anfangen, diese Fragen einzuführen, fällt die Maschine auseinander.“

Die effektive Erkennung von Cyberangriffen hängt von der kumulativen Risikobewertung ab, was Menschen gut können. „Jedes Mal, wenn wir uns eine Veranstaltung ansehen, entscheiden wir, ob sie verdächtig ist“, sagt Watkins. „Aber Sie können auch Vernunft und Vorkenntnisse über Sicherheit anwenden, die Algorithmen nicht haben.

„Eine Maschine kann enorme Datenmengen schnell durchforsten“, fährt er fort. „Aber geben Sie ihm ein abstraktes Konzept wie die geringste Berechtigung und wenden Sie es auf den Warnungssatz an – wird es eine Privilegieneskalation erkennen? Es gibt viele harmlose Aktivitäten, die bösartig aussehen.“

Es besteht kein Zweifel, dass sich das maschinelle Lernen weiterentwickeln wird, auch wenn Cyber-Diebe neue Wege finden, um eine Erkennung zu vermeiden. Microsoft hat Fortschritte bei der Verbesserung der Komplexität automatisierter Erkennungssysteme gemacht, ebenso wie Palo Alto Networks, ein weltweit führender Anbieter von Cybersicherheit. „Aber am Ende des Tages“, sagt Watkins, „brauchen Sie immer noch einen Menschen, der sagt:‚Ja, schalten Sie diesen Domänencontroller offline.'“ Unternehmen bemühen sich ständig, die Kosten für Systemausfallzeiten durch fehlerhafte Warnungen zu minimieren.

Allerdings gibt es nicht genügend menschliche Experten, um den Bedarf an Cybersicherheit in allen Sektoren zu decken. „In der Branche mangelt es definitiv an Talenten“, sagt Watkins. Daher die Hinwendung zu externer Unterstützung in Form von verwalteter Erkennung und Reaktion.

Der Fachkräftemangel ist nicht neu. „Es existiert, seit es Sicherheit gibt“, sagt Watkins. Erst in den letzten 10 Jahren haben Unternehmen und Universitäten begonnen, sich der Notwendigkeit einer besseren Ausbildung und Ausbildung zukünftiger Cybersicherheitsexperten bewusst zu werden.

Sowohl Menschen als auch Maschinen haben einen Weg vor sich, wenn sie zusammenarbeiten wollen, um lebenswichtige Systeme gegen die ständig wachsende Bedrohung durch Cyber-Angriffe zu schützen. „Wir haben bei null angefangen, als wir bei 60 sein mussten“, sagt Watkins. „Jetzt müssen wir bei 90 sein, und wir sind bei 60.“