Cyber-Sicherheit und KI sind schon seit einiger Zeit miteinander verbunden. Die Anforderungen der digitalen Transformation erfordern eine agile Cyber-Sicherheitsstrategie – die Bedrohungslandschaft nimmt zu und die Reaktionszeit ist wichtiger denn je. Der Einsatz von KI in der Cyber-Sicherheit ermöglicht es Unternehmen, sich auf einen proaktiven anstatt auf einen reaktiven Ansatz zu konzentrieren.
Die große Nachfrage nach KI im Bereich der Netzwerksicherheit ergibt sich aus der Tatsache, dass ein hohes Sicherheitsniveau an jedem Zugangspunkt aufrechterhalten und gleichzeitig der Verwaltungsaufwand verringert werden muss. KI kann die Komplexität der Verwaltung von Sicherheitsrichtlinien durch die Automatisierung von Richtlinienänderungen, Aufgaben, Protokollanalyse, Optimierung usw. verringern.
Sie kann auch ein höheres Schutzniveau bieten, indem sie Unternehmen in die Lage versetzt, moderne Sicherheitsmechanismen zu nutzen und den Datenverkehr eingehend zu prüfen. Besonders hervorzuheben ist, dass den Einsatz von KI der Faktor Mensch entlastet, da autonome Entscheidungen und Weichenstellungen durch die Technologie übernommen werden und die Systeme im besten Fall ineinandergreifen.
Im Kern ist die KI in der Netzwerksicherheit ein Werkzeug oder besser gesagt eine Reihe von Werkzeugen, die auf der Grundlage bestimmter Anforderungen automatische Aktionen durchführen. Sie kann mit einem Data Lake oder über vordefinierte Bedingungen arbeiten. Die Hauptaufgaben der KI im Bereich der Netzwerksicherheit bestehen darin, für mehr Performance zu sorgen und die Effizienz menschlichen Handelns zu steigern.
Herausforderungen im Bereich der Netzwerksicherheit
Die Netzwerksicherheit hat sich von Richtlinien, die auf Netzwerken und Ports basieren, zu Richtlinien verlagert, die auf Identitäten und Anwendungen basieren. Es gibt keine netzwerkdefinierte Grenze mehr – die Anwendungen können vor Ort oder in der Cloud gehostet werden; die Benutzer können sich im internen Netzwerk befinden oder von zu Hause oder von einem öffentlichen Ort aus auf die internen Dienste zugreifen. Diese Änderung hat die Anforderung an einen granularen Regelsatz eingeführt, bei dem das Ziel darin besteht, den Netzwerkzugriff auf der Grundlage von Zero Trust-Prinzipien zu beschränken – „wer kann auf was zugreifen“.
Dieser Ansatz bedeutet, dass die Richtlinien nicht mehr statisch sind, sondern in regelmäßigen Abständen aktualisiert werden müssen. Der Einsatz von KI für die Verwaltung und Optimierung von Richtlinien kann das Problem des Overheads lösen und eine Möglichkeit bieten, diese dynamischen Richtlinien zu pflegen, ohne die Auslastung des Teams zu beeinträchtigen. Die Hauptvoraussetzung hier ist doch, dass eine gute Security Baseline etabliert wurde, anhand welcher sich Abweichungen definieren lassen gegen die ein KI-gestütztes Abarbeiten von Anpassungen der Richtlinien erfolgt.
Eine gut gepflegte Sicherheitsrichtlinie allein kann kein ausreichendes Schutzniveau bieten, egal wie granular sie ist. Die nächste Ebene – der Bedrohungsschutz, der zur Überprüfung des Datenverkehrs eingesetzt wird – muss ebenfalls berücksichtigt werden. Die herkömmliche zustandsabhängige Inspektion und die statische Paketprüfung reichen nicht aus, um das Netzwerk zu schützen. Effiziente Netzwerksicherheit besteht in der Verwendung dynamischer Mechanismen, die eine tiefe Paketinspektion ermöglichen, wie Intrusion Prävention, DNS-Sicherheit, Virenschutz usw.
Eine weitere häufige Herausforderung für Netzwerksicherheitsteams ist der Umgang mit vielen Protokollen – Verkehrsinformationen. Ein in die Netzwerksicherheitsprodukte integriertes KI-Tool kann die Zeit für eine schnelle Reaktion auf Vorfälle und eine Ursachenanalyse erheblich verkürzen. Außerdem ermöglicht es den Administratoren einen proaktiven Einblick in die aktuelle Sicherheitslage.
Risiken beim Einsatz von KI in der Netzwerksicherheit
Die Implementierung und Nutzung von KI im Rahmen der Netzwerksicherheit muss ein genau definierter und strenger Prozess sein. Andernfalls besteht ein Risiko das zu Kompromissen und ethischen Komplikationen führen kann, da die richtige KI-Funktionalität von den Daten und deren Qualität abhängt, mit denen sie arbeitet. Die richtige „Fütterung“ und regelmäßige Audits sind wichtig für den Entscheidungsprozess.
Wenn die Informationen aus irgendeinem Grund unklar oder fehlerhaft sind, besteht die Gefahr, dass falsche Entscheidungen getroffen werden, was zu betrieblichen Auswirkungen oder Sicherheitsvorfällen führen kann. Außerdem besteht bei noch jungen Technologien, wie es bei KI der Fall ist, in diesem Zusammenhang das Risiko des Vertrauensverlustes durch jene Menschen.
Letztlich soll die KI ihnen dienen sowie auch deren Management respektive der Geschäftsführung. Es muss daher klar kommuniziert werden, welche Erwartungshaltung realistischerweise gesetzt wird und wie man diese befriedigen kann, und natürlich vorab bereits definieren wie mit Abweichungen umzugehen ist. In vielen Fällen liegt es dann weniger an der Technologie per-se, sondern an der Datenqualität sowie den internen Betriebsprozessen, welche den Einsatz der KI Technologie negativ affektieren.
Praxisbeispiele
Die Nutzung von Cloud-Anwendungen bedeutet einen enormen Mehraufwand für Netzwerksicherheitsteams. Wenn ein bestimmtes Unternehmen O365 verwendet, sollte der Datenverkehr von allen Benutzern zugelassen werden und sich in Richtung aller von Microsoft verwendeten IP-Adressen und Ports bewegen. Tausende von Bereichen, die sich ständig ändern – bei manueller Arbeit sind das Tausende von Stunden und Änderungen an der Richtlinie.
Mit dynamischen Objekten wird die gesamte Arbeit automatisch erledigt, ohne dass ein Eingreifen erforderlich ist. Wenn Microsoft Änderungen vornimmt, werden diese automatisch mit allen erforderlichen Regeln umgesetzt, ohne dass die Gefahr besteht, dass unnötige Kommunikation zugelassen wird.
Ein weiteres Beispiel ist die autonome Bedrohungsabwehr, die die Lücke zwischen der Freigabe neuer Schutzmaßnahmen und deren Implementierung in der Umgebung schließt. Wenn es eine neue Schwachstelle oder einen neuen Zero Day-Angriff gibt, werden alle Schutzmaßnahmen automatisch auf der Grundlage der Umgebung des Kunden aktualisiert.
Bei der herkömmlichen Bedrohungsabwehr kann es bis zu zwei Wochen, in manchen Fällen sogar länger, dauern, bis Schutzmaßnahmen implementiert sind, die die Umgebung verwundbar machen und es böswilligen Akteuren ermöglichen, ihre Möglichkeiten auszuloten.
Es gibt Theorien, die vorhersagen, dass KI menschliche Aufgaben zu 100 Prozent ersetzen wird. Andere sehen in der KI lediglich ein Werkzeug, dass den Menschen bei seinen täglichen Aufgaben unterstützt. Diejenigen, die diese Ansicht vertreten, glauben oft, dass es viele Möglichkeiten gibt, wie KI die Art und Weise der Netzwerksicherheit verbessern und ganze Prozesse automatisieren kann. Allerdings kann KI das strategische Denken nicht ersetzen. Auch kann das Bilden vernetzter Zusammenhänge ohne geeignetes Training der Technologie auf absehbare Zeit ohne menschliches Zutun nicht über übernommen werden.
Die KI wird sich zusammen mit der Netzsicherheit weiterentwickeln. Es sind ausgefeilte Schutzmaßnahmen, eine bessere Automatisierung, aber auch neue Cyber-Herausforderungen zu erwarten. KI ist ein leistungsfähiges Werkzeug, dass von beiden Seiten, also auch oder vielleicht sogar vor allem von Cyberkriminellen, genutzt werden wird.
Marco Eggerling ist CISO EMEA bei Check Point Software Technologies.
