Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Maschinelles lernen: die ideale basis für network traffic analytics (NTA)

By:
Eric Ogren
April 25, 2019

Stellen Sie sich vor, Ihnen stünde ein Sicherheits-Tool zur Seite, das so denkt, wie Sie es ihm beigebracht haben, und das genau dann und in der Weise handelt, wie Sie es mit ihm trainiert haben. Wenn Sie über ein solches Werkzeug verfügen könnten, müssten Sie Ihre eigenen Arbeitsgewohnheiten nicht mehr generischen Regeln aus fremder Hand anpassen, und Sie müssten auch nicht immer wieder darüber nachdenken, wie Sie jene Sicherheitslücken schließen, von denen Ihnen die Regeln gar nichts gesagt haben.

Maschinelles Lernen, der Grundstein der Network Traffic Analytics (NTA) – das ist Technik, die in Ihrem Namen agieren kann, um Ihnen bessere Einblicke in Ihre Infrastruktur zu verschaffen, um die Leistung Ihrer Bedrohungserkennung zu erhöhen und um es Ihnen zu erleichtern, wirklich kritische Bedrohungen gut zu überstehen.

Wir sind inzwischen in solch hohem Maße auf die deterministische Ausrichtung von Regeln hin indoktriniert, dass wir deren Grenzen häufig nicht mehr wahrnehmen. Stellen Sie sich Regeln als eine Kaskade von IF...THEN...ELSE-Anweisungen vor, die ein Analytiker erstellt, um einem bereits bekannten Weg zu folgen. Jede Änderung solcher Regeln, z.B. zur Aufnahme neuer Betriebsdaten oder zwecks Kodifizierung neuer Logik zur Erkennung von Bedrohungen, bedeutet einen unerwünschten Verwaltungsaufwand.

Noch schlimmer ist, dass sich zwischen fest programmierten Regeln, sich weiterentwickelnden IT-Prozessen und immer neuen, stets kreativen Bedrohungen eine Schere öffnet, die die Treffsicherheit der regelbasierten Erkennungssysteme fortwährend verringert und die den Security-Operations-Teams ein immer höheres Maß an Fehlalarmen und ungenauen Sicherheitsprofilen aufbürdet. Angesichts von Regeln, die ihre Warnmeldungen permanent nach links, rechts und in die Mitte feuern, ist es fast schon verrückt, noch anzunehmen, dass Security Operations unter solchen Umständen weiterhin in der Lage sein könnte, die besonders kritischen Probleme zu identifizieren und zu lösen.

Maschinelles Lernen - ob überwacht oder unüberwacht - unterstützt menschliche Analysten, indem es die manuellen und banalen Teile ihrer Jobs automatisiert – wie Bedrohungserkennung, Triage, Korrelation und Scoring. Ohne einen Menschen, der damit arbeitet, kann maschinelles Lernen allerdings keine Wirkung erzielen.

Menschliche Analysten unterscheiden echte Probleme von weniger kritischen, indem sie ihr Wissen über den jeweiligen Kontext und kritisches Denken anwenden. Ihre Arbeit als Analyst wäre um so vieles einfacher, wenn nur die Sicherheitstools auf Sie hören würden!

Data Scientists, die Algorithmen für maschinelles Lernens entwickeln, beginnen mit den Ergebnissen menschlicher Analysten, denen zufolge "dies eine Bedrohung ist, dies in Ordnung, und dies weitere Untersuchungen erfordert".

Der Data Scientist sucht dann ausgehend von Ihren Ergebnissen nach zugrundeliegenden Beziehungen in den Ausgangsdaten. Auf dieser Basis kann ein Algorithmus Ihre Methode der Jagd nach Bedrohungen mit Datensammlung, Bedrohungserkennung und Bedrohungsabwehr automatisieren.

Maschinelles Lernen automatisiert also genau das, was Sie, der Security Analyst, dem dazu fähigen Werkzeug beigebracht haben. Sie selbst können sich dann auf die Lösung anderer Probleme konzentrieren. Sie haben jederzeit die Kontrolle über das maschinell lernende Tool und können es korrigieren und steuern, um Ihre Aufgaben effektiver erledigen zu können.

NTA setzt Techniken maschinellen Lernens für die Analyse von Netzwerkdaten ein, um Ihnen mehr Transparenz, eine bessere Erkennung von Bedrohungen und erweiterte Möglichkeiten zur Abwehr bösartiger Aktivitäten zu bieten. NTA verhilft Ihnen zu genauen Einblicken in das Netzwerkgeschehen in Ihrer IT-Umgebung, zeigt auf, welche der erkannten Bedrohungen sofortige Aufmerksamkeit erfordern und welche Schritte zur Gegenwehr die Benutzer am ehesten akzeptieren können. Dahinter steckt keine Magie: Sie bringen dem Werkzeug bei, wie es bei seinem Vorgehen das Thema Sicherheit zu betrachten hat.

Um ein Beispiel zu nennen: Statische Regeln lösen möglicherweise dann Warnmeldungen aus, wenn sie eine erhöhte Beaconing- und DNS-Aktivität sehen, der ein umfänglicher Datenaustausch mit bisher unbekannten Servern in einer neuen Cloud-Domäne folgt. Ihnen allerdings ist klar, dass diese Warnungen „False Positives“ sind, da Ihr Unternehmen gerade neue Anwendungs-Workloads bei einem sekundären Cloud-Anbieter bereitstellt.

In einem anderen Fall wissen Sie vielleicht, dass bestimmte Aktivitäten zweifellos auf einen Angriff hindeuten – aber über dieses Wissen verfügen nur Sie. Möchten Sie dann viel Zeit damit verbringen, Regeln neu zu schreiben und zu debuggen, oder möchten Sie Ihrem NTA-Tool einfach nur sagen können, dass es "das jetzt bitte lernen soll"?

Maschinelles Lernen ermöglicht es Ihnen, Ihre Betriebsumgebung kontinuierlich zu überwachen. Es erhöht den praktischen Nutzen der Technik, indem es Sie auf verdächtige Aktionen aufmerksam macht, ohne dass Sie hohen Aufwand für die Pflege von Regeln treiben müssen.

Ein anderes Beispiel: Sie möchten privilegierte Benutzer nicht mit starren Regeln belasten, die den Profis bei der Erledigung ihrer Arbeit im Weg sind. Sie können Ihre NTA dann bitten, sich damit vertraut zu machen, welche privilegierten Benutzer normalerweise wann, von wo und mit welchen Protokollen sie auf die Server zugreifen.

Darüber hinaus können Sie Ihr Sicherheitstool dahingehend trainieren, wie es sich verhalten soll, wenn es Abweichungen von der Normalität erkennt. Vielleicht möchten Sie, dass in einem solchen Fall der betreffende Benutzer zur Sicherheit bestätigen muss, dass er mit seiner Aktion fortfahren möchte, oder Sie hätten gern, dass ein granulares Logging der ungewöhnlichen Aktivitäten stattfindet – oder das neue Protokoll ist unsicher und sollte für administrative Tätigkeiten gesperrt werden.

Maschinelles Lernen sammelt Betriebsdaten in Ihrer IT-Umgebung, um Ihnen zu helfen, entstehende Probleme zu erkennen und dann schnelle Entscheidungen darüber zu treffen, was jeweils zu tun ist. Und das, ohne dass Sie ständig Regeln korrigieren müssen oder gezwungen sind, sie so weit zu fassen, dass sie am Ende nur noch trügerische Sicherheit bieten.

Hier und da wird befürchtet, dass maschinelles Lernen, künstliche Intelligenz und „Deep Learning“ vor allem eins tun sollen: menschliche Security-Analysten ersetzen. Wir haben eine andere Erfahrung gemacht: Maschinelles Lernen hat Security-Analysten bislang immer nur unterstützt und ihnen zu neuen Fähigkeiten verholfen.

Im Detail haben die Erscheinungsformen der KI die Produktivität menschlicher Analysten und deren Zufriedenheit im Job erhöht – der Effekt ist ähnlich wie bei jenen Apps, die unsere alltägliche Lebensqualität erhöhen, indem sie lernen, wonach wir häufig suchen, wem wir Nachrichten senden wollen und wie wir unsere Reisen gestalten möchten.

Solche Trends erreichen jetzt auch das Berufsleben. Als Security-Analyst werden Sie eine Fülle neuer Möglichkeiten entdecken, denn maschinelles Lernen eröffnet Ihnen einzigartige Chancen, Ihre Kreativität und Ihre Entscheidungskompetenz zu beweisen – und Ihre Fähigkeit, das Beste aus der Technik herauszuholen.

About the author

Eric Ogren

Eric Ogren is a Senior Analyst at 451 Research. Eric has extensive experience in software development, technology marketing, and as a security industry analyst. Prior to joining 451 Research, Eric held marketing leadership positions with security vendors such as RSA Security and OKENA, and technology vendors such as Digital Equipment, where his experience contributed to pragmatic perspectives for security clients on emerging market trends, company and product strategies, differentiated vendor messaging and positioning, and meeting enterprise solution purchase criteria. Eric holds a BS in Mathematics from the University of Massachusetts and an MS in Computer Science from Boston University.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

Maschinelles lernen: die ideale basis für network traffic analytics (NTA)

April 25, 2019
Read blog post
Threat detection

Apprentissage automatique : la pierre angulaire de l'analyse du trafic réseau

April 25, 2019
Read blog post
Threat detection

Machine learning: The cornerstone of Network Traffic Analytics (NTA)

January 26, 2019
Read blog post