Die Zukunft des maschinellen Lernens in der Cybersicherheit
Maschinelles Lernen (ML) findet derzeit in allen Bereichen der IT zunehmende Beachtung – vor allem, weil die Technologie die Analyse riesiger Datenbestände ermöglicht. Damit erleichtert ML nicht nur die Optimierung der geschäftlichen Performance und Betriebsprozesse sowie die Erstellung präziser Prognosen, sondern erweist sich auch als äußerst nützliches Mittel zur Stärkung der Cybersicherheit. Der vorliegende Artikel erläutert die Gründe für die zunehmende Bedeutung des maschinellen Lernens in diesem Bereich, geht auf einige mit entsprechenden Sicherheitsanwendungen verbundene Herausforderungen ein und präsentiert eine ML-gestützte Zukunftsvision für die Cybersicherheit.
Warum starke Sicherheit ohne maschinelles Lernen nicht möglich ist
Die Notwendigkeit ML-gestützter Sicherheitslösungen ergibt sich aus der Komplexität moderner IT-Infrastrukturen. Zum einen steigt in vielen Unternehmen die Zahl der IoT-Geräte , die nicht von der IT-Abteilung überwacht und verwaltet werden. Zum anderen erfolgt die Bereitstellung von Datenbanken und Anwendungen immer häufiger nicht mehr unternehmensintern, sondern in Hybrid- und Multicloud-Umgebungen. Außerdem hat der Siegeszug mobiler Arbeitsmodelle dazu geführt, dass die meisten Angestellten einen signifikanten Teil ihrer Arbeitszeit außerhalb des Büros verbringen.
Unter diesen Umständen erweisen sich konventionelle Sicherheitsmaßnahmen in Form von signaturbasiertem Malwareschutz, Zugriffskontrolllisten und statischen Firewallregeln für den Netzwerktraffic als zunehmend ungeeignet. Denn diese herkömmlichen Erkennungslösungen sind schlicht nicht in der Lage, mit der wachsenden Zahl und der immer komplexeren Vernetzung der Geräte, Benutzerstandorte und Umgebungen Schritt zu halten.
Abhilfe können die Verantwortlichen hier durch den Einsatz von maschinellem Lernen schaffen, indem sie die ihnen verfügbaren Datenbestände als Basis für das Modelltraining nutzen und mithilfe der so erstellten Algorithmen dann Trends identifizieren, Anomalien aufspüren, Empfehlungen generieren und automatische Abwehrmaßnahmen in Gang setzen. Auf diese Weise erleichtert ML die Bewältigung aller drängenden Sicherheitsherausforderungen moderner Unternehmen – von der Erweiterung des Abdeckungsbereichs der Sicherheitsinfrastruktur über die Aufdeckung unbekannter Angriffe bis hin zur Erkennung extrem komplexer und raffinierter Bedrohungen. Das gilt insbesondere für polymorphe Malware, die sich durch Veränderung ihrer Form und Struktur tarnt und dadurch viele signaturbasierte Sicherheitsmechanismen aushebelt.
Einige Besonderheiten des maschinellen Lernens in der Cybersicherheit
Maschinelles Lernen ist eine ausgereifte Technologie mit vielfältigen Einsatzbereichen. Besonders beliebt sind derzeit Anwendungen rund um die Bild- und Spracherkennung, die den Sinngehalt gesprochener oder geschriebener Worte erfassen sollen.
Von diesen unterscheiden sich ML-basierte Sicherheitslösungen in mehrfacher Hinsicht, weil der Einsatz des maschinellen Lernens im Bereich Cybersicherheit mit spezifischen Schwierigkeiten und Anforderungen verbunden ist. Um Ihnen hier einen Überblick zu verschaffen, erörtern wir im Folgenden drei spezielle Herausforderungen rund um die Entwicklung ML-basierter Sicherheitslösungen sowie drei allgemeine ML-Herausforderungen mit besonderer Bedeutung für die Cybersicherheit.
Drei spezielle Herausforderungen bei der Entwicklung ML-basierter Sicherheitslösungen
Herausforderung: extreme Anforderungen in Sachen Trennschärfe. Wenn Sie maschinelles Lernen zur Bilderkennung nutzen und Ihr System irrtümlicherweise einen Hund als Katze identifiziert, ist das zwar lästig, hat jedoch kaum gravierende Auswirkungen. Ganz anders stellt sich die Situation hingegen dar, falls Ihr ML-basiertes Sicherheitssystem ein manipuliertes Datenpaket als unbedenklich einstuft und dadurch einen Angriff auf ein Krankenhaus und dessen Anlagen und Geräte ermöglicht. Hier sind im Extremfall sogar Personenschäden zu befürchten.
Erschwerend kommt hinzu, dass tagtäglich unzählige Datenpakete die Firewalls moderner Unternehmen passieren. Daher erfährt der Geschäftsbetrieb schon bei einer Fehlerrate von nur 0,1 Prozent massive Störungen, weil unter dieser Voraussetzung auch zahlreiche legitime Datenpakete als verdächtig eingestuft und blockiert werden. Generell wurde in der Anfangszeit des maschinellen Lernens in einigen Unternehmen bezweifelt, dass trainierte Modelle bei der Erkennung schädlicher Aktivitäten dieselbe Genauigkeit wie menschliche Sicherheitsexperten erreichen können. Diese Skepsis hatte damals durchaus ihre Berechtigung, da die Entwicklung eines hinreichend trennscharfen Modells auch heute noch äußerst zeitintensiv ist. Allerdings sollte in diesem Zusammenhang ebenfalls berücksichtigt werden, dass menschliche Experten nicht skalierbar sind und die IT-Branche stark vom Fachkräftemangel betroffen ist. Aktuell erweist sich ML als einzig verbliebene Möglichkeit zur effektiven Erweiterung des Abdeckungsbereichs und der Kapazitäten moderner Cybersicherheitslösungen. Entsprechende Tools können mithilfe maschinell erstellter Verhaltensprofile mit übermenschlicher Genauigkeit Anomalien erkennen, die auf gut getarnte oder unbekannte Angriffe hindeuten.
Herausforderung: die begrenze Verfügbarkeit relevanter (vorklassifizierter) Trainingsdaten Maschinelles Lernen ermöglicht nur dann die Erstellung trennscharfer Modelle und genauer Prognosen, wenn große Mengen an relevanten Trainingsdaten verfügbar sind. Indessen gestaltet sich die Akquise von Malwaresamples deutlich schwieriger als beispielsweise die Beschaffung von Bildern, Videoaufnahmen und Textauszügen. Dies ist unter anderem darauf zurückzuführen, dass viele Angriffs- und Sicherheitsdaten vertrauliche Informationen beinhalten und daher aus Datenschutzgründen nicht zugänglich sind.
Herausforderung: eingeschränkte Möglichkeiten zur Erfolgskontrolle. Während sich der Erfolg bei der maschinellen Bilderkennung in jedem einzelnen Fall zweifelsfrei bestimmen lässt, ist dies im Bereich Cybersicherheit aufgrund der sich ständig ändernden Bedrohungslage nicht immer möglich. Zum einen gibt es keine zentrale Datenbank für alle weltweit zirkulierenden Malwarevarianten. Zum anderen bringen die Angreifer ständig neue Schadprogramme in Umlauf. Damit stellt sich die Frage, welche Datengrundlage die Entwickler ML-gestützter Erkennungslösungen zur Erfolgskontrolle heranziehen können.
Drei allgemeine ML-Herausforderungen mit besonderer Bedeutung für die Cybersicherheit
Neben den oben aufgeführten sicherheitsspezifischen Problemfeldern gibt es allgemeine ML-Herausforderungen, die bei sämtlichen Anwendungsszenarien berücksichtigt werden müssen, im Bereich Cybersicherheit jedoch besonders schwer wiegen.
Herausforderung: die Nachvollziehbarkeit der Modelle für das maschinelle Lernen. Sie müssen in der Lage sein, das Zustandekommen und die Stichhaltigkeit der Ergebnisse Ihrer Modelle zu erklären. Andernfalls bleibt unklar, ob diese als Basis für effektive Maßnahmen taugen.
Herausforderung: der anhaltende Fachkräftemangel. Um maschinelles Lernen zur Automatisierung bestimmter Funktionen einsetzen zu können, benötigen Sie Mitarbeiter, die sowohl über einschlägiges Fachwissen als auch über Kenntnisse im Bereich ML verfügen. Das erweist sich bei Sicherheitsanwendungen als besonders schwerwiegendes Problem, da es in der von allgemeinem Fachkräftemangel geprägten Branche kaum entsprechend qualifizierte Talente gibt. Aus diesem Grund setzen wir bei Palo Alto Networks auf eine enge Zusammenarbeit unserer ML-Datenspezialisten mit unseren Sicherheitsexperten, obwohl diese beiden Gruppen nicht dieselbe Sprache sprechen, verschiedene Methoden nutzen und unterschiedliche Denkansätze verfolgen. Denn die Entwicklung effektiver ML-basierter Cybersicherheitslösungen kann letztlich nur im Teamwork gelingen.
Herausforderung: die Sicherheit der Modelle und Trainingsdaten. Da umfassende Cybersicherheit eine unabdingbare Voraussetzung für jedes moderne Geschäftsmodell ist, müssen die für entsprechende Sicherheitsanwendungen verwendeten ML-Modelle und Trainingsdaten ihrerseits effektiv gesichert werden. Deshalb leistet Palo Alto Networks einen entscheidenden Beitrag zur branchenweiten Entwicklung effektiver ML-Schutzmaßnahmen, die auf den bereits vorliegenden wissenschaftlichen Studien zum Thema basieren.
Trotz dieser vielfältigen Herausforderungen ist maschinelles Lernen aktuell die effizienteste Technologie zur Realisierung skalierbarer Sicherheitsinfrastrukturen, mit denen Sie Ihre Teams entlasten und unbekannte Angriffe unterbinden können. Denn während die Überwachung von Milliarden von Geräten manuell kaum zu bewältigen ist, bietet maschinelles Lernen genau das Maß an Skalierbarkeit, das moderne Unternehmen zum Schutz vor immer neuen Bedrohungen benötigen. Davon profitieren insbesondere die Betreiber kritischer Infrastrukturen, die bei raffinierten Angriffen jegliche Gefahren für Leib und Leben ihrer Kunden abwenden müssen.
Wie maschinelles Lernen die Zukunft der Cybersicherheit prägt
Moderne Cybersicherheitslösungen nutzen maschinelles Lernen auf vielfältige Weise. Sie verfügen über diverse ML basierte Tools und Prozesse, die in ihrer Gesamtheit einen entscheidenden Beitrag zur Stärkung der Sicherheit digitaler Unternehmen und zur Bewältigung der Herausforderungen einer hochgradig dynamischen Bedrohungslandschaft leisten.
Geräteidentifizierung und Profilerstellung: Wenn ständig neue Geräte auf das Unternehmensnetzwerk zugreifen, verlieren IT-Teams schnell den Überblick. Da erweist es sich als äußerst hilfreich, dass maschinelles Lernen die automatische Identifizierung angemeldeter Geräte ermöglicht. Außerdem unterstützt die Technologie die Erstellung von Profilen, die über die vorhandenen Features und normalen Aktivitäten Auskunft geben.
Automatische Erkennung von Anomalien: Die rasche Identifizierung bekannter schädlicher Aktivitäten zählt zu den zentralen Anwendungsbereichen der Technologie. Denn nach der anfänglichen Erstellung gerätespezifischer Verhaltensprofile kann eine ML-basierte Sicherheitslösung trennscharf zwischen normalen und verdächtigen Vorgängen unterscheiden.
Aufdeckung von Zero-Day-Angriffen: Konventionelle Sicherheitslösungen erkennen schädliche Aktivitäten nur dann, wenn diese bereits bei einem vorherigen Angriff als solche identifiziert wurden. Das gilt insbesondere für ältere Tools zur rein signaturbasierten Malwareerkennung. Im Gegensatz dazu können ML-basierte Sicherheitslösungen auch bislang unbekannte Malwarevarianten und Bedrohungen erkennen und das Unternehmen so vor potenziellen Zero-Day-Angriffen schützen.
Umfassende Analysen: Wenn Daten und Anwendungen auf immer mehr Standorte verteilt werden, sind Ihre Mitarbeiter kaum noch in der Lage, wichtige systemübergreifende Trends zu erkennen. Nur mithilfe von maschinellem Lernen lassen sich auch unter diesen schwierigen Bedingungen aussagekräftige unternehmensweite Analysen erstellen.
Richtlinienempfehlungen: Die Erstellung und Implementierung effektiver Sicherheitsrichtlinien ist oft ein aufwendiger manueller Prozess und mit diversen Herausforderungen verbunden. Doch eine leistungsstarke ML-basierte Lösung hat stets im Blick, welche Geräte auf Ihr Netzwerk zugreifen, und kann Ihnen auf der Grundlage ihrer Normalprofile Empfehlungen für Firewallregeln und andere Sicherheitsrichtlinien liefern. So sparen Sie sich und Ihren Mitarbeitern die mühevolle Sichtung und Einbeziehung der teils widersprüchlichen Zugriffskontrolllisten für verschiedene Gerätetypen und Netzwerksegmente.
All dies wird umso wichtiger, je schneller die Zahl der vernetzten Geräte und virulenten Bedrohungen steigt und je länger der Fachkräftemangel in der IT- und Cybersicherheitsbranche anhält. Denn maschinelles Lernen ist das ideale Fundament für automatisierte Sicherheitslösungen, die sämtliche Geräte und Umgebungen Ihres Unternehmens abdecken und für alle aktuellen und künftigen Anforderungen ausgelegt sind.