Künstliche Intelligenz in der Cybersicherheit: Wo stehen wir im Technologieeinführungszyklus/Hype Cycle?

Wahrscheinlich ist Ihnen aufgefallen, wie weit verbreitet künstliche Intelligenz (KI) und die damit verbundenen Begriffe wie maschinelles Lernen, neuronale Netze und Big Data Analytics in den letzten Jahren in der Welt der Cybersicherheit geworden sind. Ist es nicht sinnvoll, dass die Sicherheitsbranche nach dem nächsten großen Ding sucht, wenn man die erschreckend hohe Zahl von Vorfällen und Sicherheitsverletzungen betrachtet, die die Welt derzeit erlebt? Vielleicht haben Sie - so wie ich - große Sicherheitsveranstaltungen wie die RSA Conference oder die Black Hat besucht und waren verwirrt darüber, wie sich diese Analysekonzepte auf die alltägliche Arbeit zur Gewährleistung der Sicherheit einer Organisation beziehen. Was ist die richtige Rolle der KI in der Cybersicherheit und wann wird sie diese Rolle endgültig übernehmen?

Eine Möglichkeit, diese Frage zu beantworten, besteht darin, herauszufinden, wo sich KI im Bereich der Cybersicherheit im Allgemeinen im Lebenszyklus der Technologieeinführung befindet. Der wohl bekannteste Rahmen für den Lebenszyklus der Technologieeinführung in der IT- und Sicherheitsbranche ist Gartners Hype Cycle. Wo befindet sich Ihrer Meinung nach KI in der Cybersicherheit in diesem Rahmen? Ich werde Ihnen meine Meinung am Ende dieses Blogs mitteilen.

Abbildung 1 - Grafik des Hype Cycle von Gartner

Unternehmen wenden die Sicherheitsgrundlagen nicht konsequent an

Wenn man über das nächste große Ding in der Sicherheit nachdenkt, muss man sich vor Augen halten, dass viele Unternehmen in ihren Sicherheitsprogrammen nicht konsequent die Sicherheitsgrundlagen und bewährten Praktiken wie regelmäßige Patches, Multi-Faktor-Authentifizierung, Sicherheitsschulungen, E-Mail-Phishing-Schutz und regelmäßige Systemsicherungen anwenden. Wie wichtig ist das nächste große Ding, wenn die aktuellen grundlegenden Dinge nicht gut implementiert sind?

Lassen Sie mich AI ganz kurz definieren. KI ist eine Form der Datenverarbeitung, die, wie mein Kollege Herb Roitblat, einer der bei Mimecast ansässigen Datenwissenschaftler, definiert, "eine Form der computergestützten Problemlösung mit den Mitteln zur Lösung eines Problems, aber ohne die Regeln dafür" ist. Herb erwidert auch oft: "Wenn Sie die Regeln zur Lösung des Problems aufschreiben können, tun Sie es! Wenn Sie das nicht können, ziehen Sie KI in Betracht.

Und wie Dr. Jim Davis, Professor für Informatik und Ingenieurwesen an der Ohio State University, erklärt: "Modernes maschinelles Lernen ist datengesteuert, und mit den Daten kann man automatisch Kategorien und Klassifizierungen vornehmen, wie z. B. die Arten von bösartigen oder unerwünschten E-Mails."

KI zur Unterscheidung zwischen Gut und Böse

Sind KI-Algorithmen schlauer als der durchschnittliche Sicherheitsforscher? Nicht einmal annähernd. Aber bei bestimmten Aufgaben können sie billiger, besser und schneller sein als herkömmliche Analysetechniken und manuelle Prozesse. Wie Herb erklärt, "ersetzt KI Menschen, die bestimmte Aufgaben ausführen. Sie ersetzt nicht die Arbeit von Menschen". Und genau das macht den Reiz von KI für die Cybersicherheit aus. Wie keine andere Branche brauchen wir schnellere, bessere und billigere Verfahren und weniger Abhängigkeit von Menschen, um die Flut sicherheitsrelevanter Daten zu bewältigen, insbesondere aus der Perspektive eines Cloud-basierten Sicherheitsanbieters, der so viele Daten zu verarbeiten hat.

Um ein Gefühl für die enormen Datenmengen zu vermitteln, die im Spiel sein können, verarbeiten wir bei Mimecast alle paar Monate Hunderte von Milliarden von E-Mails , von denen etwa 50 % unerwünscht oder schlecht sind. Der Trick besteht natürlich darin, die schlechten und unerwünschten E-Mails schnell zu finden und zu blockieren, während die legitimen nicht blockiert werden. Und in einigen Fällen ist es sehr schwierig, explizite Regeln zur Unterscheidung zwischen guten und schlechten E-Mails aufzustellen, während wir dies in anderen Fällen können. Aber wir haben auf jeden Fall die Daten, um KI einen ernsthaften Versuch zu wagen.

Beispiele für künstliche Intelligenz bei Mimecast

Eine einfache Möglichkeit für mich, den Stellenwert von KI in der Cybersicherheit im Hype Cycle im Allgemeinen zu beurteilen, besteht darin, ihre Verwendung innerhalb von Mimecast zu betrachten. Liefert sie in unserem Teil des Sicherheitsbereichs einen Mehrwert? Wenn man sich ansieht, wie KI bei Mimecast eingesetzt wird (siehe unten), ist es interessant festzustellen, wie anwendbar KI-Techniken auf bestimmte Aspekte der E-Mail- und Web-Sicherheit Problembereiche sind. Dabei ist jedoch zu beachten, dass die Probleme relativ eng gefasst sind, was bedeutet, dass KI-Techniken eine hervorragende Ergänzung, aber keinesfalls ein Ersatz für herkömmliche Analyse- und Erkennungstechniken sind. Im Folgenden finden Sie eine Auswahl von KI-bezogenen Implementierungen und Projekten bei Mimecast:

• Bildüberprüfung und -filterung - Deep Learning wird eingesetzt, um unsichere Bilder und andere Bilder, wie z. B. Logos, zu identifizieren, um die Filterung und Phishing-Erkennung zu verbessern.
• Erkennung ausgehender Angriffe in den E-Mails der Kunden - Modelle des maschinellen Lernens werden eingesetzt, um anomale und potenziell riskante Muster in der Häufigkeit des E-Mail-Versands zu erkennen, die auf die Nutzung der E-Mails eines Unternehmens für ausgehende Angriffe hinweisen.
• Erkennung bösartiger URLs - Verwendung der Struktur und des Inhalts von URLs, um zur Erkennung bösartiger URLs beizutragen.
• Aufspüren des Durchsickerns privater Informationen - Endliche Automaten werden verwendet, um private Informationen zu identifizieren, die im Rahmen der GDPR oder anderer Datenschutzbestimmungen von Bedeutung sein können.
• Website-Kategorisierung - Überwachtes Lernen wird zur Kategorisierung von Websites verwendet, um risikoreiche Websites zu erkennen und Richtlinien durchzusetzen. Nützlich für E-Mail- und Web-Sicherheitskontrollen, die die Website-Kategorisierung als Teil der richtlinienbasierten Entscheidungsfindung nutzen.
• Erkennung von Spam - Neuronale Netze werden zur Erkennung von Spam und anderen Formen unerwünschter, aber nicht bösartiger E-Mails eingesetzt.
• DNS-basierte Datenexfiltration - Einsatz von KI zur Erkennung der böswilligen Nutzung externer DNS-Aufrufe durch Malware zur heimlichen Datenexfiltration.
• Identifizierung und Kategorisierung der von Kunden gemeldeten Phishing-E-Mails - Vorsortierung und Kategorisierung der von Kunden eingereichten E-Mails zur Verbesserung der Effizienz des Mimecast SOC. Die Mitarbeiter des Mimecast SOC haben die Aufgabe, den Mimecast-Service kontinuierlich zu pflegen, um die Erkennung zu verbessern, und die Analyse der von Kunden eingereichten E-Mails ist ein Teil davon.

Best Practices für künstliche Intelligenz in der Cybersicherheit

Um die Frage in der Einleitung zu beantworten: Wo befindet sich KI in der Cybersicherheit im Technologieeinführungszyklus oder Hype Cycle? Wenn Sie mich vor ein paar Jahren gefragt hätten, vor allem direkt nach der jährlichen RSA-Konferenz, hätte ich gesagt, dass es sich um den Gipfel der überzogenen Erwartungen handelt, da es viel Gerede gab, aber nicht viel Substanz hinter den vorgestellten und demonstrierten Sicherheitsanwendungen. Angesichts der praktischen Anwendungen von Mimecast und anderen Unternehmen bin ich jedoch der Meinung, dass wir uns jetzt im Anfangsstadium der Erleuchtung befinden. Die künstliche Intelligenz in ihren vielfältigen Formen findet ihren rechtmäßigen Platz als wertvolle Analysetechnik in der gesamten Sicherheitstechnologie.

Nun zu der Frage, welche Art von Organisation am besten in der Lage ist, KI für die Sicherheit zu nutzen: Unternehmen oder Sicherheitsanbieter? Für die meisten Unternehmen ist es nicht sinnvoll, direkt in KI und die dafür notwendigen Expertenteams zu investieren, um die Sicherheit eines einzelnen Unternehmens zu gewährleisten. Man braucht sehr tiefe Taschen und viele Daten, damit das funktioniert! Den meisten Unternehmen fehlen die Daten und Ressourcen, um KI gut einzusetzen, und sie sollten sich auf die Perfektionierung und Operationalisierung der oben genannten Sicherheitsgrundlagen konzentrieren.

Im Gegensatz dazu haben Anbieter von Cloud-Sicherheitslösungen Zugang zu den Daten und den Experten, und sie verfügen auch über den Umfang, die Reichweite und die finanziellen Ressourcen, um KI-Techniken für ihren breiten Kundenstamm zu nutzen. Wenn Sie also Ihre Sicherheitskontrollen in die Cloud verlagern, sollten Sie überlegen, wie Ihre potenziellen Anbieter KI einsetzen, um einen besseren und effizienteren Service zu bieten.

Die Quintessenz

Wie Professor Davis sagte: "Wer sind die Giganten der KI? Diejenigen mit den Daten! Wenn Sie über nahezu unendliche Daten verfügen, ist KI Ihr Reich". Angesichts der Datenmengen, über die Cloud-Sicherheitsanbieter verfügen, und der Anzahl der Anwendungsfälle, die sich gut für KI eignen, denke ich, dass KI im Bereich der Cybersicherheit in den nächsten Jahren noch schneller an Bedeutung gewinnen wird. Aber nur für den Fall, dass Sie eine einfache Lösung für ein schwieriges Problem erwartet haben, wie Herb sagt: "KI ist meistens einfach nur gute Technik."