SIEM und Machine Learning – Automatisierung braucht Spezialisten für die Interpretation von verhaltensbasierten Log-Analysen

bei

 / 6. March. 2018
In der Branche wird aktuell viel über Automatisierung und die Auswirkungen der künstlichen Intelligenz auf IT-Sicherheitssoftware diskutiert. Dabei wird gerade im Hinblick auf Lösungen für das Security Information und Event Management (SIEM) oft der Eindruck erzeugt, als würden Sicherheitsverantwortliche in den Unternehmen durch Software ersetzt. Das Gegenteil ist der Fall. Vielmehr geht es darum, dass es geschulte und entsprechend erfahrene Experten braucht, um die Ergebnisse aus den Analysen richtig zu interpretieren und die erforderlichen Schlüsse und Maßnahmen daraus abzuleiten. Das Stichwort in diesem Zusammenhang ist das maschinelle Lernen der Sicherheitssoftware, die laufend aus unterschiedlichsten Quellen Logs sammelt, normalisiert, korreliert und auswertet. Gleichwohl es dem Nutzer einfach gemacht wird, in dem die Ergebnisse graphisch über verschiedene Diagramme aufbereitet werden können, bedarf es dennoch einer Einordnung der laufend automatisch generierten Alarm- und Warnmeldungen und dies kann nur ein Spezialist, der mit der Software und ihrem Output vertraut ist.

Besonders im Hinblick auf die zunehmende Komplexität dieser Software und der Aufgaben, die sie mit den Big Data-Analysemöglichkeiten leisten kann, hängt immer mehr von den handelnden Personen ab; der Art und Weise, wie sie die gewonnenen Erkenntnisse nutzen, um ihre Unternehmen vor Hackerangriffen zu schützen, sowie davon, wann die Verantwortlichen bei einem Sicherheitsvorfall beispielsweise weitere externe Unterstützung in Form von Forensikspezialisten, Penetration Testern etc. hinzuziehen.

Analyse des Nutzerverhaltens

Eine Auswertung des Nutzerverhaltens in Echtzeit, im Englischen als „User Behavioral Analytics“ bezeichnet, bietet die Möglichkeit mit SIEM-Software Daten Exfiltrierungen aufzudecken, kompromittierte Login-Daten zu finden, herauszufinden, ob und wie privilegierte Accounts ausgenutzt wurden und welche unbekannten Bedrohungen aktuell im Netzwerk ihr Unwesen treiben. Mit der Einbindung in SIEM, Intrusion Detection-Systeme und Firewalls können Protokollinformationen eingelesen werden, die für eine verhaltensbasierte Analyse die entscheidende Grundlage darstellen. Durch die Korrelation dieser Informationen können die Experten herausfinden, welches Verhalten für ihre jeweiligen Nutzer und IT-Systeme „normal“ ist und welches Verhalten davon abweicht.

Darüber hinaus, und hier kommt die praktische Erfahrung mit solchen Systemen ins Spiel, ist es wichtig für die Effizienz der Auswertungen, dass harmlose Verhaltensabweichungen von Bedrohungen unterschieden werden. Hier hilft der Ansatz des maschinellen Lernens weiter, denn durch die automatischen Lerneffekte der Software entfällt ein hoher administrativer Aufwand, jede Abweichung manuell unter die Lupe nehmen zu müssen. Diese Reduktion der False Positive-Meldungen über den Faktor Zeit ist nicht zu unterschätzen. Wer wirkliche Bedrohungen von eher unwichtigen Fehlermeldungen trennen kann, der kann auch besser priorisieren und sich schneller um die Lösung der wirklich wichtigen Probleme kümmern. Anstatt mehreren hundert Falschmeldungen nachzugehen, sind es vielleicht lediglich zwei bis drei wirklich gefährliche Warnungen, die beachtet werden müssen. Dies ermöglicht eine schnellere Entscheidungsfindung und bessere Ressourcenausnutzung der eingesetzten Experten.

Insider-Attacken – das unterschätzte Übel

Wichtiger als die Erkennung, Analyse und Begegnung externer Angriffe sind interne Angriffe, denn interne Angreifer wissen in der Regel besser, wo sie welche Daten finden, und müssen nicht lange suchen. Mit selbstlernenden verhaltensbasierten Analysen und Sicherheitsmonitoring-Software können solche Insider-Angriffe frühzeitig erkannt werden. Besonders die Aufzeichnung des Nutzerverhaltens in Echtzeit verbessert die Identifikation dieser Attacken deutlich. Daneben werden ebenfalls in Echtzeit Risikoprofile erstellt, anhand derer die Attacken eingestuft und bewertet werden, um die möglichen Auswirkungen eines Sicherheitsvorfalls vorab bewerten zu können. Durch das maschinelle Lernen der Software verbessert sich die Bewertung der Alarme stetig und die Granularität lässt sich stetig steigern, um eine neue Ebene der Security zu erreichen. Diese Möglichkeiten verhaltensbasierter Software-Lösungen erlauben eine bessere Gefahrenerkennung und dadurch auch die schnellere Einleitung von Gegenmaßnahmen und Analyse des Vorfalls.

Fazit

Künstliche Intelligenz wird in vielen Branchen im Rahmen der Digitalisierung derzeit unter anderem als Job-Killer diskutiert. In der IT-Sicherheitsbranche, eine Branche, die stetig wächst und immer mehr Beschäftigung generiert, kann von einer Reduktion durch KI und maschinelles Lernen von Sicherheitssoftware eigentlich keine Rede sein. Zu komplex und vielschichtig sind die Anforderungen. Zu viele zusätzliche Aufgaben wie die Absicherung von mobilen Geräten, IoT-Geräten, Cloud Umgebungen und Services wie auch organisatorische Aufgaben sowie das große und immer wichtigere Thema Security Awareness mit entsprechenden Maßnahmen und Trainings der Mitarbeiter sind in den letzten Jahren hinzugetreten.

Darüber hinaus müssen die Auswertungen, die durch selbstlernende Sicherheitssoftware generiert werden richtig interpretiert und die Ergebnisse aufbereitet werden, dies ist ohne erfahrene und gut geschulte Sicherheitsverantwortliche gar nicht möglich. Expertensoftware benötigt entsprechende Mitarbeiter, die diese auch für das Unternehmen gewinnbringend einsetzen können. Letztlich profitieren Unternehmen von beidem, Experten und moderner Sicherheitssoftware mit der Unternehmen sich vor Attacken von innen wie außen besser schützen können. Intelligente Software unterstützt Fachleute u.a. bei der Aufklärung von Sicherheitsvorfällen dabei mehr Licht ins Dunkel zu bringen, und den Unternehmen ihre Kronjuwelen vor Cyberkriminellen zu schützen.

Der Autor: Pascal Cronauer ist seit August 2016 Country Manager DACH bei LogPoint und arbeitet seit über 10 Jahren in der Security Industrie – davon über 7 Jahre im Bereich SIEM. Vor seiner Zeit bei LogPoint war er als Technical Direktor bei LogRhytm angestellt. Er hat herausragende Kenntnisse auf einem technischen und wirtschaftlichen Level und tiefgründiges Wissen in Bezug auf aktuelle Cyber-Bedrohungen speziell in Zentraleuropa. Als studierter Informatiker führt der das deutsche Team und baut den Vertrieb in der Region für LogPoint aus.

Vorheriger ArtikelIoT im Zusammenhang von Interoperabilität, Echtzeitanwendungen, Architekturen und sozialer Akzeptanz
Nächster ArtikelIndustrial Internet of Things Lösungen helfen uns allen – wenn die Anbieter ihre Hausaufgaben machen