Künstliche Intelligenz im Dienst der Cybersecurity

Ein Security Operations Center (SOC) stellt man sich gemeinhin als grossen Raum mit riesigen Bildschirmen vor, auf denen im Sekundentakt Warnmeldungen aufleuchten. Davor sitzt eine Armee von Sicherheitsexperten, welche die Bedrohungen mit Argusaugen überwachen, analysieren und entsprechend abwehren. So weit das Klischee, das uns Hollywood vor allem am Beispiel von Regierungs- und Verteidigungsorganisationen auch heute noch bereithält. In der Realität sieht das Szenario etwas anders aus. Eine rein von Menschenhand durchzuführende Bedrohungsabwehr ist heute indes undenkbar. Denn Angreifer nutzen vermehrt künstliche Intelligenz, um ihre Attacken nicht nur raffinierter, sondern auch zahlreicher zu lancieren. Aus diesem Grund müssen sich die Methoden, denen sich SOC bei der Abwehr von Sicherheitsvorfällen bedienen, in demselben Mass verbessern, wie sich die Bedrohungstechniken weiterentwickeln. 

Effizienzsteigerung dank KI

So kommt beispielsweise im Abraxas-SOC beim Incident-Management seit Langem mit Machine Learning (ML) eine Teildisziplin der künstlichen Intelligenz zum Einsatz. Dabei erkennen die Systeme bestimmte Ereignisse, die einen Sicherheitsvorfall ausmachen können und die darauf hindeuten, dass Systeme oder Daten kompromittiert wurden oder Schutzmassnahmen versagt haben. Die ML-Komponente erkennt dabei Muster und bündelt einzelne Ereignisse zu Vorfällen. Das erleichtert den Sicherheitsanalysten die Arbeit, müssen sie doch nicht mehr jeden einzelnen Alarm überprüfen, der gemeldet wird.

Durch die automatisierte Klassifizierung und Priorisierung der Vorfälle können diese nach Schweregrad eingestuft werden, um eine angemessene Reaktion zu ermöglichen. Solche Methoden sind nötig, weil sich durch den Einsatz von KI aufseiten der Angreifer nicht nur die Qualität von Ransomware-, Malware- und Phishing-Angriffen verbessert hat, sondern weil dank deren verstärkten Automatisierungsmethoden die Systeme der Unternehmen geradezu mit Attacken überflutet werden. «Mit ML-Methoden erkennen wir im SOC bedeutend mehr Angriffe», sagt John Winter, Produktmanager Security Services bei Abraxas. «Mit KI können wir diese aber besser bündeln und beurteilen. Wir brauchen dazu heute keine grosse Anzahl an Analysten mehr.»

In der Praxis kann dank KI-gestützter Verhaltensanalyse innerhalb des Managed Security Services «Endpoint Detection & Response» schädliches Verhalten auf Betriebssystemen über einen längeren Zeitraum aufgedeckt werden. Und mit dem Service «Managed Vulnerability Management» werden potenzielle Schwachstellen und Systeme mit hohem Sicherheitsrisiko identifiziert und behoben, bevor sie zu teuren Notfallmassnahmen führen. Dazu werden IT-Infrastrukturen und -anwendungen regelmässig gescannt und neben Daten von Servern und Clients auch Datenbanken mit öffentlich bekannten Schwachstellen genutzt.

Reaktionen auf Alarme sind nicht KI-basiert

Moderne Incident-Management-Systeme automatisieren denn auch viele Aspekte des Prozesses im SOC – etwa zur verbesserten Bedrohungserkennung und Verhaltensanalyse, indem mit ML ungewöhnliche Datenverkehrsmuster, nicht autorisierte Handlungen oder Geräte identifiziert werden. Abwehrmassnahmen seien aber immer regelbasiert und würden immer von vornherein exakt definiert. «Reaktionen auf Bedrohungssituationen würde man zum heutigen Zeitpunkt nicht einer KI überlassen», sagt Winter. Denn die KI könnte Regeln falsch interpretieren. Die Systeme würden zum Beispiel nicht a priori erkennen, wenn Mitarbeitende bei einem Kunden oder bei Abraxas eine Handlung vollzogen haben, die zwar nicht üblich, aber dennoch legitim ist. Das kann zum Beispiel sein, wenn Mitarbeitende grös­sere Datenmengen in Teams laden. Dann werden bestimmte Regeln wie etwa die Herkunft der IP-Adresse oder die Zertifizierung der Exe-Datei für das Programm definiert. Für solche falsch-positive Alarme würden entsprechende Regeln hinterlegt, diese aber immer von einem Menschen und nie von einer KI geschrieben. Treffen die definierten Regeln nun auf einen Alarm zu, ist dieser als falsch-positiv zu werten und kann als erledigt betrachtet werden.

Generative KI in den Startlöchern

In Zukunft soll über die ML-Modelle hinaus auch generative KI zum Einsatz kommen. Konkret geht es darum, dass Analysten für Threat-Hunting KI-Abfragen innerhalb der XSIAM-Lösung von Palo Alto Networks starten können. Aus Datenschutzgründen ist diese Funktionalität allerdings in Europa noch nicht zugelassen. Winter geht aber davon aus, das Feature einzusetzen, sobald es für den Schweizer Markt freigegeben wird. «Es ist klar, dass wir uns in einem ständigen Wettlauf mit den Cyberkriminellen befinden und wir deshalb auch darauf angewiesen sind, ebenfalls modernste Methoden zur deren Bekämpfung einzusetzen. Es ist aber auch klar, dass in regulierten Märkten wie den öffentlichen Verwaltungen besonders strenge Vorschriften gelten, die eingehalten werden müssen.»

Generative KI bei der Softwareentwicklung

Die Bekämpfung von Schwachstellen betrifft aber bei Weitem nicht nur Netzwerke, Server, Endgeräte oder Betriebssysteme. Auch Softwareanwendungen, die auf diesen Infrastrukturen betrieben werden, können ausnutzbare Schwachstellen aufweisen. Der Grund liegt darin, dass heutige Softwareanwendungen Hunderte von Fremdkomponenten enthalten, die innerhalb des Gesamtsystems zu einer Vielzahl von Abhängigkeiten führen. Diesen zunehmend komplexer werdenden Umständen wirken die Softwareentwicklerinnen und -architekten beim Code entgegen: «Wir können mit künstlicher Intelligenz beispielsweise mit Github Copilot Schwachstellen im Code identifizieren und direkt bei der Entstehung patchen», sagt Daniel Scherrer, Chief Software Security Officer bei Abraxas. Diese generative KI innerhalb des Code-Vervollständigungs- und Programmier-Tools erarbeitet dann im Dialog mit dem Entwickler Vorschläge, um die Sicherheit zu verbessern, noch bevor Code-Reviews oder Penetrationstests durchgeführt werden. Auch hier ist klar, dass die geltenden Vorschriften hinsichtlich Datenschutz und Informationssicherheit erfüllt werden müssen. Scherrer setzt denn auch Github Copilot mit seinen Teams erst seit dem Zeitpunkt ein, als es im Juni 2024 für die Einhaltung von Sicherheitspraktiken extern geprüft und entsprechend zertifiziert wurde. Zukünftig werden Softwareentwicklerinnen  und -architekten mit speziellen Schulungsprogrammen und Awareness-Kampagnen für die zusätzlichen Möglichkeiten generativer KI bei der Software­entwicklung sensibilisiert. GenAI ersetze indes keine bestehenden Prozesse. Sie erweitere vielmehr aktuelle Praktiken und Prüfmethoden, so Scherrer. Darüber hinaus ist man innerhalb einer interdisziplinär zusammengestellten Software Security Group bemüht, neuestes Wissen zeitnah allen Security-Teams zur Verfügung stellen zu können. «Alle Learnings sollen sich in einer Art Schwarmintelligenz zeitnah positiv auf die Produktentwicklung auswirken», sagt Scherrer.

Mit guter KI gegen böse KI

Die wachsende Komplexität der IT-Systeme, verbunden mit den immer ausgeklügelteren Angriffsmethoden, denen sich Cyberkriminelle nicht zuletzt dank KI bedienen, stellt Sicherheitsorganisationen vor grosse Herausforderungen. Um die Systeme bestmöglich zu schützen, setzen SOC denn auch seit Längerem ML-Technologien ein. Dies ermöglicht eine effizientere Bedrohungserkennung in beinahe Echtzeit, eine präzisere Entscheidungsfindung bei der Analyse der Attacken und im besten Fall eine proaktive Bekämpfung von Angriffen. Zum Einsatz kommt denn auch vermehrt generative KI, sofern sie den Datenschutzbestimmungen entspricht. «Dank KI ist es möglich, dass ein Team von 7 Security-Analysten 80 Kunden mit 50 Fachanwendungen erfolgreich schützt», resümiert Winter.