Sie sind hier: HomeDatacenter

KI - Gut oder Böse: Wer wird KI als Erstes im Netzwerk einsetzen?

Es wird immer wahrscheinlicher, dass noch im Jahr 2018 der erste öffentlich bekannte KI-basierte Netzwerkangriff stattfinden wird. Auch bei Herstellern steigt das Bewusstsein für dieses Thema. Im andauernden Kampf zwischen Gut und Böse stellt sich nun die Frage: Wer wird KI als Erstes einsetzen?

Böser Roboter Bildquelle: © willyambradberry - 123RF

Da wäre beispielsweise ein Hacker, der sich Zugang zu einer Unternehmensumgebung verschaffen möchte. Die Möglichkeiten des Angreifers werden durch die Anzahl der zur Verfügung stehenden Talente und Ressourcen eingeschränkt, beispielsweise in Form von technischen Fertigkeiten, Teammitgliedern und Geldmitteln. Doch wie es bei der Automatisierung immer der Fall ist, kann das maschinelle Lernen sehr viel effizienter, unermüdlicher und kostengünstiger Schwachstellen erkennen und verwalten oder Angriffsflächen analysieren.

Ein typisches kleines Angreiferteam ist nicht in der Lage, zur gleichen Zeit Social Engineering zu betreiben, Netzwerke auszuspionieren, ausgenutzte Zero-Day-Schwachstellen zu katalogisieren, Angriffe auf Kennwörter zu überwachen und einen DDoS-Angriff zu starten. Es muss aufgrund seiner beschränkten Ressourcen Kompromisse eingehen, die wiederrum Administratoren Zeit geben, den Angriffsversuch zu erkennen und so zu verhindern. Ein Computer ist hingegen in der Lage, all das und noch viel mehr gleichzeitig durchzuführen, rund um die Uhr und ohne innezuhalten – der Inbegriff einer erweiterten dauerhaften Bedrohung (Advanced Persistent Threat, APT).

Mithilfe der Automatisierung, die weder Geduld noch Motivation braucht, kann selbst ein Angreifer mit beschränktem Zugang zu Computern und begrenztem Budget langsam über Wochen und Monate darauf hinarbeiten, Schwachstellen zu identifizieren, und sich unbemerkt Zugang verschaffen. Tatsächlich ist es deutlich schwieriger, eine Bedrohung zu erkennen, wenn sie über einen längeren Zeitraum geschieht. Administratoren können schließlich nicht ganze Wochen damit verbringen, Systeme zu beobachten und auf das eine Paket in einer Million (oder eher Milliarde) zu warten.

KI im Einsatz für die „Guten“

Wenn IT-Experten gemeinsam mit ihren bewährten Herstellern die Initiative ergreifen, können wir schon bald das maschinelle Lernen – und vielleicht sogar künstliche Intelligenz – nutzen, um unsere Netzwerke und Anwendungen zu schützen. Viele Netzwerkadministratoren befürchten zwar, dass Maschinen die menschlichen Sicherheitsexperten in Unternehmen ersetzen könnten, doch das ist mehr als unwahrscheinlich. Die Managementanforderungen zunehmend komplexer Systeme werden voraussichtlich ungefähr die gleiche Menge an Ressourcen erfordern, die durch die Automatisierung des alltäglichen Managements eingespart werden.

Schon heute bieten moderne Überwachungs- und Beobachtungsplattformen Administratoren erstklassige Einblicke, auch ohne ML. Mit den neuen, einfacher bereitzustellenden Tools können Messdaten und Ereignisse endlich durch die kontinuierliche systemeigene Telemetrie beobachtet werden - nicht nur durch sporadisches Scannen, den Blick auf ein Dashboard oder regelmäßige Berichte. In vielerlei Hinsicht treiben diese neuen APM-Ansätze tatsächlich die Effektivität von Algorithmen voran, anstatt dass das maschinelle Lernen neue Datenplattformen schafft. Daten kommen immer zuerst, dann erst kommt das Lernen.

IT-Telemetrie-fähiges maschinelles Lernen wird Sicherheitsexperten einige faszinierende neue Möglichkeiten bieten. Man denke beispielsweise an einen Spear-Phishing-Angriff, bei dem wohlformulierte gefälschte E-Mails der Rentenkasse an die Ehepartner von Mitarbeitern gesendet werden. Einer der Empfänger leitet die Mail freundlicherweise innerhalb der Firewall an seinen Partner weiter, der leitender Netzwerksicherheitsadministrator ist. Nun hat ihr potenziell auf Zero-Day-Schwachstellen basierender Inhalt die Chance, die Workstation eines Administrators zu gefährden.
 
Für den Netzwerkadministrator ist es eine Herausforderung solch einen Angriff mit herkömmlichen Regeln und Methoden zu verhindern bzw. all diese Faktoren im Blick zu behalten. Algorithmen zur Erkennung von Anomalien, die mit den Daten von Millionen von E-Mail-Nachrichten trainiert wurden, erkennen jedoch selbst einen „perfekt“ gestalteten Spear-Phishing-Angriff in kürzester Zeit. Schlaue Sicherheitsadministratoren können Vergleichsdatensätze ausführen, um normale von ungewöhnlichen E-Mails zu unterscheiden und gleichzeitig für zusätzliche Überprüfungen unterschiedliche Mitarbeitertypen und deren Vertrauenswürdigkeit und Interessen zu untersuchen.