Dass Predictive Analytics wenig mit einem Blick in die Glaskugel zu tun hat, erläutert heute Sicherheitsexperte Volker Marschner in seinem silion.de-Blog. Auch wenn diese Technologie im Bereich Unternehmenssicherheit noch recht jung ist, könnte sie doch die bestehenden Lösungen durchaus sinnvoll ergänzen.
Handlesen, Tarot-Karten, Kristallkugeln und Teeblätter – Die Menschheit versucht seit Tausenden von Jahren die Zukunft mit verschiedenen Methoden vorherzusagen, ist dabei jedoch wenig erfolgreich. Heute hat die Vorhersage der Zukunft ein neues Image: nicht nur hat in unserem Leben die Veränderung exponentiell zugenommen – was jeglichen Blick in die Zukunft zusätzlich erschwert. Dazu kommt, dass die Vorstellung, die Zukunft prinzipiell vorhersagen zu können, immer mehr schwindet. Dank bedeutender technologischer Fortschritte können wir aber unser Wissen aus Vergangenheit und Gegenwart nutzen, um besser zu planen. Gerade beim Thema IT-Sicherheit ist diese Fähigkeit entscheidend.
Seit die ersten PCs auf den Markt kamen, sehen wir immer wieder das gleiche Schema: Die Sicherheitsindustrie entwickelt eine Lösung gegen eine bestimmte Bedrohung und Hacker finden neue Wege, wie sie nicht entdeckt werden. Sie arbeiten daran, zu verstehen, welche Sicherheitslösungen als Nächstes auf den Markt kommt. Zudem entwickeln sie Angriffskonzepte, die noch schwieriger zu entdecken und nachzuweisen sind – die unerkannten Angriffe nehmen zu. Anstelle von offensichtlichen Bedrohungen wird auf kodierten Traffic, Verschlüsselung und zufällige Verhaltensweisen gesetzt, die von echtem Datenverkehr nicht zu unterscheiden sind.
Die mangelnde Transparenz, die Unternehmen heute in ihren komplexen und stark beanspruchten Netzwerken vorfinden, führt auch dazu, dass Bedrohungen leicht übersehen werden. Vorausschauende Analysen, also Predictive Analytics, bringen hier Licht ins Dunkel der Netzwerke. Das heißt nicht unbedingt, dass Angriffe entdeckt werden, bevor sie geschehen. Aber mithilfe von Predictive Analytics können Sicherheitsprofis bislang unbekannte Malware entdecken, egal, wo sie sich versteckt. Solche vorausschauenden Technologien sich noch sehr jung. Deshalb ist es wichtig zu verstehen, auf welchen Grundlagen sie beruhen. Die folgenden Fragen können dabei helfen:
- Woher kommt das Wissen? Ist das “normale” Netzwerkverhalten bekannt, dann können seltsame Aktivitäten – also Symptome einer Infektion – mithilfe von Verhaltensanalysen und der Betrachtung von Anomalien verhältnismäßig leicht erkannt werden. Durch Predictive Analytics können Unternehmen also das Verhalten von Servern und Usern in ihrem Netzwerk beurteilen. Aus vielen verschiedenen kleinen Modellen und einer präzisen Darstellung von vergangenem Verhalten wird davon dann ein Modell abgeleitet, das vorhersagt, wie sich Objekte in der Zukunft verhalten sollten. Idealerweise werden diese Daten in der Cloud abgeglichen, um Bedrohungen schneller, flexibler und umfassender zu identifizieren. Sollten sich signifikante oder konstante Abweichungen vom erwarteten Verhalten zeigen, wird die IT-Sicherheitsabteilung darauf hingewiesen. Auf lange Sicht ist das Modellieren und Vorhersagen von legitimen Aktivitäten deutlich effektiver als die bloße Einschätzung des Verhaltens zukünftiger Malware.
- Wie wird das Wissen präsentiert? Eine der Herausforderungen von Predictive Analytics sind komplexe Algorithmen und ihre rohen Datensätze, die nur von einem geschulten Auge richtig interpretiert werden können. Damit Predictive Analytics pragmatisch und einsetzbar werden, sollten sich Sicherheitsexperten nach einer Lösung umsehen, die die Daten automatisch richtig präsentiert, die Ergebnisse erklärt und nächste Schritte empfiehlt. Mit diesen Einblicken können Sicherheitsabteilungen – auch ohne die Hilfe von hochqualifizierten Fachkräften – handeln und damit die Kontrolle und den Schutz effektiver gestalten. In einer Zeit, in der die Sicherheitsindustrie zu wenige geschulte Experten hat, sind diese automatischen und zugänglichen Werkzeuge sehr wichtig.
- Wie wird das Wissen genutzt? Predictive Analytics können – in Kombination mit anderen bereits bestehenden Sicherheitstechnologien – helfen, Verteidigungsmechanismen zu präzisieren und unbekanntes oder ungewöhnliches Verhalten in Netzwerken besser zu erkennen. Das beinhaltet fortschrittliche Algorithmen, die unterschiedliche Parameter analysieren, darunter auch Echtzeit-Traffic-Daten. Zudem ist das System lernfähig – es kann sich also weiterentwickeln und an die jeweiligen Gegebenheiten anpassen. Selbstlernende Systeme suchen nach potenziellen Gefahren und Anzeichen für Bedrohungen, und zwar bevor, während und nachdem sie passieren. Auch wenn diese Lösungen Sicherheitsrichtlinien nicht zwangsläufig selbst durchsetzen, geben sie doch wertvolle Informationen an andere Systeme weiter, die dann wiederum unerwartete Gefahren erkennen und die richtigen Kontroll- und Schutzmechanismen priorisieren. So können sich Richtlinien und Kontrollen je nach Bedrohung anpassen, gleichzeitig den Aufwand reduzieren und die Effizienz steigern.
Damit der ständige Kreislauf zwischen neuen Sicherheitslösungen und wieder neuen Bedrohungen gebrochen werden kann, brauchen wir Technologien, die die nötige Weitsicht und auch die Kapazitäten besitzen, sich an dynamisch veränderte Umgebungen anzupassen. Vor allem Experten im Netzwerk-Sicherheitsbereich sollten sich mit den neuen Möglichkeiten der Predictive Analytics auseinandersetzen und darauf basierend fundierte Entscheidungen über die Anschaffung von neuen Werkzeugen treffen. Damit lassen sich Sicherheitslösungen widerstandsfähiger gestalten, Kontrollmechanismen skalieren und eine sicherere Zukunft schaffen.