Insights
AI-Training für den Cyberwar
AI kann beim Schutz von IT-Infrastrukturen zielgerichtet assistieren – wenn man ihre Funktionsweise versteht und ihre Leistungsfähigkeit ausbaut.
Im Wettrüsten gegen Cyber-Kriminelle gab es für Unternehmen in diesem Jahr erneut viel zu tun: Bereits zwischen Juni 2018 bis Mai 2019 kamen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 320.000 neue Schadprogramme in Umlauf – pro Tag. Das erhöht den Druck, eine IT Security aufzubauen, die auch mit dem Spektrum zukünftiger Bedrohungen Schritt hält.
Schon heute spielen AI-basierte Programme dabei eine Schlüsselrolle. Die Komplexität der Herausforderungen in der IT-Sicherheit lässt uns gar keine andere Wahl, als viele Schutz- und Überwachungsaufgaben einer „mitdenkenden“ Technologie anzuvertrauen.
Allerdings: Vertrauen ist gut, Transparenz ist besser. Heuert man einen Sicherheitsdienst zur Überwachung von Büroräumen, Fabrikhallen oder Laboren an, prüft man schließlich auch dessen Referenzen. Gleiches gilt für den Einsatz von AI in der IT Security: rein kommt nur, wer transparent macht, was er leistet. Sind die Funktionen und Mechanismen der AI nachvollziehbar, rückt das auch die „Zusammenarbeit“ gleich in das richtige Verhältnis: die AI assistiert, schlägt Lösungen vor, der Mensch entscheidet.
Devices durch Tagging einbinden
Ein gutes Beispiel für diese Nachvollziehbarkeit ist das AI-basierte Tagging Feature, mit dem unser cognitix Threat Defender Angriffe auf Unternehmensnetzwerke identifiziert. Ob Smartphone, Router oder Switches: ist ein Gerät einmal per IP- oder MAC-Adresse im Netzwerk erfasst, kann es getaggt und bei Bedarf mit Tag-spezifischen Sicherheitsrichtlinien versehen werden. So lassen sich Geräte mit gleichen Funktionen zusammenfassen, um Sicherheitsrichtlinien einfacherer zu implementieren. In diesem Fall übernimmt die AI die Assistenzaufgabe, das Verhalten aller gleich getaggten Geräte permanent auf Abweichungen vom Gruppenzustand zu überprüfen. Geschieht z. B. bei einem von fünf als #Drucker markierten Geräten etwas, das vom Verhalten der anderen vier Geräte abweicht, schlägt die AI Alarm.
Finde die Katze!
Aber wie „lernt“ der AI-Assistent eigentlich, was „normal“ ist? Oft wird das mit dem Bild des neuronalen Netzwerkes erklärt, also ein Lernvorgang beschrieben, bei dem AI-Systeme nach menschlichem Vorbild Input erhalten und diesen selbstständig zu neuen Informationen verknüpfen. In der AI-Praxis funktioniert das nicht so einfach. Ein Beispiel für den Unterschied: Wir filtern aus der Masse des „Gewöhnlichen“ das „Ungewöhnliche“ heraus, zum Beispiel wenn wir unter 100 Hundebildern schnell das eine Katzenbild identifizieren. Eine AI geht anders vor, denn sie "sieht" nur die ihr bekannten Muster mit variierender Treffsicherheit. Wurde die AI auf das Erkennen von Hunden trainiert, erkennt sie das eine Katzenbild zwischen 100 Hunden nicht etwa als Katze – sondern „mit fünf Prozent Wahrscheinlichkeit einen Hund“.
Die AI kann nicht erkennen, dass ihr andere Tiere gezeigt werden, und auch keine Aussagen zu diesen machen. Dazu muss sie erst wieder neu trainiert werden. Gerade in der IT Security ist das eine ganz zentrale Herausforderung, da AI-Systeme immer wieder neu lernen müssen, dass eine Katze, Kuh, Giraffe – sprich neue Bedrohungen im Netzwerk – existieren und wie darauf reagiert werden soll.
Um zu „wissen“, was aktuell als „normal“ gilt und damit erwartetes Verhalten ist, benötigt eine AI also konstant gepflegte Daten. Durch das Tagging gleicher Geräte zu funktionalen Gruppen kann sie immer das Verhalten der Gruppe bzw. das Durchschnittsverhalten der Gruppenmitglieder ermitteln und die Abweichungen davon bei einzelnen Geräten erkennen – und somit Abweichungen vom „Normalverhalten“, selbst wenn sich dieses mit der Zeit ändert.