IT-Sicherheit: Passende Art Künstlicher Intelligenz auswählen

Palo Alto Networks erörtert drei KI-Methoden

[datensicherheit.de, 13.08.2019] Künstliche Intelligenz (KI) oder Maschinelles Lernen (ML) sind laut Palo Alto Networks „mittlerweile zu Unterscheidungsmerkmalen geworden, die ein Indikator sein können, ob ein Sicherheitsanbieter mit den neuen Technologien Schritt zu halten vermag“. KI könne jedoch ein verwirrender Begriff sein, denn er werde in Verbindung mit einer ganzen Reihe von Methoden und Technologien genutzt. In der Cyber-Sicherheit gebe es „drei gängige Anwendungen, bei denen der Begriff KI auftaucht“. Unternehmen könnten dadurch erkennen, ob eine Sicherheitslösung tatsächlich KI verwendet, und vor allem, ob sie davon auch profitieren. Palo Alto Networks gibt in seiner aktuellen Meldung einen praxistauglichen Überblick.

Big-Data-Analytik

Die erste Anwendung ist demnach die sogenannte Big-Data-Analytik. Dabei würden statistische Analysen des Datenverkehrs von Websites und E-Mails oder anderer Netzwerkdaten verwendet, um Anomalien zu erkennen, die auf Sicherheitsbedrohungen wie Viren hinweisen könnten. Dieses Verfahren analysiere mehrere Datenformen, wie z.B. in E-Mails die Herkunft der Kommunikation, den eingeschlagenen Weg und den Betreff, „um vorherzusagen, ob es sich wahrscheinlich um eine Bedrohung handelt“.
Der Prozess sei jedoch recht einfach und identifiziert oft „False Positives“, wodurch legitimer Datenverkehr als bösartig eingestuft werde. Um dies zu vermeiden, würden die potenziellen Bedrohungen an menschliche Analysten weitergegeben, um wiederum eine Entscheidung zu treffen. „Dies ist keine ,richtige‘ KI, da die Anwendung letztendlich auf einem hohen Maß an menschlicher Entscheidungsfähigkeit beruht.“

Überwachtes Maschinelles Lernen

Eine schon eher veritable Form von KI sei das Maschinelle Lernen. Hierfür kategorisiere ein Algorithmus die Daten in verschiedene Gruppen. Beim überwachten Maschinellen Lernen werde der Algorithmus trainiert, Daten in Kategorien einzuteilen, „z.B. indem er sie mit kommentierten Bildern von Katzen und Hunden füttert, damit er lernt, diese in Zukunft zu erkennen“. Trainiert mit genügend Daten über die Arten der Kommunikation, die wie Cyber-Bedrohungen aussähen, könnten ML-Algorithmen dann lernen, zwischen Bedrohungen und legitimem Datenverkehr zu unterscheiden.
Überwachtes ML sei wie Big-Data-Analytik „mit Doping“. Es könne genaue Entscheidungen viel schneller treffen als der Mensch. Da die heutigen Bedrohungen aus oft Hunderten von Elementen bestünden, gelte: „Je mehr sich identifizieren und korrelieren lässt, desto besser ist die Qualität der Erkennung.“ Das sei so wichtig, denn Sicherheitspraktiker würden eine Aktion nur dann durchführen, wenn sie das Vertrauen hätten, das Problem richtig erkannt zu haben. „Die Angst, etwas falsch zu machen, bedeutet, dass in vielen Fällen ein Mensch die endgültige Entscheidung treffen muss. Die Fähigkeit, ML zu nutzen, um Cyber-Bedrohungen möglichst zuverlässig zu identifizieren, ist entscheidend.“ Dies gelte insbesondere, wenn automatisierte Maßnahmen eingesetzt werden sollten, „ohne dass die menschliche Validierung den Prozess verlangsamt“.

Unüberwachtes Maschinelles Lernen

Eine noch reinere Form der KI sei das unüberwachte ML. Hierbei analysiere ein Algorithmus Daten und finde seine eigenen Erkenntnisse, ohne trainiert zu werden. „Zum Beispiel, wenn Bilder online betrachtet werden, wird er sich selbst beibringen, dass einige Bilder Kühe und andere Zebras zeigen.“ Dies könne jedoch zeitaufwändig sein.
Wenn man einen unüberwachten Algorithmus des Maschinellen Lernens auf Sicherheitsdaten ansetzt, könne es Jahre dauern, bis man zu einem lohnenden Ergebnis kommt. Allerdings könnten die Erkenntnisse, die daraus hervorgehen, wie z.B. die Identifizierung bestimmter Codezeilen, die mit Viren oder Angriffen verbunden sind, wertvoll sein.

Kochen als einfache Analogie

„Es gibt einen anderen Weg, um über KI nachzudenken, einen, der vielleicht leichter zu merken ist.“ Eine Analogie könne – so Palo Alto Networks – mit dem Kochen hergestellt werden. Big-Data-Analytik sei wie das Zubereiten von Bohnen auf Toast. Es gebe nur zwei einfache Zutaten, „aber wir müssen sicherstellen, dass wir das beste Verhältnis von Bohnen zu Toast haben“. Die Datenanalyse suche nach Beispielen, bei denen das Gleichgewicht nicht stimmt und markiere die Anomalie, um von einem menschlichen Koch behoben zu werden.
Das überwachte ML ermögliche es uns, die Zutatenliste zu erweitern. Es sei wie ein gutes Curry mit vielen Permutationen von Gewürzen. Je mehr Zutaten es gibt, desto höher sei die Anzahl der Permutationen. Überwachtes Maschinelles Lernen mache das, was der durchschnittliche Koch macht: Dieser führe Tausende von Experimenten durch, um die beste Mischung aus Chili und Limette zu erhalten, und wisse dann, was gut schmeckt.

Unerwartetes herausfinden, aber viel Zeit benötigen…

Unüberwachtes ML könne inzwischen mit Rezepten des britischen Experimentalkochs Heston Blumenthal verglichen werden: Es gebe keine Begrenzung für die von ihm verwendeten Inhaltsstoffe und Methoden. „Er hat keine Vorurteile darüber, was akzeptabler Geschmack ist, denn wer bei klarem Verstand würde erwägen, Kies als Kochzutat zu verwenden?“ Heston habe kürzlich vorgeschlagen, „der Suppe Kieselsteine hinzuzufügen, um sie zu verdicken“. Es gebe wenig Einigkeit unter anderen Köchen oder Gästen darüber, „ob dies eine gute Idee ist“. Diese Unsicherheit würde bei der Erkennung von Bedrohungen, bei denen wir eine zuverlässige Antwort benötigen, nicht helfen.
Unüberwachtes Lernen werde nicht durch bestehende Wahrnehmungen eingeschränkt, „und das ist dessen Stärke, aber gleichzeitig kann es viele Iterationen dauern, bis wir ein Rezept entwickeln, das wir verwenden wollen“. Die Ergebnisse könnten viel Zeit in Anspruch nehmen und sehr unterschiedlich ausfallen. Das Positive sei, dass man etwas Erstaunliches finden könnte, woran unser menschliches Gehirn einfach nicht gedacht hätte.

KI kann völlig neues Niveau an Cyber-Sicherheit bieten

Unternehmen sollten nach Meinung von Palo Alto Networks prüfen, „ob eine KI-Cyber-Sicherheitslösung ihren Geschäftsanforderungen entspricht“. Sie müssten berücksichtigen, „wie viele Daten sie produzieren und wie sensibel und wertvoll diese sind“.
In der Analogie: Vielleicht bräuchten sie nur „Bohnen auf Toast“, vielleicht wollten sie ein „Curry“ oder gar ein „ganz neues Geschmackserlebnis“. KI könne ein völlig neues Niveau an Cyber-Sicherheit bieten, um den Betrieb zu rationalisieren. Die Herausforderung bestehe darin, zu entscheiden, „welches Rezept für das eigene Unternehmen am besten geeignet ist“.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2019
Cyber-Abwehr: Erfolgsfaktor Künstliche Intelligenz

datensicherheit.de, 21.05.2019
Kryptowährungen und künstliche Intelligenz: Zweite Ausgabe des Deutsch-Französischen IT-Sicherheitslagebilds

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk