Mit KI die Nadel im Netzwerk-Heuhaufen finden
Moderne Cybersecurity-Methoden können Angriffe und Datenlecks entdecken, bevor Schaden entsteht. Doch wie können sie dort erfolgreich sein, wo herkömmliche Ansätze oft versagen? Sie setzen auf künstliche Intelligenz und kommen auch mit riesigen Datenmengen klar.
Um IT-Systeme vor Bedrohungen zu schützen, haben sich Anbieter von Cybersecurity-Lösungen bislang stark auf die Prävention fokussiert. Diese ist wichtig, gerade in Zeiten der verstärkten Digitalisierung durch die Coronakrise, doch sie reicht in vielen Fällen nicht mehr aus. Denn Angreifer nutzen zunehmend ausgereifte Methoden, um die bestehenden Sicherheitsmassnahmen zu umgehen und sich in die Netzwerke einzuschleusen. Sind sie damit erfolgreich, bleiben sie oft monatelang unentdeckt und breiten sich kontinuierlich im Netzwerk aus, um so Daten zu sammeln, zu verschlüsseln oder zu entwenden.
Künstliche Intelligenz auf Patrouille
Die Überwachung von Netzwerken ist im Grunde eine Selbstverständlichkeit. Doch sicherheitstechnisch ist dies eine Mammutaufgabe: Firmennetzwerke produzieren Unmengen an Logdaten. Diese manuell auf verdächtige Aktivitäten hin zu untersuchen ist extrem aufwändig.
Der Einsatz künstlicher Intelligenz (KI) schafft Abhilfe. KI kann den Netzwerkverkehr eigenständig und kontinuierlich analysieren und lernt einerseits, welche Vorgänge im Netzwerk normal sind, und erkennt andererseits atypisches Verhalten oder sich ändernde Verbindungsmuster. So werden sicherheitsrelevante Anomalien erkannt. Der Vorteil gegenüber statischen, signaturbasierten Anwendungen (z. B. Blacklists, Antivirus-Programme) ist, dass auch neuartige Bedrohungen erkannt werden, die noch nicht allgemein bekannt sind. In der Network Detection & Response (NDR) wird dieses KI-Sicherheitskonzept bereits erfolgreich angewandt.
Künstliche Intelligenz erkennt im Netzwerk Bedrohungen, die manuell untergehen würden. (Source: Exeon Analytics)
Abwehren, untersuchen, verstehen
Der Einsatz von KI in der Cybersecurity ist nicht auf das Aufspüren von Angriffen im Netzwerk beschränkt. KI kann Unternehmen auch bei der Untersuchung und Bekämpfung von Vorfällen unterstützen. Zum einen wird nicht für jede Anomalie ein Alarm ausgelöst, denn ungewöhnliche Aktivitäten finden sich im IT-Netzwerk zuhauf. Gute NDR-Lösungen können diese leicht ausschliessen, da sie gleichzeitig an verschiedenen Orten im System präsent sind und so gutartige Anomalien automatisch behandeln können. Zudem werden ausgelöste Alarme automatisch korreliert, bewertet und priorisiert, damit Security-Teams selbst bei vielen Alarmen den Blick auf das Wesentliche nicht verlieren. Dabei werden die Alarme nicht nur mit anderen Netzwerkdaten ergänzt, sie können zudem auch mit Daten von anderen Sicherheitssystemen abgeglichen und angereichert werden. Auch können Alarme mit typischen Bedrohungs- oder Angriffsmustern verglichen werden. So lassen sich Bedrohungen mit KI automatisch bewerten und priorisieren – und Fehlalarme minimieren, damit sich die Security-Teams auf die relevanten Vorfälle konzentrieren können.
Schliesslich greift die KI den Security-Teams auch dann unter die Arme, wenn sie die identifizierten Bedrohungen effizient untersuchen und bekämpfen wollen. Komplexe Firmennetzwerke lassen sich damit ebenso wie die verdächtigen Vorkommnisse verständlich darstellen und die Teams bei der Bekämpfung spezifischer Muster unterstützen.
Dank guter Algorithmen können selbst komplexeste Netzwerke übersichtlich dargestellt und überwacht werden. Verdächtige Aktivitäten werden nicht nur schnell erkannt, sondern können auch effizienter bekämpft werden. So ergänzen KI-basierte Lösungen die traditionellen, auf Prävention ausgerichteten Cybersecurity-Massnahmen um einen kontinuierlichen Schutz in Echtzeit.
----------
Attacken werden im Durchschnitt erst nach 200 Tagen erkannt
Exeon setzt künstliche Intelligenz ein, um Cyberangriffe zu identifizieren. Wie das funktioniert und worin der Vorteil liegt, erklärt David Gugelmann, CEO & Founder bei Exeon Analytics. Interview: Colin Wallace
Nehmen Schweizer Unternehmen das Thema Cybersecurity ernst genug?
David Gugelmann: Viele Schweizer Unternehmen legen ihren Fokus zu stark auf die Prävention – und vernachlässigen dabei die Erkennung von Cybergefahren. Der klassische Weg der Cybersicherheit durch Abschirmung mit präventiven Massnahmen reicht allerdings in vielen Fällen nicht aus. Wie die Medien fast täglich berichten, kommt es immer wieder zu erfolgreichen Angriffen und Datendiebstahl. Attacken werden im Durchschnitt erst nach 200 Tagen erkannt. Wenn ein Unternehmen feststellt, dass sein Schutzkonzept versagt hat, ist es also oftmals schon zu spät.
KI wird auch bei Cyberangriffen eingesetzt. Was für Auswirkungen hat dieser Trend auf die Sicherheit von Unternehmen?
Der technische Wettlauf mit den Cyberkriminellen bedeutet für Unternehmen, dass sie in der Lage sein müssen, schnell zu reagieren. Zum Beispiel durch eine automatisierte, statt einer manuellen Erkennung von Angriffen. Grundsätzlich sehen wir aber nicht, dass Angreifer mit fortgeschrittenen Attacken mehr Erfolg haben, sondern eher mit standardisierter Schadsoftware wie Cobalt Strike.
Was sind aktuell gängige Angriffsmethoden von Cyberkriminellen?
Häufig kommt Social Engineering als Einstiegspunkt für Schadsoftware in das Netzwerk zum Einsatz. Dies geschieht etwa über ein infiziertes Attachement mit einem fungierten CV, einen falschen Bestätigungslink für eine tatsächliche Hotelbuchung oder ein Video von einem vorgeblichen Mitarbeiter. Ist er einmal ins Netzwerk eingedrungen, kann sich der Angreifer dann relativ einfach weiterverbreiten, sensible Daten stehlen oder im Falle einer Ransomware-Attacke Daten verschlüsseln.
Was unterscheidet die Lösung von Exeon von einem SIEM?
SIEM-Lösungen sind zwar stark darin, Daten zusammenzuführen, aber der Nutzer ist bei der Analyse der Daten oft auf sich alleine gestellt und muss seine Use Cases selbst entwickeln. Daher ist es sehr schwierig, mit einer reinen SIEM-Lösung Cyberangriffe rasch zu identifizieren. Die Stärke unserer Lösung ist, dass sie über fertige KI-gestützte Algorithmen und vordefinierte Use Cases für die Analyse von Netzwerkdaten verfügt. Dadurch kann unsere "ExeonTrace"-Lösung out-of-the-box in Milliarden von Datenpunkten Angreifer erkennen. Dank unseres neuen Xlog-Moduls können wir ausserdem auch weitere Daten einbinden und vorgefertigte Algorithmen darauf ansetzen.
Sie greifen für Ihre Arbeit auf eine "Vielzahl an Sicherheitsdaten" zurück. Woher kommen die und wie erhalten Sie die?
Im Gegensatz zu den meisten unserer Mitbewerber verzichten wir auf den Einsatz von Hardwaresensoren, die den Datenverkehr überwachen. Unser Ansatz besteht darin, die Daten direkt aus der Infrastruktur unserer Kunden zu beziehen, was die Netzwerke nicht durch unnötige Datenspiegelungen belastet. Xlog kann darüber hinaus noch weitere Datenquellen nutzen, etwa Logdaten von Deep Packet Inspection und IDS-Sensoren, VPN-Logs oder Endpunkt- und Nutzerverhalten-Anomalien, die von einer Endpoint-Detection-and-Response-Lösung generiert werden.
Für wen eignet sich "ExeonTrace"?
"ExeonTrace" eignet sich für mittlere bis grössere Unternehmen. Die Lösung unterstützt deren Security-Teams bei der Threat Detection. Für kleinere Firmen, die dies nicht inhouse machen können, gibt es ausserdem die Option, einen Managed Service über unsere Partner zu beziehen. "ExeonTrace" ist grundsätzlich sektor-agnostisch, wir sehen aber grossen Bedarf in der Finanzbranche, in der Logistik und in der pharmazeutischen Industrie. Besonders für Firmen mit vielen Standorten ist unsere Lösung hervorragend geeignet, da sie sowohl im Set-up als auch im operativen Betrieb kosten- und zeiteffizient ist.