4 Use Cases für KI in der Cybersicherheit

Künstliche Intelligenz (KI) ist heutzutage in nahezu allen Bereichen des Lebens zu finden. KI wird verwendet, um Code zu entwickeln, mit Kunden zu kommunizieren und in verschiedenen Medien zu schreiben. Ein weiterer Bereich, in dem KI einen großen Einfluss haben kann, ist die Cybersicherheit, insbesondere die Produktsicherheit. Einerseits wird KI in Sicherheitstools integriert, andererseits kann sie auch ausgebeutet werden. KI ist mittlerweile Mainstream und wird so schnell nicht verschwinden. Daher müssen Sicherheitsprofis lernen, wie sie KI optimal einsetzen können, um die Sicherheit ihrer Systeme und Produkte zu verbessern.

KI und ihre Auswirkungen auf die Sicherheit

Der Begriff „künstliche Intelligenz“ bezieht sich auf die Verwendung von Computersystemen zur Simulation menschlicher Intelligenz. KI-Systeme können eine zunehmende Vielfalt an Aufgaben ausführen, darunter Mustererkennung, Lernen und Problemlösung. Innerhalb der KI gibt es verschiedene Bereiche wie Machine Learning (ML), mit dem Systeme im Laufe der Zeit dazulernen und sich verbessern können; Natural Language Processing (NLP), das versucht, die menschliche Sprache zu imitieren; Computer Vision, das Kameras als Input verwendet, um verschiedene Aufgaben auszuführen, und mehr.

Diese KI-Anwendungen werden in eine Vielzahl von Systemen eingebunden, um aktuelle Prozesse zu automatisieren, zu analysieren und zu verbessern. In der Welt der Cybersicherheit erfüllt oder unterstützt KI eine Reihe von Rollen und Prozessen. Sie wird eingesetzt, um Protokolle zu analysieren, Bedrohungen vorherzusehen, Quellcode zu lesen, Schwachstellen zu identifizieren und sogar um Schwachstellen zu erstellen oder auszunutzen.

Verwendung von KI zur Erkennung von Angriffen auf die Cybersicherheit

Angesichts der Leistungsfähigkeit von KI bei der Mustererkennung ist das Erkennen von Anomalien im Bereich der Cybersicherheit ein offensichtlicher Use Case. Ein gutes Beispiel hierfür ist die Erkennung von Verhaltensanomalien. Durch den Einsatz von maschinellem Lernen kann ein Modell erkennen, wie normales Verhalten innerhalb eines Systems aussieht, und Instanzen identifizieren, die von der Norm abweichen. Dies kann sowohl bei der Identifizierung potenzieller Angriffe als auch bei Systemen helfen, die nicht wie gewünscht funktionieren, indem Abweichungen in ihrem Verhalten erkannt werden.

Selbst problematisches Nutzerverhalten, wie etwa versehentliche Datenlecks oder Datenweitergabe, können potenziell durch KI-Mustererkennung oder andere Mechanismen entdeckt werden. Mithilfe von Datensätzen, die entweder von dem Unternehmen erstellt oder verwendet werden, können auch Muster und abweichendes Verhalten in einem breiteren Maßstab beobachtet werden, um die Wahrscheinlichkeit von weltweiten Cybersicherheitsvorfällen zu bestimmen.

Use Case 1: Anomalieerkennung

Die Anomalieerkennung – die Identifizierung ungewöhnlicher, seltener oder auf andere Weise anomaler Muster in Protokollen, Datenverkehr oder anderen Daten – passt gut zur Mustererkennungsleistung von ML. Egal, ob es sich um Netzwerkverkehr, Nutzeraktivitäten oder andere Daten handelt – mit dem richtigen Algorithmus und Training ist KI/ML ideal dazu geeignet, potenziell gefährliche Ausreißer zu erkennen. Dies kann auf verschiedene Weise erfolgen, angefangen mit Echtzeitüberwachung und -warnung. Diese Methode beginnt mit voreingestellten Normen für ein System wie Netzwerkverkehr, API-Aufrufe oder Protokolle und kann statistische Analysen einsetzen, um Systemverhalten und -aktionen kontinuierlich zu überwachen. Das Modell kann immer dann einen Alarm auslösen, wenn anomale oder seltene Aktionen entdeckt werden.

KI/ML ist nicht nur hervorragend darin, Muster zu erkennen, sondern sie auch zu kategorisieren und zu gruppieren. Dies ist wichtig für die Zuweisung von Prioritätsstufen zu verschiedenen Ereignissen, was dazu beitragen kann, einer „Alarmermüdung“ vorzubeugen, die auftreten kann, wenn Nutzende und Teams mit Alarmen überschwemmt werden, von denen viele bedeutungslos sind. Häufig verlieren die Warnungen ihre Bedeutung und Warnungen werden als unnötig betrachtet und nicht ordnungsgemäß untersucht. Mit diesen Funktionen kann KI/ML intelligente Erkenntnisse bereitstellen, die Nutzenden helfen, fundiertere Entscheidungen zu treffen.

Use Case 2: KI-gestützte Cyber Threat Intelligence

Die Möglichkeit, Systeme zu überwachen und Warnmeldungen in Echtzeit bereitzustellen, können von entscheidender Bedeutung sein. KI/ML kann jedoch auch dazu beitragen, die Sicherheit von Systemen zu verbessern, bevor ein Sicherheitsereignis auftritt. CTI (Cyber Threat Intelligence) sammelt Informationen über Angriffe und Events. Das Ziel von CTI besteht darin, über neue oder aktuelle Bedrohungen informiert zu sein. Dadurch sollen die Teams proaktiv auf die Möglichkeit eines Angriffs auf Ihr Unternehmen vorbereitet werden, bevor dieser stattfindet. CTI bietet auch Vorteile im Umgang mit bestehenden Angriffen, da Incident Response Teams besser verstehen, womit sie es zu tun haben.

Früher wurden die Daten von Sicherheitsfachkräften erfasst, organisiert und analysiert. KI/ML kann viele der routinemäßigen oder alltäglichen Aufgaben übernehmen und bei der Organisation und Analyse helfen. So können sich die Teams auf die erforderlichen Entscheidungen konzentrieren, wenn die notwendigen Informationen in einem verwertbaren Format vorliegen.

Verwendung von KI zur Vermeidung von Schwachstellen

Der Einsatz von KI/ML zur Erkennung und Verhinderung von Angriffen auf die Cybersicherheit ist zwar nützlich, aber auch die Vermeidung von Schwachstellen in der Software ist enorm wichtig. KI-Assistenten in Code-Editoren, Build-Pipelines und Tools zum Testen oder Validieren laufender Systeme werden in vielen Bereichen der IT schnell zur Norm.

Wie bei CTI können KI-Systeme dazu beitragen, alltägliche Aufgaben zu erleichtern. Dadurch werden Menschen entlastet und haben mehr Zeit für wichtigere Projekte und Innovationen. Code-Reviews sind zwar wichtig, können jedoch durch den Einsatz von Static Application Security Testing (SAST) verbessert werden. SAST-Plattformen gibt es zwar schon seit einiger Zeit, aber ihr größtes Problem ist die oft große Anzahl an falsch-positiven Ergebnissen, die sie generieren. Hier kommt die Fähigkeit von KI/ML ins Spiel, Quellcode sowie Infrastruktur- und Konfigurationscode intelligenter bewerten zu können. KI wird auch für Dynamic Application Security Testing (DAST) verwendet, um laufende Anwendungen daraufhin zu testen, ob gängige Angriffe erfolgreich sein könnten.

Use Case 3: KI-gestütztes Code-Scanning

SAST verwendet beim Code-Scanning seit langem einen „Source and Sink"-Ansatz. Dies bezieht sich auf eine Möglichkeit, den Datenfluss zu verfolgen und nach häufigen Hindernissen zu suchen. Die verschiedenen Tools, die für das statische Code-Scanning entwickelt wurden, nutzen häufig dieses Modell. Dies ist zwar eine gültige Art, Code zu betrachten, kann jedoch zu vielen falsch-positiven Ergebnissen führen, die dann manuell validiert werden müssen.

KI/ML kann hier einen Mehrwert bieten, indem es den Kontext oder die Absicht im Zusammenhang mit möglichen Erkenntnissen in der Codebasis lernt und versteht und so falsch positive und falsch negative Ergebnisse reduziert. Darüber hinaus wurden den Code-Editoren SAST-Tools und KI-Assistenten hinzugefügt, die Entwicklungsteams dabei helfen, Fehler zu erkennen, bevor sie übermittelt werden. Es gibt jedoch ein paar Einschränkungen, darunter Sprachunterstützung und Skalierbarkeit mit sehr großen Codebasen, die jedoch aktuell behoben werden.

Use Case 4: Erkennung von Schwachstellen automatisieren

Code-Reviews können ein zeitaufwändiger Prozess sein, aber sobald der Code gesendet wurde, sind die Tests normalerweise nicht beendet. DAST wird verwendet, um gängige Angriffe auf eine ausgeführte Anwendung zu testen. Es gibt einige Tools auf dem Markt, die dabei helfen, aber wie beim Programmieren selbst, ist auch hier eine Einarbeitungszeit erforderlich. Nutzende müssen diese Angriffstypen verstehen und wissen, wie sie diese mithilfe des DAST-Tools replizieren und anschließend automatisieren können.

Vor Kurzem haben DAST und zugehörige Anwendungstesttools damit begonnen, KI/ML entweder direkt in ihre Plattformen oder als Plugins zu implementieren, was zu erheblich verbesserten automatisierten Scans führt. Dadurch werden nicht nur Mitarbeitende entlastet, die die Zeit für die Einarbeitung und Ausführung der verschiedenen Angriffe benötigen, sondern es werden auch Zeit und Geld für die Durchführung umfassender Penetrationstests eingespart. Penetrationstests erfordern nach wie vor einen Menschen, der wie ein Angreifer denken und potenzielle Schwachstellen erkennen und dabei oft neue Methoden entwickeln kann, um zu überprüfen, ob diese tatsächlich ausgenutzt werden können.

Die KI selbst schützen

Obwohl KI dazu beitragen kann, viele menschliche Fehler zu beseitigen, ist sie selbst immer noch anfällig. Da ist zunächst der Fluch vieler IT-Probleme: mangelhafte oder unsachgemäße Konfiguration. Eng damit verbunden ist die Notwendigkeit, das Modell und seine Prozesse sicherer zu trainieren und zu validieren. Andernfalls kann es schnell dazu kommen, dass das System von seinen Nutzern nicht gut verstanden wird, was zu einer Art Black Box und einem schlechten Prozess für das Lifecycle Management des Modells führt.

Eine der am häufigsten diskutierten Sicherheitsbedenken im Zusammenhang mit KI ist Datenvergiftung. Menschen erfassen oft Daten, die dann zum Trainieren von KI/ML-Algorithmen verwendet werden, und als Menschen können wir Verzerrung in die Daten einbringen. Dies ist ein einfaches Konzept, auf das Sie achten sollten, aber manchmal wird diese Verzerrung absichtlich hinzugefügt. Angreifer können über verschiedene Mechanismen den Datensatz absichtlich verändern, der zum Trainieren und Validieren von KI/ML-Systemen verwendet wird. Es ist daher möglich, dass die neuen verzerrten Ergebnisse des Systems für schadhafte Zwecke verwendet werden.

Während KI immer mehr zum Mainstream wird, hinken unser Verständnis und unser Training hinterher, insbesondere beim Sicherheitstraining rund um KI/ML. Viele Personen außerhalb der Tech-Community verstehen das interne Funktionieren von KI/ML-Systemen nicht gut. Dies kann sich verschlimmern, wenn die Systeme vernachlässigt werden und es ihnen an Transparenz mangelt.

Dies führt zu einem weiteren, in der Technologie recht häufigen Problem: der ordnungsgemäßen Dokumentation. Systeme benötigen Dokumentation, die leicht verständlich und umfassend genug ist, um den Großteil des betreffenden Systems abzudecken.

Schließlich diskutieren und planen Regierungen auf der ganzen Welt Vorschriften in Bezug auf KI/ML-Systeme (oder erlassen sie bereits). Es ist nicht auszuschließen, dass sichere KI/ML-Zertifizierungen entwickelt werden. Wenn wir daher unser Möglichstes tun, um sicherzustellen, dass die Systeme, die heute entwickelt werden, so sicher und gültig wie möglich sind, werden wir uns in Zukunft wahrscheinlich Arbeit ersparen.

Zusammenfassung

Da wir immer mehr von KI-Systemen abhängig sind, ist die Geschwindigkeit und Genauigkeit des maschinellen Lernens bei der Sicherung der von uns genutzten Systeme nicht nur ein „Nice to have“, sondern zunehmend ein „Must-have“. Es ist so gut wie sicher, dass böswillige Akteure KI/ML-Systeme für ihre Angriffe nutzen werden. Zur Verteidiung müssen daher diese Systeme implementiert werden, um Unternehmen und Systeme zu schützen.

Im Idealfall lernen Studierende, die sich auf den Einstieg ins Berufsleben vorbereiten, etwas über KI/ML-Systeme, aber auch die älteren Veteranen müssen sich damit vertraut machen. Einzelpersonen können im besten Fall sicherstellen, dass sie zumindest über ein grundlegendes Verständnis von KI verfügen, und Unternehmen sollten sich damit befassen, wie sie KI/ML in ihren Produkten, Systemen und zur Sicherheit optimal einsetzen können.

Wie Red Hat helfen kann

Red Hat OpenShift AI kann helfen, Modelle zu erstellen und KI in Anwendungen zu integrieren. Für Unternehmen im Sicherheitsbereich kann OpenShift AI dabei helfen, die Leistungsfähigkeit der KI in ihre Produkte zu integrieren. KI-gestützte Anwendungen werden immer häufiger eingesetzt, und OpenShift AI ist eine leistungsstarke, skalierbare KI-Entwicklungsplattform, die dabei helfen kann, diese Anwendungen in die Produktion zu bringen.

Red Hat OpenShift AI