Künstliche Intelligenz im SIEM-Umfeld

Wie Machine Learning die IT-Sicherheit in Unternehmen erhöhen kann.

Michael Frühauf, Student, FOM Hochschule für Oekonomie & Management Frankfurt/M.

Dr. Patrick Hedfeld, Deutsche Leasing

Prof. Dr. Bernd Ulmann

Tagtäglich entstehen neue Bedrohungen für eine der wichtigsten Ressourcen vieler Unternehmen: ihre sensiblen Daten. Die Angriffe werden immer ausgeklügelter und sind immer schwieriger festzustellen. Um dieser Gefahr etwas entgegenzusetzen, kann eine SIEM-Lösung in Verbindung mit Künstlicher Intelligenz (KI) eingesetzt werden.

Einleitung

Durch Industrie 4.0 und Internet of Things (IoT) nimmt die Vernetzung in Unternehmen stetig zu. Dadurch steigt auch der Datenverkehr im Unternehmensnetzwerk an; der IT-Security-Aspekt wird jedoch oftmals vernachlässigt. Durch die weltweit zunehmenden IT-Security-Vorfälle wird eine Überwachung des Datenverkehrs allerdings immer wichtiger. Diese Aufgabe kann ein SIEM-System übernehmen. Wie wichtig diese Aufgabe ist, zeigen die folgenden Zahlen: Jeden Tag kommen etwa 350.000 bis 400.000 neue Schadprogramme hinzu^[1]. Aus diesem Grund ist eine rein regelbasierte Überwachung inzwischen unzureichend. Moderne SIEM-Lösungen verwenden daher selbstlernende Algorithmen, besser bekannt als Künstliche Intelligenz (KI), oder Machine Learning.

SEMINARTIPPS

6. Fachtagung IT-Revision, 05.–06.06.2019, Frankfurt/M.

FCH Innovation Days 2019, 24.–25.06.2019, Berlin.

Hackerangriffe & Cyber-Attacken: Reaktion und Prävention, 25.09.2019, Frankfurt/M.

Digitalisierung im Konten-/Zahlungsverkehr: Praxis & Prüfung, 26.09.2019, Frankfurt/M.

KI und SIEM

Moderne SIEM-Systeme, auch Next-Generation-SIEM genannt, verfolgen einen proaktiven, vorausschauenden Ansatz und verwenden dazu Techniken wie User and Entity Behaviour Analytics (UEBA) und Security Orchestration, Automation and Response (SOAR). UEBA nutzt Machine-Learning-Algorithmen, um Anomalien des Netzwerkverkehrs zu erkennen. Verhaltensmuster von Endgeräten oder Endanwendern werden dazu zunächst erlernt, um daraufhin Abweichungen erkennen zu können. Werden Auffälligkeiten festgestellt, können Benachrichtigungen in Form eines Incident Tickets erstellt oder Aktionen ausgelöst werden. Somit können bspw. Netzwerkzugänge automatisiert gesperrt werden. Ein verdächtiges Verhalten wäre z. B. das Anmelden eines VPN-Benutzers zu einer ungewöhnlichen Uhrzeit oder von einem ungewöhnlichen Standort aus. Ein großer Vorteil von Verhaltensanalysen auf Basis von Machine Learning ist die dadurch entstehende Möglichkeit, auch Zero-Day-Attacken zu erkennen^[2].

Eine automatische Reaktion auf potentielle Bedrohungen ist dabei aufgrund der Fülle der auftretenden Anomalien besonders wichtig^[3]. Diese Aufgabe kann SOAR übernehmen. Ein praktisches Beispiel wäre das Auftreten einer Sicherheitslücke auf einem Server, die durch einen Schwachstellen-Scan entdeckt wurde. Durch SOAR kann bspw. ein Drittanbieter-Update-System dazu veranlasst werden, den betroffenen Server zu aktualisieren und so die Anfälligkeit für einen Exploit eliminieren^[4]. Dabei muss selbstverständlich zwischen kritischen und unkritischen Systemen unterschieden werden – nicht auf jede Anomalie kann automatisiert reagiert werden. Handelt es sich jedoch um ein unkritisches System, kann bspw. ein Kommando an die Firewall den Netzwerkzugang dieses Systems sperren, bis das Problem behoben ist^[5]. Zum aktuellen Zeitpunkt sind jedoch meist menschliche Analysten erforderlich, um auf die durch Machine-Learning-Algorithmen gefundenen Anomalien zu reagieren^[6].

KI in der IT-Security

Neben dem Einsatz in SIEM-Systemen gibt es vielfältige Einsatzgebiete für KI in der Cyber-Security. Besonders bei polymorphen Angriffen, die signaturbasiert nicht erkannt werden können, kann Machine Learning weiterhelfen^[7]. Laut Gartner werden daher bis zum Jahre 2020 rd. 75 % der SIEM-Systeme Machine Learning- und Big-Data-Technologien verwenden, um ihre Erkennungsraten zu erhöhen^[8]. Auch einige Antivirensoftwareanbieter verwenden bereits Machine-Learning-Ansätze, da sich diese im Vergleich zu klassischen Methoden als zuverlässiger erwiesen haben^[9]. Malware, die bspw. an Phishing-Mails angehängt wird, wird durch signaturbasierte Antivirensoftware häufig nicht erkannt. Mitunter erkennen lediglich zehn Prozent der Antivirenprogramme eine Malware, da eine kleine Änderung der Schadsoftware eine Erkennung auf Basis von Signaturen bereits unmöglich macht^[10]. Durch verhaltensbasierte Analysen kann dieses Problem behoben werden, was auch bei einer Quellcode-Veränderung der Malware eine hohe Zuverlässigkeit ermöglicht^[11]. Aus diesem Grund setzt bspw. die Antivirensoftware Cylance auf eine Erkennung von Malware ohne die Verwendung von Signaturen^[12].

Mit zunehmendem Einsatz von KI in Sicherheitssoftware steigt jedoch auch das Interesse Cyberkrimineller an den dahinterliegenden Technologien. Mit Hilfe sog. Generative Adversarial Networks (GANs) können KNNs trainiert werden. Das lernende Netz wird dabei mit schwer zu identifizierenden Eingabewerten konfrontiert und kann dabei aus fehlerhaften Klassifizierungen lernen, um sich kontinuierlich zu verbessern. Ebenso sind damit jedoch Angriffe auf Machine-Learning-Algorithmen möglich, die Missklassifikationen bewirken können^[13]. Problematisch ist dabei, dass solche Missklassifikations-Angriffe mitunter auf andere KNNs übertragbar sind und somit weitrechende potentielle Sicherheitsrisiken darstellen können. Solche Angriffe können bspw. dazu verwendet werden, um Spamfilter, Antivirensoftware oder IDS-Software zu umgehen^[14]. Eine Abwehrmaßnahme dagegen wäre das wiederholte Durchführen von Trainings zur Verbesserung der Genauigkeit der KNNs^[15].

PRAXISTIPPS

• In der klassischen Programmierung und klassischen, regelbasierten SIEM-Lösungen werden aus Regelwerken und Daten Entscheidungen abgeleitet. Machine Learning ermöglicht es hingegen, auf unbekannte Umgebungsvariablen zu reagieren und kann so mitunter noch unbekannte Bedrohungen abwenden. Auch das Erkennen von Mustern in großen Datenmengen ist durch Machine Learning möglich. Das lernende System erkennt dabei selbstständig Gesetzmäßigkeiten in Daten und kann daraus einen „Normalzustand“ ableiten. Dies kann bspw. im Bankensektor für die Analyse der Transaktionsvorgänge von Girokonten genutzt werden^[16]. Somit können bspw. Betrugsversuche zuverlässiger erkannt werden.
• Der Einsatz von Machine Learning in Sicherheitssoftware wird voraussichtlich ansteigen. Aus diesem Grund wird dieses Gebiet auch für Cyberkriminelle zunehmend attraktiver. Je früher auf diesem Gebiet im Unternehmen Kompetenzen aufgebaut werden, desto zuverlässiger kann potentiellen Gefahren entgegengewirkt werden.
• Intelligente SIEM-Lösungen wie IBM QRadar, LogRhythm oder Splunk, die u. a. UEBA einsetzen, existieren bereits. Die eingesetzte Intelligenz der Systeme kann schneller, effektiver und zuverlässiger als Menschen reagieren und darüber hinaus größere Datenmengen verarbeiten. Anomalien, die durch Menschen nicht erkannt werden, können durch den Einsatz maschineller Lernverfahren identifiziert und verarbeitet werden.

1. Vgl. AV-TEST GmbH (2018), o. S.; Mandl (2016), S. 509; Tschersich (2017), S. 122. ↑
2. Vgl. Day (2017), S. 1.013; Sipola (2015), S. 201. ↑
3. Vgl. Bertino (2012), S. 37. ↑
4. Vgl. Rubens (2018), o. S. ↑
5. Vgl. Chuvakin, Phillips, Schmidt (2013), S. 140. ↑
6. Vgl. Chio, Freeman (2018), S. 119. ↑
7. Vgl. ebd., S. 194. ↑
8. Vgl. Bussa, Kavanagh (2017), o. S. ↑
9. Vgl. Kabanga, Kang, Kim (2018), S. 41. ↑
10. Vgl. Fry, Nystrom (2009), S. 4 f. ↑
11. Vgl. Béjar et al. (2017), S. 222. ↑
12. Vgl. Gaßner (2019), S. 84. ↑
13. Vgl. Kirste, Schürholz (2019), S. 33. ↑
14. Vgl. Dreossi, Jha, Seshia (2018), S. 13. ↑
15. Vgl. Kantarcioglu, Vorobeychik (2018), S. 126. ↑
16. Vgl. Dutta (2018), S. 48; Lenzen (2018), S. 51. ↑

Beitragsnummer: 73370