Automatisierter Schutz
03.07.2019, 06:30 Uhr
KI und Mensch: gemeinsam für mehr Sicherheit
Immer mehr Attacken, immer mehr Angriffsflächen, nie genug Fachleute. Deshalb setzten viele Unternehmen im Bereich Security auf KI. Aber auch der Mensch bleibt wichtig.
Immer wieder klagen Unternehmen, dass die eigenen Mitarbeiter nicht sicherheitsbewusst genug und gute IT-Fachleute mit Security-Know-how viel zu teuer und schwer zu finden seien, während die Cyberangriffe immer gezielter, schneller und gefährlicher würden.
Bemerkenswert ist, dass dieses Lamento sehr häufig auf den Ebenen Geschäftsführung, Vorstand und Management ertönt, während die IT-Verantwortlichen mindestens ebenso häufig kritisieren, dass gerade diese Führungsebenen es sind, die die notwendigen Investitionen in Hard- und Software, Sicherheitstrainings oder IT-Spezialisten nicht aufbringen wollen.
Auch wenn diese Gegenüberstellung etwas zugespitzt ist, so zeigt sie doch das Dilemma: Die Gefahr steigt, aber es fehlt an Personal und Investitionen. So ist dann auch kein Wunder, dass das Thema Automatisierung, das sowieso eine gewisse Omnipräsenz in der IT erlangt hat, nun auch auf dem Gebiet der Cybersicherheit immer häufiger diskutiert wird.
Computerworld hat einige Experten dazu befragt, wie automatisierte Systeme die Bedrohung durch Cyberangriffe mindern können und welche Rolle die Künstliche Intelligenz dabei übernehmen kann, Angriffe frühzeitig zu erkennen und Sicherheit auch ohne ausgewiesene Spezialisten zu garantieren.
Denkweise statt Produkt
Sowohl für die IT-Fachleute, die in einem Security Operation Center (SOC) für viele und meist grosse IT-Infrastrukturen verantwortlich sind, als auch für die Administratoren, die «nur» die IT-Sicherheit des eigenen Unternehmens gewährleisten müssen, können von «Security Automation» profitieren. Doch wie wird so etwas am besten umgesetzt und was verstehen die Anbieter überhaupt unter diesem auf den ersten Blick doch sehr weit gefassten Begriff?
Stellt man diese Frage Unternehmen aus dem weiten Feld der Unternehmenssicherheit, dann zeigt sich rasch, dass die Security-Spezialisten von McAfee offenbar richtig liegen, wenn sie auf ihrer Webseite postulieren: «Die Automatisierung und Koordinierung von Sicherheitsmassnahmen ist kein Produkt - sondern eine Denkweise.»
“Automatisierung beschleunigt die Reaktion.„
Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks
Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks, sieht in der Automatisierung einen wesentlichen Faktor «bei der Optimierung des Betriebs». Er hebt hervor, dass Unternehmen ihre Angriffsfläche reduzieren und wissen müssen, welche Bereiche am wichtigsten, also besonders geschäftskritisch sind: «Daher gilt es, die Umgebung so zu segmentieren, dass es einfacher ist, alles im Blick zu haben und Regeln durchzusetzen», fasst er zusammen. «Automatisierung beschleunigt die Reaktion. So definieren Unternehmen eine einzige, konsistente Richtlinie und automatisieren Updates über mehrere verwaltete Firewalls hinweg. Dabei ist es ganz egal, ob das physisch oder virtuell geschieht.»
Das IT-Team kann sich auf Gegner und Playbooks - eine Sammlung von Prozeduren, die helfen, erkannte Sicherheitswarnungen zu automatisieren und zu orchestrieren - konzentrieren. Die Security-Operating-Plattform dagegen, so Zeitler, könne sich um die Prävention kümmern und automatisiert und koordiniert sicherstellen, dass die IT in den einzelnen Phasen eines Angriffslebenszyklus geschützt und Ausfallzeiten minimiert würden, etwa durch Next-Generation-Firewalls oder Lösungen zur Endpunktsicherheit und zur Abschottung von Software-as-a-Service-Anwendungen.
Ausweg aus dem Expertenmangel
Die Analysten des US-Marktforschungsunternehmens Cybersecurity Ventures untersuchen regelmässig den Sicherheitsmarkt und veröffentlichen vierteljährlich und jährlich Reports dazu. In ihren aktuellen Untersuchungen aus dem Jahr 2018 kalkulieren sie, dass Unternehmen bis 2021 weltweit über sechs Billionen Dollar im Kampf gegen Cyberkriminalität ausgeben werden. Im gleichen Zeitraum wird es nach Einschätzung des Berichts rund 3,5 Millionen Security-Jobs geben, die nicht besetzt werden können.
Juniper Networks, einer der grössten Netzwerkausrüster weltweit, vertritt die Auffassung, dass die geschilderten Probleme der IT-Security sowohl in Bezug auf die Kosten als auch was das fehlende Fachpersonal angeht, mit Hilfe der Automatisierung gelöst werden können.
Zusammen mit dem Ponemon Institute hat Juniper 1859 IT- und IT-Security-Experten in Deutschland, Frankreich, Grossbritannien und den USA zu Anwendungen und Technologien der Security-Automatisierung befragt. Die Studie «The Challenge of Building the Right Security Automation Architecture» kommt zu dem Ergebnis, dass den Verantwortlichen sehr wohl bewusst ist, wie wichtig die Automatisierung für die Cyber-Security ist. Ebenso deutlich wird aber auch, dass es für viele Unternehmen eine grosse Herausforderung bedeutet, die Sicherheit ihrer IT-Systeme und die verbundenen Prozesse zu automatisieren. So halten zwar 70 Prozent der Befragten die Automatisierung für sehr wichtig für die Sicherheit ihrer IT, aber über die Hälfte dieser Unternehmen steht nach eigenen Aussagen vor dem Problem, dass die richtigen Sicherheitsexperten für die Implementierung solcher Lösungen Mangelware sind.
Zudem beklagen die Unternehmen ein «Security-Chaos», das durch die hohe Anzahl an Anbietern von Security-Lösungen entstanden sei: Da viele Firmen Stand-alone-Werkzeuge für die diversen Sicherheitsaufgaben einsetzen, nutzen sie häufig Programme von vielen verschiedenen Herstellern - diese müssen alle integriert werden, wenn eine effiziente Security-Automation-Architektur aufgebaut werden soll. Für 71 Prozent der befragten Unternehmen stellt diese Herausforderung noch eine grosse Hürde auf den Weg zur «automatischen» Sicherheit dar. Deckungsgleichheit herrschte bei den Studienteilnehmern hinsichtlich der Frage, welche Sicherheitsprozesse bereits automatisiert sind beziehungsweise auf jedem Fall automatisiert werden: Je 59 Prozent nannten hier die Bereiche Incident Response, Security Analysis und Malware Investigation.
KI und Mensch
Rüdiger Weyrauch, Director Sales Engineering Central & Eastern Europe bei FireEye, sieht bei Security Automation einen aktiven wie einen reaktiven Ansatz: «Security Automation beschreibt die Zusammenführung notwendiger Daten bei einem Alarm samt Risikoeinschätzung, um dem Analysten zum einen eine priorisierte Liste von Alarmen zu geben. Zum anderen soll und kann sie aber auch eine rasche und richtige Beurteilung des Alarms ermöglichen.»
Für Senior Enterprise Technology Specialist Rolf Haas von McAfee besteht die Aufgabe eines automatisierten Konzepts im Kern darin, Security-Spezialisten zu entlasten und das Sicherheitsnivau ingesamt stark zu erhöhen, etwa indem Algorithmen standardisierte Analyseaufgaben übernehmen und Bedrohungsdaten austauschen, sodass schnellere und intelligentere Reaktionen möglich werden.
Die Gefahr, eine automatisierte Sicherheit könne die Menschen - also die IT-Security-Spezialisten - überflüssig machen, sieht Haas dabei überhaupt nicht: «Es geht nicht darum, den Menschen durch eine Maschine zu ersetzen. Stattdessen setzt die Automatisierung dort an, wo die Kapazitäten des Menschen an ihre Grenzen stossen. Im Optimalfall ergänzen Mensch und Maschine sich gegenseitig.»
Diese Einschätzung teilt Richard Werner, Business Consultant bei Trend Micro: «Ähnlich wie Automatisierung in der Industrie den Menschen immer mehr von der Fliessbandarbeit befreit, wird es auch in der IT-Security zu einer Veränderung in der täglichen Arbeit kommen. Das IT-Security-Fachpersonal wird künftig weniger mit taktischen Aufgaben wie dem Entfernen von Bedrohungen zu tun haben und sich dafür eher auf strategische Aufgaben fokussieren können - etwa auf die Erarbeitung von Security-Konzepten für neue Bereiche wie DevSecOps oder IoT sowie auf das Fein-Tuning der eigenen Lösung bei Veränderungen der Bedrohungslage. Die Rolle wird sich immer stärker vom ,Security-Bediener‘ hin zum ,Security-Entscheider‘ entwickeln.»
“Die Automatisierung setzt dort an, wo die Kapazitäten des Menschen an ihre Grenzen kommen. Es geht nicht darum, den Menschen durch eine Maschine zu ersetzen.„
Rolf Haas, Senior Enterprise Technology Specialist bei McAfee
Auch Jens Freitag, Security Engineer DACH beim Sicherheits-Dienstleister Tenable, betont den kooperativen Aspekt: «Automatisierte Sicherheit ist ein schönes Beispiel für die Zusammenarbeit von Mensch und Maschine. Die Maschine erkennt Schwachstellen, aber der Mensch entscheidet über Scans und auch darüber, ob und wann gepatcht wird. Der kontrollierende Bestandteil des Prozesses ist also der Mensch.»
“Die Maschine erkennt Schwachstellen, aber der Mensch entscheidet über Scans und auch darüber, ob und wann gepatcht wird.„
Jens Freitag, Security Engineer DACH bei Tenable
Ganz ähnlich sieht das Gérard Bauer, Vice President EMEA bei Vectra Networks, einem Unternehmen, das sich auf Lösungen zum automatischen Gefahrenmanagement und zur Echtzeiterkennung laufender Angriffe konzentriert: «Je effektiver und feinfühliger die eingebettete IT-Sicherheit agiert, desto ungestörter kann das Unternehmen das digitalisierte Geschäft vorantreiben. Die Automatisierung der Cybersicherheit durch maschinelles Lernen und Künstliche Intelligenz ist die ideale Antwort auf den Mangel an Fachkräften, Ressourcen und Erkennungsfähigkeiten», so Bauer. Und auch ihm ist wichtig zu betonen, dass die Menschen dadurch nicht überflüssig gemacht werden: «Vielmehr wird ihre Leistungsfähigkeit als Sicherheitsexperten durch automatisierte Sicherheitslösungen unterstützt und erweitert. Auf diese Weise werden die Fachkräfte bei ihren Sicherheitsoperationen effizienter und effektiver.»
KI als Allheilmittel?
Eine Diskussion über die Automatisierung in der IT-Sicherheit zu führen, ist nicht möglich, ohne den IT-Hype der Stunde, die Künstliche Intelligenz, zu thematisieren. Trends wie Machine Learning spielen bei der automatisierten Sicherheit eine zentrale Rolle. So unterstützt etwa FireEye durch das Machine-Learning-Modul Malware Guard das schnelle Erkennen von Angriffen. «Durch die Threat-Intelligence-Daten, die wir seit über 15 Jahren sammeln, ist hier eine Menge Material verfügbar, um das Machine Learning zu guten Ergebnissen zu führen», erläutert FireEye-Director Rüdiger Weyrauch.
Trend-Micro-Consultant Richard Werner beschreibt das Potenzial der KI-Technik für die Automatisierung der Cyberabwehr so: «Künstliche Intelligenz wird in allen Bereichen - Schutz, Erkennung und Antwort - eingesetzt, um den jeweiligen Task bestmöglich zu unterstützen. Auch wenn wir über Security-Automatisierung in der beschriebenen Form sprechen, ist es unerlässlich, dass viele kleine Einzelfallentscheidungen getroffen werden. Da bei der derzeitigen Bedrohungslage viele solcher Entscheidungen in sehr kurzer Zeit getroffen werden müssen, ist die Nutzung von KI an dieser Stelle unerlässlich.»
“Die Rolle des IT-Security-Fachpersonals wird sich immer stärker vom Security-Bediener hin zum Security-Entscheider entwickeln.„
Richard Werner, Business Consultant bei Trend Micro
Fazit & Ausblick
Ohne Automatisierungs-Techniken lassen sich die immer zahlreicheren, immer raffinierteren und immer professionelleren Cyberangriffe nicht mehr in den Griff bekommen. So weit sind sich alle Security-Experten einig. Und deshalb nehmen auch alle von uns befragten Hersteller von Security-Lösungen für sich in Anspruch, derartige Techniken in ihren Plattformen und Produkten zu verwenden.
Doch räumen die Hersteller auch ein, allein mit der Einführung einer Security-Lösung mit Automatisierungs-Komponente sei es nicht getan. Auch der menschliche Faktor werde weiter eine tragende Rolle spielen. Vectra-Networks-VP Gérard Bauer etwa stellt heraus, wie wichtig es ist, dass Sicherheitsteams zu «Business-Enablern“ und Partnern der operativen Geschäftsabteilungen werden und den Geschäftsbetrieb nicht etwa behindern, sodass gute IT-Sicherheit sogar zum Wettbewerbsvorteil werden kann.
CIOs und CISOs sollten also - ebenso wie die Geschäftsleitungen - stärker auf die Zusammenarbeit zwischen automatisierten Systemen (auch mit KI) und den Security-Experten im Unternehmen setzen, um auch in Zeiten stark zunehmender Bedrohungen ein angemessenes IT-Sicherheitslevel zu gewährleisten.
Im Gespräch mit Laurence Pitt von Juniper Networks
Bei der Automatisierung der Sicherheit kommt der Netzwerkinfrastruktur eine wichtige Rolle zu. Laurence Pitt, Global Security Strategy Director beim Ausrüster Juniper Networks, erklärt, warum das so ist und welche Rolle Künstliche Intelligenz dabei spielt.
Computerworld: Wo sollte eine Automatisierung von Sicherheitsprozessen ansetzen?
Laurence Pitt: Bei den häufigsten repetitiven Aufgaben. Die nehmen den Technikern wertvolle Zeit weg, die sie besser dafür verwenden könnten, die Sicherheitslage strategisch zu verbessern statt lediglich Sicherheitsprodukte taktisch zu warten. Wenn die Automatisierung innerhalb der Kundenumgebung «reift», kann sie später auch komplexere Aufgaben übernehmen.
Noch weiter als die Automatisierung solcher Aufgaben reicht die Idee einer One-Click-Security. Sie nutzt Data Intelligence aus mehreren Sicherheits- und Nicht-Sicherheitslösungen, um schneller Anomalien und selbst unbekannte Bedrohungen zu erkennen und die Störung von Geschäftsprozessen auf ein Minimum zu reduzieren. Dabei geht es nicht nur darum, Bedrohungen zu erkennen. Eine effektive One-Click-Security muss auch in der Lage sein, automatisch Security-Richtlinien zu generieren und anzuwenden - sowohl für Sicherheits- als auch für Non-Security-Geräte wie Switches und Router. Der effektivste Weg, eine Bedrohung zu stoppen, besteht nämlich darin, sie so schnell wie möglich von «unbekannt» auf «bekannt» zu ändern.
Computerworld: Wie kann ein solches Konzept helfen, Angriffe auf die IT-Infrastruktur automatisiert zu bekämpfen?
Pitt: Automatisierung ist eine Reise, auf der sich alle Unternehmen befinden, aber jedes in seinem eigenen Tempo. Jede Organisation verfügt über Firewalls und Sicherheitstechnologien der nächsten Generation. Die Herausforderung besteht darin, dass ein Techniker Bedrohungen innerhalb dieser Lösungen erkennt. Intelligente Netzwerkinfrastrukturen lassen sich dazu nutzen, Bedrohungen schneller und genauer anzugehen - und gleichzeitig durch Business Intelligence bessere Investitionsentscheidungen für Sicherheitsmassnahmen zu treffen. Dieses Bedrohungsmanagement und diese Analysen ermöglichen es, Handlungen mittels Machine Learning zu automatisieren. Stellen Sie sich zum Beispiel vor, dass ein Command-and-Control-Server im Netzwerkverkehr zwischen Firewall, Switches und Endpunkten zu sehen ist. Machine Learning könnte diese Bedrohung identifizieren und automatisch eine Sicherheitsrichtlinie generieren, die das Eindringen in das Netzwerk verhindert und gleichzeitig die betroffenen Endpunkte isoliert.
Computerworld: Welche Rolle spielen dabei die Menschen?
Pitt: Der skizzierte Schritt erfordert immer noch die Kontrolle durch Menschen. Die Zusammenarbeit zwischen klassischem Sicherheitsteam und automatisierten Lösungen bleibt dafür unerlässlich. Denn Computer sind sehr gut bei repetitiven Aufgaben und erkennen Dinge schneller als der Mensch, aber Menschen sind effizienter darin, einen fortgeschrittenen Multi-Vektor-Angriff zu erkennen oder Anomalien beispielsweise durch das Beobachten von Social Media zu bemerken. Zumindest Teile der Netzwerksicherheit dürften sich im Lauf der Zeit vollständig automatisieren lassen.
Computerworld: Bis zu welchen Grad braucht automatisierte Sicherheit die Unterstützung durch eine Künstliche Intelligenz?
Pitt: Automatisierte Lösungen erfordern nicht per se Künstliche Intelligenz, obwohl fortschrittlichere Lösungen Machine Learning verwenden, um Sicherheitsrichtlinien und Sicherheitseinstellungen anzupassen und zu erstellen. Für viele Unternehmen mag das schon ausreichen. Aber direkte Vorteile wird eine KI bringen, wenn es um Fertigungsunternehmen geht, für die geistiges Eigentum Wettbewerbsvorteile bringt, oder um komplexe Systeme wie im Gesundheitswesen mit einer sensiblen Kombination von persönlichen und Gesundheitsdaten. Die Herausforderung besteht darin, dass die Bereitstellung von Advanced Machine Learning - KI ist eher ein Marketingbegriff - komplex ist und Experten gefragt sind, was sie zu einer teuren Mangelware macht.
Computerworld: Wie sehen Sie generell die Lage an der Security-Front? Gibt es schon eine ausreichende Security Awareness in den Unternehmensführungen?
Pitt: Aus meinen Gesprächen mit Unternehmen auf Events wird deutlich, dass CIOs, CISOs und ihre Teams die Notwendigkeit und den potenziellen Nutzen von KI und maschinellem Lernen zur Automatisierung des Sicherheitsstatus erkannt haben. Angesichts zahlreicher hochentwickelter Bedrohungen und weltweiter regulatorischer Anforderungen wissen sie, dass es diese Technologien sind, auf deren Basis sie Regeln und Lösungen zum Schutz von Daten in grossem Massstab entwickeln können. Damit vermeiden sie auch mögliche Geldstrafen. Die grösste Security-Herausforderung ist nicht das Bewusstsein für die Gefahren, sondern die Zeit, das Budget und die Mitarbeiter, um die Lösungen erfolgreich und konsequent im gesamten Unternehmen einzusetzen.