Internet-Sicherheit Systeme sind reif für Disruption. Im Laufe der Jahre haben sich einzelne Tools vervielfacht, jedes mit seinem eigenen Datenformat, was eine Flut unterschiedlicher Daten verursacht hat. Außerdem gibt es weltweit einen Mangel an qualifizierten Cybersicherheitsanalysten, die diese Daten auswerten können (und sie sind sehr teuer, wenn Sie sie finden können). Schließlich werden Hacker immer klüger und kreativer. KI sollte das Heilmittel für diese Probleme sein, aber sie war nur von begrenztem Nutzen, um das Problem in großem Umfang anzugehen, da sie eine große, sorgfältig geplante Infrastruktur erfordert. In diesem Artikel betrachten wir die Rolle von KI in der Cybersicherheit Systeme und wie sie zu einer wirklich transformativen Technologie werden können.
AI als Schlangenöl
KI wird in der Marketingliteratur häufig erwähnt, in der Cybersicherheitslösungen beschrieben werden, aber bisher war sie nicht so transformativ, wie Sie vielleicht denken. Trotz einer Marktgröße, die bei einem wächst 20.5 Prozent durchschnittliche jährliche Wachstumsrate, KI ist nach wie vor operativ schwierig bei Sicherheitsproblemen einzusetzen. Wenn Sie in ein modernes gehen würden Sicherheitsoperationszentrum (SOC), finden Sie wahrscheinlich einige große Fernseher mit einigen schwer lesbaren Dashboards und CNN und Sicherheitsanalysten, die ihre Arbeit wahrscheinlich als schmerzhaft empfinden, weil sie ihre Zeit damit verbringen, Daten manuell zu korrelieren und zu erkennen, was in ihrem Unternehmen vor sich geht angesichts immer komplexerer Angriffe. Wenn Menschen das tun, stellt sich die Frage, „Wo ist die KI?“
Internet-Sicherheit ist ein chaotisches betriebliches Problem, und das ist der kurze Grund, warum die KI es nur langsam transformiert hat. Das Auffinden von Bedrohungen in einem Unternehmen über Hunderte von Telemetriequellen hinweg, wenn Bedrohungen oft mit normalen Aktivitäten identisch sind, ist ein sehr schwieriges Problem. Darüber hinaus können Daten von jedem Sicherheitstool unterschiedliche Formen annehmen und müssen normalisiert werden, bevor sie zum Trainieren eines KI-Systems verwendet werden können.
Unabhängig von Branche und Anwendungsfall lernt KI aus Daten – die KI-Engine muss mit Daten trainiert werden, damit es lernen kann, was eine Anomalie ist und was nicht. Das ist das Schlimme an dem Sicherheitsproblem: Die Sicherheitsdaten jedes Unternehmens sehen mit unterschiedlichen Tools und Verhaltensmustern zumindest ein wenig anders aus, und maximal sehen die Daten völlig anders aus. Es gibt keinen goldenen Trainingsdatensatz im Sicherheitsbereich, der lizenziert werden kann, wie es etwa für Bild- oder Spracherkennungssysteme der Fall ist. Wenn Sie KI verwenden möchten, um das Sicherheitsproblem anzugehen, müssen Sie Ihre eigenen Daten erstellen und erfassen.
Daten so zu normalisieren, dass sie für eine KI-Engine nützlich sind, ist eine große Herausforderung. Das Problem ist so wertvoll, dass Scale AI, ein Startup, das Daten-APIs für die KI-Entwicklung erstellt, die sich hauptsächlich auf fahrerlose Autoanwendungen konzentrieren, weniger als fünf Jahre nach seiner Gründung eine Bewertung von 7 Milliarden US-Dollar ergattert. Scale AI zählt bereits viele der innovativsten Unternehmen der Welt zu seinen Kunden.
Was transformative KI braucht
KI in der Sicherheit wird letztendlich transformativ sein, wahrscheinlich sowohl für den Angriff als auch für die Verteidigung, aber das ist eine Geschichte für einen anderen Tag. Hier bedeutet „transformativ“ umfassend transformativ, über alle Bereiche der Sicherheit hinweg, also verändert es grundlegend, wie ein Unternehmen mit Sicherheit umgeht. Im Moment müssen wir uns mit einigen begrenzten Anwendungen zufrieden geben, bei denen KI die Sicherheit verbessern kann.
Dennoch gibt es einige Lichtblicke für KI im Sicherheitsbereich; diese sind leicht zu finden, indem man das Datenproblem durchdenkt. Welche Teile des Sicherheitsstacks generieren saubere, trainierbare Daten? E-Mail-Betrug und Malware-Erkennung sind zwei großartige Beispiele: die KI-Engine können von verfügbaren Phishing-Beispielen oder Malware-Signaturen lernen und ähnliche Exploits erkennen. Daten aus Kunden-E-Mails und Malware-Sandboxen können verwendet werden, um KI-Modelle zu trainieren, die Unternehmensprodukte unterstützen. Dasselbe Training ist viel schwieriger zu implementieren bei Problemen wie der Erkennung von Angriffen, die sich seitlich durch ein Netzwerk bewegen (z. B. von der Firewall zum Active Directory-Server zu einem Datenserver), da diese seitliche Bewegung in jedem Unternehmen etwas anders aussieht.
Die Schaffung von KI, die ein Unternehmen in all seinen digitalen Abläufen umfassend schützt, wird in gewisser Weise den Bemühungen ähneln, die Unternehmen für selbstfahrende Autos heute unternehmen. Beispielsweise wurde die fahrerlose Autosoftware von Waymo seit 2009 immer weiter trainiert 15 Milliarden Meilen simuliertes Fahren und mehr als 20 Millionen Meilen öffentliches Fahrerlebnis. Waymo hat einen rigorosen Ansatz zum Testen auf verschiedenen Genauigkeitsebenen (Simulation, geschlossener Kurs, reale Welt), führt Szenarien mit Tausenden von Variationen durch und sammelt gleichzeitig Daten zum Zwecke der Verbesserung.
Das ist keine perfekte Analogie für KI im Sicherheitsbereich, aber es ist ziemlich gut – Tests mit simulierten Daten, Tests in Laborumgebungen mit simulierten oder echten Angriffen und Tests im realen Betrieb in einer Vielzahl von Unternehmen. Sicherheitsprobleme mit natürlichem Zugriff auf sauberere Daten werden mit wirklich KI-gestützten Produkten früher auftreten als die schwerwiegenderen Datenprobleme im gesamten Unternehmenssicherheits-Stack. Es wird Zeit und Kapital brauchen, um dorthin zu gelangen, und Innovationen, die sich rücksichtslos auf das Datenproblem konzentrieren, werden in erster Linie dazu dienen, eine breite Transformation zu ermöglichen. Heutzutage konzentrieren sich viele Sicherheitstools einfach nicht auf die Datennormalisierung, da sie dazu neigen, an bestimmten Problempunkten in der gesamten Infrastruktur isoliert zu sein.
Wie transformative KI in der Sicherheit aussehen wird
Stellen Sie sich vor, dass jede IT-Initiative, Konfiguration, jedes Sicherheitsprotokoll und jede Warnung vom weltweit führenden Experten für menschliche Sicherheit in diesem bestimmten Bereich in Echtzeit überprüft werden könnte, ohne den Geschäftsbetrieb zu unterbrechen. Stellen Sie sich vor, Unternehmensanalysten könnten sich mit diesem Experten beraten und Anweisungen von ihm erhalten. KI in der Sicherheit wird sich irgendwann so anfühlen.
Wie? Produkte, die auf durchdachten Datenbeständen aufbauen, die die Datenkomplexität reduzieren, werden letztendlich Kategoriekönige sein, sonst funktioniert das Produkt nicht von Kunde zu Kunde und es wird ein Produkt mit serviceähnlichen Margen sein und nicht skalieren. (Andreesen Horowitz stellte interessanterweise fest, dass die meisten ihrer KI-Unternehmen haben aufgrund der inhärenten Kosten für den Aufbau und die Skalierung von KI viel niedrigere Margen als vergleichbare SaaS-Unternehmen.)
Diese zukünftigen Kategoriekönige müssen zunächst wahrscheinlich jahrelang in die Dateninfrastruktur und -erfassung investieren, bevor ihre Daten wirklich als Vermögenswert betrachtet werden und zur Selbstverbesserung ihres Produkts beitragen können. Sobald diese Unternehmenskönige jedoch einen echten Datenwert für KI erhalten, wird ihr Innovationstempo von Wettbewerbern nur schwer oder gar nicht erreicht werden können, und sie werden zum Kategoriekönig gekrönt, solange sie es noch schaffen, ein intuitives Produkt aufrechtzuerhalten. So wie die Kategorie der Suchmaschinen schnell zu Google konsolidiert wurde, wird dasselbe mit datenintensiven Cybersicherheitslösungen geschehen. Suchen Sie insbesondere nach größeren Konsolidierungen in Sicherheitsinformationen und Eventmanagement (SIEM), Erweiterte Erkennung und Reaktion (XDR), Endpunkterkennung und -antwort (EDR) und Netzwerkerkennung und -antwort (NDR) Märkten.
Daher taucht KI in der Sicherheit zuerst bei kleineren Problemen auf, bei denen die Datenkomplexität geringer ist, wie bereits in den Beispielen für E-Mail-Betrug und Malware erwähnt. KI wird dann langsam für komplexere Datenprobleme eingesetzt, aber nur Produkte, die sich rücksichtslos auf die Verwaltung der Datenkomplexität konzentrieren, werden sinnvoll sein KI-Engines. Um effektiv zu sein, muss ein KI-gesteuertes Sicherheitsprogramm in der Lage sein, Daten von allen verfügbaren Sicherheitstools und Bedrohungs-Feeds zu sammeln und diese Daten dann zu normalisieren, damit sie für das Training der KI-Engine nützlich sind. So wird die Zukunft der KI in der Cybersicherheit aussehen.
Über den Autor
Sam Jones ist Vice President of Product Management bei Stellar Cyber, Inc. Er ist ein erfahrener Leiter der Produktentwicklung mit einer Erfolgsbilanz bei der Entwicklung von KI- und Sicherheitsprodukten, die Kunden lieben. Er hat einen starken Hintergrund in den Bereichen KI/ML, Dateninfrastruktur, Sicherheit, SaaS, Produktdesign und Verteidigung. Sam hatte Produkt- und Engineering-Positionen bei Unternehmen wie Palantir Technologies und Shield AI inne und arbeitete für die US Air Force an Cyber-Verteidigungsstrategien. Er erwarb seinen Bachelor-Abschluss in Elektrotechnik und Computertechnik an der Cornell University.
