Ich komme aus dem Bereich und ich interessiere mich für

Insights

AI ermöglicht Security Teams starke Leistungssteigerung

Wie AI-gestützte IDS/IPS zu einem besseren Schutz vor Cyberangriffen beitragen

Zum Schutz sensibler Infrastrukturen und Informationen treten in der Regel zwei Teams in einer (Unternehmens-)Mannschaft an: einmal für den Bereich „Safety“, also die Betriebssicherheit, die Mensch und Umwelt vor Schäden bewahren soll. Die Safety-Aufstellung ist in vielen Unternehmen klar definiert, etwa mit einem Wachschutz und maschinellen Instrumenten wie Alarmanlagen oder Lichtschranken in Risikozonen der Fertigung.

Im zweiten Team, der „Security“, läuft das anders. Um die Informationssicherheit und dabei in erster Linie den Datenschutz zu gewährleisten, müssen hier die Tools von CTO, CIO und Systemadministratoren mehr als eben nur Tools sein. Tatsächlich übernehmen Technologien der Security IT immer mehr „Verantwortung“ für Überwachungsaufgaben, da sich die Intensität und Komplexität von Cyber-Angriffen nicht durch rein menschliche Kontrolle bewältigen lässt.

IDS und IPS als digitale Helfer

Hilfreich sind hierbei Security-Systeme zur Intrusion Detection bzw. Intrusion Prevention. Neben klassischen Tools wie Firewalls und Anti-Viren-Software bieten sie hervorragende Unterstützung, um die digitale Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen zu verhindern.

Ein Intrusion Detection System, kurz IDS, erfüllt dabei die Funktion eines digitalen Wachhundes, der anhand bestimmter Muster selbstständig Angriffe auf Computersysteme oder Netzwerke erkennt und die Anwender oder Systemadministrationen alarmiert. Es kann als eigenständige Hardware in einem Netzwerk installiert sein und am Mirror Port eines Switches den gesamten Netzwerkverkehr überwachen oder als Software-Komponente in einem vorhandenen System, etwa als Ergänzung einer Firewall-Lösung.

Von dieser passiven Wächterfunktion unterscheidet sich ein Intrusion Prevention System (IPS), da es Angriffe erkennt, aktiv verhindert und abwehrt. So kann ein IPS z. B. Datenpakete blockieren oder Netzwerkverbindungen unterbrechen und zurücksetzen. Idealerweise überblickt ein IPS den gesamten Traffic im Unternehmensnetzwerk, etwa am Core Router. Es sucht nach Mustern in einem Datenstrom, die auf Angriffe hinweisen und ergreift erste Schutzmaßnahmen, während es außerdem die verantwortlichen Personen alarmiert und nachgelagerte Reportingsysteme informiert.

In der Praxis erweisen sich solche IPS jedoch als sehr wartungsintensiv. Denn die Auswahl der aktiven Erkennungsmuster und Reaktionen muss genau auf das Unternehmensnetzwerk und seine Eigenheiten abgestimmt sein und ständig nachgepflegt werden. Ansonsten ergeben sich sehr zügig Probleme des Overblockings durch False Positives. In der Folge wird darum in vielen Unternehmen das angeschaffte IPS recht schnell zum passiven IDS heruntergestuft, da die Abwägung zwischen Sicherheit und Verfügbarkeit des Netzwerkes doch eher zur Verfügbarkeit umschlägt.

Leistungssteigerung mit AI

Nun kann man für diese Aufgabe immer bessere IDS/IPS entwickeln und immer mehr personellen und zeitlichen Aufwand in deren Pflege investieren. Viel effektiver ist es aber, alle vorhandenen Elemente des Netzwerkes mittels AI bei der Abwehr einzubinden und somit einen gesamtheitlichen Blick auf das Netzwerk, die Bedrohungen und die Reaktionen zu erhalten. Die gefundenen Muster des IDS sind dann „nur“ ein Merkmal im erkannten Netzwerkverkehr. Dazu kommt u. a. die Auflösung externer IP-Adressen auf Länder und Orte mittels Geolocation. Zusammen bilden diese Informationen einen angereicherten Kontext für die Geräte im Netzwerk und das Verhalten der Kommunikation zwischen diesen Geräten.

An diesem Punkt setzt unsere AI an. Sie überwacht den Netzwerkverkehr zwischen den Geräten nach vielen Aspekten und verifiziert Verhalten durch die Kontextinformationen. Damit erfüllt sie u. a. drei wesentliche Sicherheitsleistungen, die Unternehmen generell beim Einsatz einer AI-gestützten IDS/IPS beachten sollten:

Identifikation: Wer gehört dazu? „Ungewöhnliche“ Kommunikationspartner können für sich genommen ja gewollt sein. Aber im Zusammenhang mit einem Treffer des IDS bildet ungewöhnliche Kommunikation eine Anomalie, auf die automatisch reagiert werden kann.

Selektion: Welche Abweichung ist relevant? Hier geht es darum, mithilfe der AI die richtigen Schwellenwerte für das Auslösen von Alarmmeldungen zu ermitteln. Beispielsweise bei der Telefonanlage, die immer bestimmte IDS-Treffer triggert: Ein Alarm kann hier bei plötzlicher Zunahme der Treffer oder ihrem kompletten Ausbleiben ausgelöst werden. Andere Geräte verzeichnen diese IDS-Treffer in der Regel nicht, hier kann die AI ebenfalls durch Alarmmeldungen unterstützen.

Verifikation: Ist der Treffer wirklich ein Treffer? Als potenzieller False Positive klassifiziert, kann ein einzelner Treffer des IDS keine Reaktion hervorrufen. Mehrere gleiche Treffer des IDS für verschiedene Endgeräte in einem kurzen Zeitfenster oder ein Treffer des IDS zusammen mit einem verdächtigen Kommunikationsmuster über viele Datenströme „erkennt“ die AI allerdings als verdächtiges und unerwünschtes Verhalten. Und genau dieses verifizierbare, anomale Verhalten sollte wiederum eine Warnung an den Administrator sowie eine automatische Reaktion im Netzwerk auslösen.