KI ist kein undifferenziertes Allheilmittel, kann jedoch die IT-Security verbessern, wenn sie strategisch und wissensbasiert eingesetzt wird.
Threat Intelligence ist eine Erweiterung etablierter Threat-Detection-Lösungen, um die Detektion durch die Anwendung von Machine Learning zu präzisieren und angepasst auf identifizierte Risikosituationen automatisierte Reaktionen zu erlauben. Bislang folgten als Reaktion auf ein erkanntes Risiko zwei Schritte: zunächst die Bewertung der Situation und dann das Ergreifen von Maßnahmen. So verstrich wertvolle Zeit durch unterbesetzte Security Operations Center, fehlendes Know-how oder komplexe Bewertungsprozesse, bis Gegenmaßnahmen ergriffen werden konnten – wobei gerade die Reaktionszeit der entscheidende Faktor bei der Schadensbegrenzung ist.
Schutz in Echtzeit und rund um die Uhr
Die Integration automatisierter Prozesse als zusätzliche Sicherheitsebene kann dieses Dilemma entschärfen, indem Zugriffe auf kritische Transaktionen kontextspezifisch eingeschränkt oder sogar vollständig blockiert, einzelne Datenfelder attributbasiert maskiert, weitere Downloads verhindert oder User mit kritischem Verhalten vom System abgemeldet werden. Und zwar vollautomatisch, in Echtzeit und rund um die Uhr.
Durch diese unverzüglichen Reaktionen im Falle einer als Risiko eingestuften Situation werden hochsensible Informationen unmittelbar und zielgenau geschützt. Dabei ist das zugrundeliegende Regelwerk vollständig konfigurierbar und je nach Anwendungsfall individuell anpassbar. Threat Intelligence erweitert die Threat Detection durch die Nutzung Künstlicher Intelligenz um einen strategischen Schritt, damit schnellstmöglich Maßnahmen zur Schadensbegrenzung oder -vermeidung ergriffen werden können. Maschinelles Lernen unterstützt dabei die Vorqualifizierung von Events durch den Einsatz verschiedener Methoden.
Verbesserte Bedrohungsdetektion durch Maschinelles Lernen
Threat Intelligence verbessert also die Fähigkeiten der Bedrohungserkennung und erlaubt (teil-)automatisierte Reaktionen im Anwendungskontext. Hierbei kommen Reinforcement Learning und User and Entity Behavioral Analytics (UEBA) als innovative Ansätze zum Einsatz.
Reinforcement Learning hilft, Ereignisse besser zu bewerten, indem es Informationen aus verschiedenen Quellen wie zyklischen internen Audits in die Echtzeit-Risikoanalyse integriert. Beispielsweise werden Aufrufe von Programmen mit potenziellen Codeschwachstellen oder Aktionen privilegierter Benutzer automatisch mit höherer Kritikalität bewertet als andere. So können relevante Ereignisse identifiziert und detailliert analysiert werden, um die IT-Sicherheitssysteme kontinuierlich zu verbessern. Eine Empfehlung, wie stark die Kritikalität dabei gegenüber einer unkritischen Aktivität erhöht wird, ist anwendungsfallspezifisch vorgeschlagen, lässt sich allerdings auch individuell nach Kundenanforderung redefinieren.
Den vollständigen Artikel lesen Sie auf it-daily.net