Kann sich die IT in Zukunft selbst verteidigen?
Raffinierte Cyberattacken auf der einen Seite, Fachkräftemangel in der Security auf der anderen: Der Wunsch nach einer IT, die sich selbst schützen kann, ist groß. Doch ist eine Self Healing oder Self Defending IT realistisch? Wie kann Cyber-Immunität möglich werden? Wir haben Fleming Shi, Chief Technology Officer, Barracuda Networks, dazu befragt.
Was kann man sich unter einer selbstheilenden IT vorstellen?
Fleming Shi: Selbstheilende IT ist ein großartiges Ziel, aber es gibt noch viel zu tun, bevor wir es erreichen können. Selbstheilung beschreibt die autonome Natur von Erkennung und Reaktion. Es ist ein Autoimmunsystem für die IT oder speziell für die Cybersicherheit. Um dies zu erreichen, müssen Informationen kontinuierlich aufgenommen und analysiert werden, und es müssen entsprechende Modelle der künstlichen Intelligenz eingesetzt werden, um eine geeignete Erkennung, Alarmierung und Reaktion zu ermöglichen. Genau wie beim Menschen gibt es kein einheitliches System, das für alle passt. Es muss individuell angepasst und mit den richtigen Kontextinformationen angewendet werden, d. h. es kann nach Branchen gruppiert oder so granular wie eine einzelne Organisation oder sogar eine einzelne Benutzeridentität sein. Darüber hinaus müssen die für die Schulung eines solchen Systems verwendeten Daten sorgfältig behandelt werden, um Verzerrungen zu vermeiden und die Genauigkeit zu verbessern. Es handelt sich um ein ganzes Ökosystem, das sowohl viel menschliche Interaktion als auch Computerressourcen erfordert.
Bedeutet Self-Healing IT immer auch Self-Defending IT oder sollte man dies unterscheiden?
Fleming Shi: Selbstheilende IT bedeutet für mich nicht immer selbst verteidigende IT, sie sollte das Konzept der Verbesserung durch Progression haben. Und sie sollte nicht immer in einer defensiven Position operieren, sondern kann sich auf der Grundlage von Kontextinformationen weiterentwickeln, bevor es zu einem tatsächlichen Angriff kommt. Ich hoffe, dass ein solches intelligentes System über ein höheres Bewusstsein als jede cyberkriminelle Organisation verfügt, insbesondere was seine Umgebung betrifft.
Würde eine Self-Healing IT die Cybersicherheit überflüssig machen? Ist dies die Lösung gegen den IT-Fachkräftemangel?
Fleming Shi: Die selbstheilende IT wird den Schwerpunkt der Cybersicherheit auf mehr Sensoren, Signale und Analysefunktionen verlagern. Angesichts der wachsenden Zahl von Angriffen und Datenquellen ist dies eine kontinuierliche Entwicklung. Und Cyberkriminelle werden wahrscheinlich Gegenmaßnahmen ergreifen, um gegen selbstheilende IT-Techniken und insbesondere KI-gestützte Cyberabwehrsysteme immun zu werden. Der IT-Fachkräftemangel lässt sich durch mehr Automatisierung und selbstheilende IT-Systeme abmildern, aber um diese Systeme effektiv zu halten, müssen wir weiterhin Möglichkeiten für Menschen mit den richtigen Fähigkeiten schaffen, um diese Systeme weiterhin zu erneuern, zu betreiben und zu warten.
Wird es in Zukunft wirklich cyber-immune Systeme geben, die sich autonom selbst verteidigen können?
Fleming Shi: Das ist wohl der Weg, auf den wir zusteuern. Vor allem in einer Welt, in der es ständig zu Datenschutzverletzungen kommt. Die gute Nachricht ist, dass die Arbeit an einem Cyber-Autoimmunsystem bereits begonnen hat und stetig voranschreitet. Damit ein solches System effektiv funktionieren kann, müssen zunächst die Daten zusammengeführt werden. Das bedeutet, dass alle Sensoren von verschiedenen Anbietern normalisiert und korreliert werden müssen, sobald die Daten zusammen einen Sinn ergeben. Erst dann kann man mit der Anwendung von KI beginnen, um verwertbare Erkenntnisse zu gewinnen. Anfangs ist menschliches Eingreifen erforderlich, da die KI-Algorithmen naiv sind und Zeit zum Trainieren benötigen. Datenerfassung und Datenquellen sind für die Zusammenstellung des Trainingssatzes unerlässlich. Vor allem aber braucht es ethische Richtlinien für den Betreiber, der diese KI-Algorithmen trainiert. Zusätzlich zu der autonomen Natur dieser Systeme müssen die Anbieter sichere Integrationspunkte bereitstellen, um zu gewährleisten, dass Reaktionen und Abhilfemaßnahmen in einer konzertierten Weise und nicht isoliert erfolgen können. Ich glaube, dass KI eine wichtige Rolle im Autoimmunsystem der Cybersicherheit spielen wird, und wir müssen sicherstellen, dass der Mensch nicht den Anschluss verliert und immer noch den Hauptschalter hat, wann und wie das Verfahren funktioniert.
Welche Rolle können Managed Security Service Provider (MSSP) dabei spielen? Können KI und MSSP zusammen etwas bieten wie eine Self-Healing IT oder Cyber-Immunität?
Fleming Shi: MSSPs sollten zunächst mit XDR-Funktionen (Extended Detection and Response) arbeiten, um sicherzustellen, dass angesichts der Raffinesse moderner Angriffe jeder Bedrohungsvektor abgedeckt ist. KI hilft bei der Analyse und Extraktion wichtiger Informationen aus den riesigen Datenmengen, die eine MSSP-SOC-Plattform aufnimmt. Sie kann einige Artefakte erzeugen, die helfen, Cyber-Immunität zu erreichen. Dennoch sollten MSSPs niemals die Augen vor dem System verschließen und sich darüber im Klaren sein, dass sie angesichts der Einbettung ihrer Systeme und Tools in die Kundenumgebungen vorrangige Ziele für Angreifer sind.