Security Automation
Auf der Schnellstraße zu besserer IT-Sicherheit
Dr. Gerald Spiegel ist Leiter Information Security Solutions bei Sopra Steria Consulting und befasst sich im Schwerpunkt mit den Themen IT-Sicherheit, Cybercrime und Security Information and Event Management (SIEM).
So klappt der Security-Automation-Einstieg
Der Einstieg in Security Automation beginnt für jedes Unternehmen bei den Basics: Security Information and Event Management (SIEM) sorgt dafür, dass Unternehmen sicherheitsrelevante Informationen aus Log-Files, Netzwerken und mobilen Geräten sammeln, korrelieren und auswerten können. Für SIEM gibt es eine Reihe von Standardlösungen, die Gartner 2016 in seinem Magic Quadrant for Security Information and Event Management eingeordnet und bewertet hat.
- IP-Filter
Die SIEM-Lösung zeigt unter anderem an, von welcher IP-Adresse aus zu bestimmten Zeiten auf bestimmte Daten (in diesem Fall aus einer IRC-Verbindung) zugreifen. - Gefahrenquellen
Es werden Daten über laufende Programme und Web-Services erhoben. - Art des Traffics
Über welche Protokolle und Web-Services welcher Datenverkehr fließt, lässt sich ebenfalls nachvollziehen.
Auf die Liste der wirksamen Maßnahmen gehören auch so genannte IT-Health-Checks, bei denen der Ist-Stand von sicherheitsrelevanten Systemeinstellungen mit dem in unternehmensweiten Richtlinien (Policies) festgelegten Soll-Zustand abgeglichen und auf ComplianceCompliance überprüft wird. Alles zu Compliance auf CIO.de
Zu den fortgeschrittenen Maßnahmen in der Security Automation zählt der Einsatz von SIEM mit Threat Intelligence, die nicht einfach nur auf Basis von Log-Daten vor Auffälligkeiten und Anomalien warnt. Ohne zusätzliche Informationen über die akute Bedrohungslage kann ein SIEM häufig Fehlalarme auslösen, was diese Automatisierungsmaßnahme irgendwann ad absurdum führen würde. Threat Intelligence sucht nicht blind, sondern gezielt nach bestimmten Auffälligkeiten und reduziert so das Risiko von Fehlalarmen, nicht aber die Zahl der entdeckten echten Angriffe.
Intelligenz in der Abwehr von Bedrohungen und Angriffen und für den Schutz von IT-Infrastrukturen wird auch in Zukunft eine wichtige Rolle spielen: Machine LearningMachine Learning hat die Fähigkeit, eigenständig (also automatisch) Muster in großen Datenmengen zu erkennen und zu analysieren. IBM setzt hier zum Beispiel für die intelligente Suche nach Auffälligkeiten und Abweichungen auf seine künstliche Intelligenz Watson, die zudem dafür zuständig ist, in Millionen von Blogs, Online-Foren und Whitepapers nach dem Wissen zu suchen, das die Unternehmens-IT braucht, um Bedrohungen wirksam zu begegnen. Alles zu Machine Learning auf CIO.de
- Bilderkennung ist wichtigstes Anwendungsgebiet für Machine Learning
Heute kommen Machine-Learning-Algorithmen vor allem im Bereich der Bildanalyse und -erkennung zum Einsatz. In Zukunft werden Spracherkennung und -verarbeitung wichtiger. - Machine Learning im Anwendungsbereich Customer Experience
Heute spielt Machine Learning im Bereich Customer Experience vor allem im Bereich der Kundensegmentierung eine Rolle (hellblau). In Zukunft wird die Spracherkennung wichtiger (dunkelblau). - Machine Learning in den Bereichen Produktion und Prozesse
Unternehmen erhoffen sich im Bereich Produktion/Prozesse heute und in Zukunft (hell-/dunkelblau) vor allem im Bereich Prozessoptimierung positive Effekte durch Machine Learning. - ML im Bereich Kundendienst und Support
Sentiment-Analysen werden eine Kerndisziplin für Machine Learning im Bereich Kundendienst und Support - Auch IT-Abteilungen profitieren
Schon heute wird Machine Learning für die E-Mail-Klassifizierung und Spam-Erkennung genutzt. In Zukunft (dunkelblau) werden Diagnosesysteme wichtiger. - Was Management, Finance und HR von Machine Learning erwarten
Heute und in Zukunft ist in diesem Bereich das Risikomanagement eine vorrangige ML-Disziplin. In Zukunft soll auch das Talent-Management beflügelt werden. - Massive Effekte für Einkauf und Supply Chain Management
Machine Learning wird sich auf verschiedenste Bereiche des Procurements und des Supply Managements auswirken (hellblau = heute; dunkelblau= in Zukunft) - Diese Lernstile sind bekannt
Beim bekanntesten Lernstil, dem Überwachten Lernen (Supervised Learning), werden Bildern oder Dokumenten von Hand eine gewisse Menge an Tags oder Labeln zugewiesen. So werden die ML-Algorithmen trainiert. - Diese Lernstile verwenden Branchen
Während Autobauer eher auf "Semi-supervised Learning" setzen, sammeln andere Branchen mit Supervised Learning Erfahrung. - Machine-Learning-Algorithmen
Die meisten Unternehmen setzen auf einen Mix von Verfahren, um ihre vielfältigen Aufgaben zu lösen. - Einsatz von Machine-Learning-Algorithmen nach Branchen
Neuronale-Netzwerk-Algorithmen finden vor allem im Automotive-Sektor Verwendung - und natürlich in der ITK-Branche selbst. - Diese Programmiersprachen und Frameworks kommen im ML-Umfeld zum Einsatz
Mit knapp 70 Prozent Einsatzgrad ist Java die führende Programmiersprache im Bereich ML. Allerdings holen speziellere Sprachen und Frameworks auf. - Deep-Learning- und Machine-Learning-Packages
DeepLearn Toolbox, Deeplearning4j, das Computational Network Toolkit und Gensim werden auf Dauer die führenden Pakete sein. - Zielinfrastruktur für ML-Workloads
Die Deployments von Machine Learning gehen zunehmend in die Breite und erreichen auch die Cloud und das Internet der Dinge. Auf die Unternehmen kommt mehr Komplexität zu. - Bedenken und Herausforderungen
Datenschutz und Compliance-Themen machen Anwender am meisten zu schaffen, geht es um den Einsatz von Machine Learning. Außerdem vermissen viele einen besseren Überblick über das Marktangebot. - Machine Learning ist Sache der BI- und Analytics-Spezialisten
Die organisatorische Einführung von ML obliegt meistens den BI- und IT-Profis. Viele Anwender holen sich aber auch externe Hilfe. - Wo Externe helfen
Datenexploration, Skill-Aufbau und Implementierung sind die Bereiche, in denen Machine-Learning-Anfänger am häufigsten externe Hilfe suchen.
Die Nebenwirkungen der IT-Sicherheits-Automatisierung
Doch auch die Risiken der Automatisierung sollten nicht verschwiegen werden: Wer sich völlig oder zu sehr auf das automatische Entdecken und Beheben eventueller Schwachstellen verlässt, läuft Gefahr strukturelle Fehler und komplexe Schwachstellen in den Systemen erst (zu) spät zu entdecken. Dazu gehören zum Beispiel auch fahrlässiges und vorsätzliches Fehlverhalten von Mitarbeitern. Nicht jeder dieser Bedrohungen lässt sich automatisiert begegnen.
Ferner befreit Security Automation das bestehende IT-Sicherheitspersonal zwar von Standard-Tätigkeiten, dies darf jedoch nicht darüber hinwegtäuschen, dass im Fehlerfall bei einem hohen Automatisierungsgrad oder zur Weiterentwicklung der Automatisierung die Anforderungen an Fähigkeiten, Kenntnisse und Erfahrung des Betriebspersonals deutlich ansteigen. Wer das nicht berücksichtigt, steht bei einem Ausfall am Ende womöglich schlechter da als vorher.
Fazit: Automatisierung ist nicht alles, aber ohne geht nicht
Security Automation steht bei den meisten von IDG befragten Sicherheitsverantwortlichen nicht an erster Stelle. "Eine höhere Priorität haben für die Befragten Themen wie der Schutz von mobilen Systemen und Apps, die Absicherung von Cloud-Infrastrukturen und -Anwendungen sowie die Umsetzung der neuen EU-Datenschutz-Grundverordnung", heißt es in der Studie.
Dennoch werden sich die meisten Unternehmen mit Security Automation auseinandersetzen, wohl auch aus dem Bewusstsein heraus, dass sie ihre Fokusthemen über Automatisierung ebenfalls besser in den Griff bekommen als ohne. In Anbetracht der aktuellen Bedrohungsszenarien und unter den genannten Voraussetzungen ist das auch völlig richtig so. Security Automation bietet immenses Potenzial – wenn die Voraussetzungen stimmen.
Dazu gehören eine gestiegene Awareness für das Thema Sicherheit, aber eben auch Maßnahmen zur automatisierten Erkennung und Abwehr von Angriffen. All das wird nicht zu absoluter IT-Sicherheit führen, denn die kann es systembedingt gar nicht geben. Aber es bringt Unternehmen auf den richtigen Weg, um ein optimales Maß an Sicherheit - im Sinne von Kosten und Restrisiko - erreichen zu können.