Ohne Künstliche Intelligenz und Machine Learning wäre die IT heute in keinster Weise sicher: Cybersecurity-Teams und Sicherheitsanalysten brauchen digitale Helfer, um Viren, Schadsoftware, Hacker und andere Bedrohungen zu identifizieren. Bei der Threat Detection spielen auf Machine Learning basierende Algorithmen ihre volle Stärke aus und warnen immer zuverlässiger vor Cyberattacken und Virenbefall.
Mittlerweile sind sie so gut, dass sie auch potenzielle Gefahren erkennen und eine Warnung ausgeben. Diese elaborierten KI-Fähigkeiten sind allerdings ein zweischneidiges Schwert: Wird KI lediglich für die Threat Detection eingesetzt, können die unzähligen Warnungen schnell zur sogenannten Alert Fatigue führen. Analysten sind dann nicht mehr in der Lage, alle Benachrichtigungen eingehend zu prüfen und tatsächliche Gefahren zu erkennen.
Zudem sind im Schnitt nur rund zehn Prozent der von modernen Algorithmen gefundenen Bedrohungen auch tatsächlich ein Grund zur Sorge, sodass die Bearbeitung sämtlicher Warnungen auch dann Zeitverschwendung wäre, wenn das Team theoretisch die dafür nötigen Kapazitäten hätte. Besser ist es, so Ontinue, wenn Cybersecurity-Teams KI über die Threat Detection hinaus für folgende Aufgaben einsetzen:
1. Kritikalitätsbeurteilung der IT-Assets
Die IT-Infrastrukturen in Unternehmen werden immer komplexer und verändern sich kontinuierlich. Für viele Cybersecurity-Teams ist es daher zunehmend schwierig, die Übersicht zu behalten und eine Liste mit geschäftskritischen IT-Assets, also den im Unternehmen eingesetzten Hard- und Softwaresystemen, zu führen. Machine-Learning-Anwendungen können helfen, diese sicherheitsrelevanten Teile der IT-Infrastruktur zu identifizieren, etwa auf Grundlage dessen, mit welchen Systemen sie verbunden sind, wie und von wem sie genutzt werden und für welche Prozesse sie notwendig sind.
2. Verbesserung des Incident-Handlings
Die richtige Priorisierung eines Vorfalls kann darüber entscheiden, ob ein „True Positive“-Alarm, also eine tatsächliche Bedrohung für die Sicherheit, rechtzeitig erkannt und bearbeitet wird. Die Verwendung von Machine Learning, um potenzielle Gefahren basierend auf unterschiedlichen Faktoren zu analysieren und zu priorisieren, kann die Sicherheit erheblich verbessern.
Eine KI würde demnach zum Beispiel einen Incident daraufhin überprüfen, ob er für die vom Unternehmen verwendete IT-Umgebung überhaupt gefährlich sein könnte. Ist das nicht der Fall, handelt es sich um einen sogenannten Benign Positive – einen Sicherheitsvorfall, der keinen Schaden anrichten kann und daher keine Reaktion des Cybersecurity-Teams erfordert.
3. Automatisierung von Sicherheitsmaßnahmen
Ohne Machine Learning ist eine Automatisierung der Reaktionen auf Sicherheitsvorfälle nicht sinnvoll realisierbar. Mit Hilfe von maschinellem Lernen können Muster identifiziert werden, die bei häufig auftretenden Sicherheitsvorfällen standardmäßig behandelt werden. Basierend auf diesen Informationen können Cybersecurity-Teams dann automatisierte Reaktionen auf diese Incidents definieren.
4. Vulnerability-Management
Beim Vulnerability-Management spielt Künstliche Intelligenz ebenfalls ihre Vorteile aus: Auch in diesem Zusammenhang können Sicherheitsexperten maschinelles Lernen einsetzen, um KIs mit Informationen aus früheren Angriffen zu füttern. Die Algorithmen erkennen dann automatisch, welche Schwachstellen ausgenutzt wurden und warnen die Nutzer vor den Lücken im System, die am wahrscheinlichsten in den Fokus von Hackern geraten. Auf diese Weise können Cybersecurity-Teams die Behebung genau dieser Schwachpunkte priorisieren.
„Die Demokratisierung der Künstlichen Intelligenz hat nicht nur Cyberkriminelle vorangebracht“, erklärt Theus Hossmann, Director of Data Science bei Ontinue. „Natürlich können Hacker und mittlerweile sogar Laien sich von generativen KI-Tools Schadsoftware schreiben lassen. Aber auch die Verteidiger profitieren von immer leistungs-stärkeren Algorithmen und Machine-Learning-Kapazitäten – allerdings müssen sie diese sinnvoll einsetzen: KI-basierte Threat Protection ist nur ein Puzzlestück in einer holistischen Cybersecurity-Strategie.“