Votum für die Automatisierung: Maschinelles Lernen bringt Sicherheitsteams voran

McAfee meldet Herausgabe der neuesten Studie „Disrupting the Disruptors, Art or Science?“

[datensicherheit.de, 02.08.2017] McAfee meldet die Herausgabe der neuesten Studie „Disrupting the Disruptors, Art or Science?“. Diese untersucht demnach die Rolle von Bedrohungsjägern und „Security Operations Centers“. Nachgegangen wird u.a. den Fragen, was das maschinelle Lernen und die Automatisierung für die IT-Sicherheitsbranche bedeutet und wie Mensch-Maschine-Teams die Cyber-Sicherheit verbessern .

Die Maschinen kommen – und das ist gut so…

Maschinelles Lernen sorge aktuell für jede Menge Schlagzeilen. Da sei etwa zu lesen „Roboter übernehmen Ihren Job“ oder Twitter-Chats u.a. zum Thema „Ist Künstliche Intelligenz das Ende der Menschheit?“ Dabei dürfte jedem klar sein, dass Zukunftsvorhersagen in der Regel danebenliegen, meint Raja Patel, „Vice President und General Manager Security Solutions“ bei McAfee.
Lasse man Science-Fiction aber einmal beiseite, gebe es durchaus einen Bereich, in dem automatisierte Hilfe erwünscht bzw. sogar erforderlich sei: IT-Sicherheit, denn Cyber-Bedrohungen entwickelten sich schnell und ausgefeilter weiter – so sehr, dass diese unerwünschten Gäste den Fortschritt des Digitalen Zeitalters ernsthaft beeinträchtigen könnten.
Die Branche benötige Unterstützung und die Automatisierung biete hierfür Hilfe: McAfee hat nach eigenen Angaben vor Kurzem eine Studie zum aktuellen Stand der Maschinenintelligenz im Hinblick auf die Endpunktsicherheit mit dem Titel „Machine Learning Raises Security Teams to the Next Level“ (Maschinelles Lernen bringt Sicherheitsteams voran) beauftragt. Jeder, der sich ernsthaft für Cyber-Sicherheit interessiert, sollte sich einmal genauer damit beschäftigen. Diese Studie mache deutlich, dass Maschinelles Lernen nötig, aber kein Ersatz für Menschen, sei. „Es ist vielmehr eine Ergänzung zu dem Job, den die Menschen bereits machen“, so Patel.

Die Grenzen des Maschinellen Lernens

Maschinelles Lernen könne verborgene Muster in sich schnell verändernden Daten erkennen und zwar mit höherer Genauigkeit, je mehr Daten seine Algorithmen speisen, die Ergebnisse analysieren, wenn eine Verletzung aufgetreten ist, und ein großes Volumen von Routine-Angriffen bewältigen.
Maschinelles Lernen könne jedoch nicht kreative Antworten initiieren, das Gesamtbild verstehen, Bedrohungen über unterschiedliche Organisationen und Systeme hinweg kommunizieren oder den Bedrohungsradius von neuen menschlichen Gegnern vorhersagen. Es sei eben nur so gut wie der Algorithmus, auf den es „trainiert“ wurde. Es könne nicht ohne Menschen existieren.

Maschinelles Lernen und der Endpunkt

Mit dem Maschinellen Lernen werde es möglich, die Endpunktsicherheit kontinuierlich weiterzuentwickeln, um neue Angriffstaktiken zu erkennen und auch abzuwehren. Eine der Herausforderungen für IT-Teams sei jedoch, dass sich Endpunkte nicht geschützt im Rechenzentrum befänden, wo sie von mehreren Sicherheitsebenen und einem wachsamen Sicherheitsteam umgeben sind. Vielmehr veränderten Endpunkte ständig ihren Standort inner- und außerhalb des Netzwerks.
Die Endpunktsicherheit werde daher ständig weiter verfeinert, um frische Präventionstechniken gegen neue Angriffsmethoden zu integrieren. Maschinelles Lernen sei hier eine natürliche Erweiterung anderer Methoden für die Abwehr von Malware und den ständig auf- und abschwellenden Konflikt mit Hackern und Angreifern.
Allerdings gingen die Möglichkeiten von Maschinellem Lernen weit über die Endpunktsicherheit hinaus. Es sei ein wertvolles Werkzeug, das für viele Aspekte der Cyber-Sicherheit genutzt werden könne. McAfee nutze Maschinelles Lernen und andere unbeaufsichtigte Lernalgorithmen in seinem gesamten Portfolio, von „Advanced Threat Defense“ (ATD) und „Security Information and Event Management“ (SIEM) bis hin zu „URL Classification Systems“ und im Gateway.

Angreifer nutzen bereits automatisierte Praktiken

Ein Sicherheitsanalytiker benötige rund 15 Minuten, um einen Sicherheitsalarm zu untersuchen und zu löschen. Das bedeutet laut McAfee, dass diese Person nur etwa 30 Warnungen pro Tag verarbeiten kann. Damit seien Sicherheitsteams zu wenig nachhaltigem reaktionärem Verhalten verurteilt und hätten im Grunde kaum eine Chance, sich mit der tatsächlichen Lösung von Problemen zu beschäftigen.
Angreifer hingegen nutzten automatisierte Praktiken, um herauszufinden, was funktioniert und starten dann auf dieser Basis Angriffe, die maximale Wirkung erzielen. Wenn ein Sicherheitsteam in diesem Spiel die Nase vorne haben will, muss es seinen Leuten Zeit geben, um ihre Intelligenz und ihre Kreativität für die Verbesserung der Sicherheitspraktiken einzusetzen – und die Effizienz des maschinellen Lernens nutzen, um genau diese Zeit zu gewinnen.
Maschinelles Lernen habe sich in der Cyber-Sicherheit etabliert und das sei gut so. Es sei ein wichtiger Bestandteil jeder Unternehmensstrategie für die Endpunktsicherheit. Angesichts des Umfangs und der Weiterentwicklung der Angriffe, die auf die Endpunkte einprasselten, müssten Sicherheitsfunktionen in der Lage sein, sich ohne menschliches Eingreifen anzupassen. Gleichzeitig müssten sie die erforderliche Transparenz und exakten Informationen bereitstellen, damit Menschen fundiertere Entscheidungen treffen könnten. Patel: „Betrachten wir den ,Roboter‘ doch einfach als den, der die Routinearbeit macht – damit die Menschen richtig loslegen können.“

Weitere Informationen zum Thema:

McAfee
„The Machines Are Coming. And That’s A Good Thing“ By Raja Patel

McAfee
„Disrupting the Disruptors, Art or Science?“

McAfee, May 2017
Machine Learning Raises Security Teams to the Next Level