Interview: KI und IT-Security - zwischen Hype und Realität

Künstliche Intelligenz und Maschine Learning halten Einzug in IT-Security-Lösungen. Was die Verfahren bereits können und was sie künftig leisten können, erklärt Raffael Marty von Sophos im Interview.

» Von pd/jst, 18.07.2017 08:27.

weitere Artikel

Bildergalerie

Bildergalerie

Werden mit Hilfe von künstlicher Intelligenz bald Routineaufgaben von IT-Sicherheitsexperten ersetzt? Im Interview erklärt Raffael Marty, seit 2016 Vizepräsident für Sicherheitsanalytik beim IT-Security-Unternehmen Sophos, wie das gelingen könnte.

Künstliche Intelligenz (KI) und Datenanalytik spielen eine essenzielle Rolle in unserem Alltag. Welche Entwicklungen sind besonders wichtig?

Raffael Marty: Alles beginnt mit Daten. In den vergangenen Jahren wurden riesige Datenmengen gesammelt. Dann wurde die Methode «Deep Learning» entwickelt, und damit entstanden neue Möglichkeiten zur Analyse dieser grossen Datensätze, zum Beispiel mithilfe innovativer Bilderkennung und Klanganalyse. Diese Entwicklungen haben die ganze Branche wirklich gestärkt. Aber meiner Meinung nach gibt es viel Hype und Missverständnis rund um Machine Learning (ML) und Künstliche Intelligenz. Jeder spricht davon, dass Maschinen lernen, aber was die meisten Leute damit meinen, ist lediglich Statistik – und mit KI meinen sie eigentlich ML.

Wie heisst das nun konkret für den IT-Security-Bereich?

Marty: Wir haben erhebliche Fortschritte bei der Malware-Klassifizierung gemacht. Zum Beispiel verwenden Forscher ML, um Millionen von Datei-Samples zu analysieren und Eigenschaften von Malware sehr genau zu bestimmen. Aber diese Klassifikationen funktionieren immer noch nur mit sehr spezifischen Problemen und Datensätzen. Die Anwendung des gleichen Ansatzes für andere Bereiche, wie Netzwerkverkehr, ist sehr schwer. Das Problem beginnt mit der Erhebung von Trainingsdaten. Es ist fast unmöglich, einen sauberen Datensatz zu bekommen, der eindeutig zwischen gutem und schlechtem Netzwerkverkehr unterscheidet. Und dann wird es immer schwieriger. Maschinen können wunderbar statistische Ausreisser identifizieren. Aber ohne Domänenwissen ist es schwer, tatsächliche Sicherheitsrisikos festzustellen. Die Überbrückung dieser Lücke kann nicht durch einen einzelnen Algorithmus erfolgen; es geht darum, Expertenwissen zu sammeln und zu kodifizieren.

Warum kann das System so schwer erkennen, ob die Anomalie als gut oder schlecht eingestuft werden muss?

Marty: Weil das System keine Kenntnis von dem breiteren Kontext hat: Wer sind die Benutzer, die diese Maschinen kontrollieren? Was sind die Rollen dieser Maschinen? So könnte eine Veränderung noch als normal erklärt werden, obwohl der Algorithmus dort korrekterweise eine statistische Anomalie sieht.

Ein Problem tritt also auf, wenn es nicht genug kontextuelle Informationen gibt?

Marty: Genau. Wir konzentrieren uns zu sehr auf die Daten und Algorithmen, die wir bereits haben. Aber was den Unternehmen meist fehlt, ist der Kontext. Was für eine Maschine ist das überhaupt? Was darf darauf installiert und ausgeführt werden? Das klingt nicht zu kompliziert, aber die Schwierigkeit liegt darin, diese Daten in einem Unternehmen zu sammeln und zu verstehen, was die Norm sein sollte. Dieser Aspekt wird zu oft ignoriert.

Dieser Mangel an kontextuellen Informationen verhindert, dass die Ingenieure mehr Anwendungsfälle für KI finden und somit die Cyber-Sicherheit verbessern. Welche fortgeschrittenen Anwendungsfälle würden Sie denn finden?

Marty: Anwendungsfälle auf dem Gebiet der Malware-Klassifizierung sind grundsätzlich fortgeschritten. Wenn man sich eine Datei oder ein Binärprogramm ansieht, möchte man im Prinzip feststellen, ob es sich um Malware oder eine normale Datei handelt. Aktuelle Algorithmen können das sehr gut bestimmen. Das sieht man auch an den Produkten auf dem Markt: Sophos nutzt zum Beispiel Deep Learning, um Malware auf Endgeräten zu klassifizieren. Aber es ist schwierig, Deep Learning und andere Klassifizierungsalgorithmen jenseits der Malware-Bestimmung zu verwenden, da es keine guten Trainings-Datensätze gibt und die Algorithmen nicht ohne Trainingsdaten lernen können. Aber grundsätzlich ist das auch der falsche Fokus. Ich sehe zu viele Unternehmen, die mehr oder weniger zufällig ein paar Algorithmen für Machine Learning auswählen, um sie auf ein Sicherheitsproblem anzuwenden. Sie müssen stattdessen von dem konkreten Problem ausgehen. Erst dann können sie definieren, welche Daten sie benötigen, und den Algorithmus finden, der das Problem lösen wird. Wahrscheinlich wird es nicht einmal maschinelles Lernen sein, sondern einfache Statistiken oder regelbasierte Systeme.

Nächste Seite: Ein Blick in die Zukunft

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.