Kontakt & Infos

Kontakt

Sie haben Fragen oder Anregungen? Wir freuen uns auf Ihr Feedback!

tel +49 89 991950-0
fax +49 89 991950-999
info@genua.de

» Kontaktformular

KI ermöglicht Security-Teams starke Leistungssteigerung

Insights | 13.02.2020
Strahlendes Auge im Zentrum eines Netzwerkes

Wie KI-gestützte IDS/IPS zu einem besseren Schutz vor Cyberangriffen beitragen.

Zum Schutz sensibler Infrastrukturen und Informationen treten in der Regel zwei Teams in einer (Unternehmens-)Mannschaft an: einmal für den Bereich "Safety", also der Betriebssicherheit, die Mensch und Umwelt vor Schäden bewahren soll. Die Safety-Aufstellung ist in vielen Unternehmen klar definiert, etwa mit einem Wachschutz und maschinellen Instrumenten wie Alarmanlagen oder Lichtschranken in Risikozonen der Fertigung.

Im zweiten Team, der "Security", läuft das anders. Um die Informationssicherheit und dabei in erster Linie den Datenschutz zu gewährleisten, müssen hier die Tools von CTO, CIO und Systemadministratoren mehr als eben nur Tools sein. Tatsächlich übernehmen Technologien der Security-IT immer mehr "Verantwortung" für Überwachungsaufgaben, da sich die Intensität und Komplexität von Cyberangriffen nicht durch rein menschliche Kontrolle bewältigen lässt.

IDS und IPS als digitale Helfer

Hilfreich sind hierbei Security-Systeme zur Intrusion Detection bzw. Intrusion Prevention. Neben klassischen Tools wie Firewalls und Anti-Virensoftware bieten sie hervorragende Unterstützung, um die digitale Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen zu verhindern.

Ein Intrusion Detection System, kurz IDS, erfüllt dabei die Funktion eines digitalen Wachhundes, der anhand bestimmter Muster selbständig Angriffe auf Computersysteme oder Netzwerke erkennt und die Anwender oder Systemadministrationen alarmiert. Es kann als eigenständige Hardware in einem Netzwerk installiert sein und am Mirrorport eines Switches den gesamten Netzwerkverkehr überwachen oder als Softwarekomponente in einem vorhandenen System, etwa als Ergänzung einer Firewall-Lösung.

Arnold Krille, Product Development cognitix, genua GmbHKI-Experte: Arnold Krille, Abteilungsleiter Productdevelopment cognitix bei genua

Von dieser passiven Wächter-Funktion unterscheidet sich ein Intrusion Prevention System (IPS), da es Angriffe erkennt, aktiv verhindert und abwehrt. So kann ein IPS zum Beispiel Datenpakete blockieren oder Netzwerkverbindungen unterbrechen und zurücksetzen. Idealerweise überblickt ein IPS den gesamten Traffic im Unternehmensnetzwerk, etwa am Core-Router. Es sucht nach Mustern in einem Datenstrom, die auf Angriffe hinweisen und ergreift erste Schutzmaßnahmen, während es außerdem die verantwortlichen Personen alarmiert und nachgelagerte Reportingsysteme informiert.

In der Praxis erweisen sich solche IPS jedoch als sehr wartungsintensiv. Denn die Auswahl der aktiven Erkennungsmuster und Reaktionen muss genau auf das Unternehmensnetzwerk und seine Eigenheiten abgestimmt sein und ständig nachgepflegt werden. Ansonsten ergeben sich sehr zügig Probleme des Overblockings durch False Positives. In der Folge wird darum in vielen Unternehmen das angeschaffte IPS recht schnell zum passiven IDS heruntergestuft, da die Abwägung zwischen Sicherheit und Verfügbarkeit des Netzwerkes doch eher zur Verfügbarkeit umschlägt.

Leistungssteigerung mit KI

Nun kann man für diese Aufgabe immer bessere IDS/IPS entwickeln und immer mehr personellen und zeitlichen Aufwand in deren Pflege investieren. Viel effektiver ist es aber, alle vorhandenen Elemente des Netzwerkes mittels KI bei der Abwehr einzubinden und somit einen gesamtheitlichen Blick auf das Netzwerk, die Bedrohungen und die Reaktionen zu erhalten. Die gefundenen Muster des IDS sind dann "nur" ein Merkmal im erkannten Netzwerkverkehr. Dazu kommt u.a. die Auflösung externer IP-Adressen auf Länder und Orte mittels Geolocation. Zusammen bilden diese Informationen einen angereicherten Kontext für die Geräte im Netzwerk und das Verhalten der Kommunikation zwischen diesen Geräten.

An diesem Punkt setzt unsere KI an. Sie überwacht den Netzwerkverkehr zwischen den Geräten nach vielen Aspekten und verifiziert Verhalten durch die Kontextinformationen. Damit erfüllt sie u.a. drei wesentliche Sicherheitsleistungen, die Unternehmen generell beim Einsatz einer KI-gestützten IDS/IPS beachten sollten:

  1. Identifikation: Wer gehört dazu? "Ungewöhnliche" Kommunikationspartner können für sich genommen ja gewollt sein. Aber im Zusammenhang mit einem Treffer des IDS bildet ungewöhnliche Kommunikation eine Anomalie, auf die automatisch reagiert werden kann.
  2. Selektion: Welche Abweichung ist relevant? Hier geht es darum, mit Hilfe der KI die richtigen Schwellenwerte für das Auslösen von Alarmmeldungen zu ermitteln. Beispielsweise bei der Telefonanlage, die immer bestimmte IDS Treffer triggert: Ein Alarm kann hier bei plötzlicher Zunahme der Treffer oder ihrem kompletten Ausbleiben ausgelöst werden. Andere Geräte verzeichnen diese IDS Treffer in der Regel nicht, hier kann die KI ebenfalls durch Alarmmeldungen unterstützen.
  3. Verifikation: Ist der Treffer wirklich ein Treffer? Als potenzieller False-Positive klassifiziert, kann ein einzelner Treffer des IDS keine Reaktion hervorrufen. Mehrere gleiche Treffer des IDS für verschiedenen Endgeräte in einem kurzen Zeitfenster oder ein Treffer des IDS zusammen mit einem verdächtigen Kommunikationsmuster über viele Datenströme „erkennt“ die KI allerdings als verdächtiges und unerwünschtes Verhalten. Und genau dieses verifizierbare, anomale Verhalten sollte wiederum eine Warnung an den Administrator sowie eine automatische Reaktion im Netzwerk auslösen.

Weitere Informationen

KI-Sicherheitsplattform cognitix Threat Defender

Fünf Antworten zum cognitix Threat Defender

KI-Training für den Cyberwar

 

Bildquelle: © valerybrozhinsky – stock.adobe.com

Arnold Krille Abteilungsleiter Productdevelopment cognitix, genua GmbH
Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz