Vordenker

KI wird keine kaputten Sicherheitsgrundlagen reparieren

mm
Veröffentlicht am

KI schärft Sichtbarkeit, Analyse und Entscheidungsfindung, aber ihre Wirksamkeit wird durch die Qualität der zugrunde liegenden Umgebung eingeschränkt

“Verwendet es KI?” ist die Standardfrage in Gesprächen über Sicherheitsprodukte geworden, die von Sicherheitsleitern gestellt und in fast jedem Verkäufervortrag wiederholt wird.  

Das Problem ist, dass es die falsche Frage ist. Ob ein Produkt KI verwendet, bedeutet nicht, dass es dazu beitragen wird, die Sicherheitslage eines Unternehmens zu stärken. KI ist kein Allheilmittel für alle Sicherheitsprobleme. Ihr Wert hängt davon ab, wie sie eingesetzt wird, was mit der klaren Definition des Problems beginnt, das man lösen will. 

 Die bessere Frage ist: “Welche spezifische Sicherheitslücke versuchen wir zu schließen, und hilft diese KI-gestützte Technologie tatsächlich dabei, sie zu schließen?”  

Was KI gut kann 

KI liefert in der Sicherheit über drei Schlüsselbereiche hinweg Wert. Zunächst füllt sie Datenlücken. Sicherheitsteams ziehen Daten aus Dutzenden von Quellen, einschließlich veralteter Asset-Inventare, Identitätssysteme, die nicht alle Zugriffsbeziehungen erfassen, und Netzwerk-Telemetrie, die bestimmten Datenverkehr vermissen. KI kann Kontext aus unvollständigen Datensätzen ableiten, um ein vollständigeres Bild von Assets, Identitäten, Konnektivität und Workload-Verhalten zu erstellen.  

KI verbessert auch die Analyse im großen Maßstab. Das Signal-Rausch-Problem in der Sicherheitsoperation ist schwerwiegend und verschlimmert sich. KI kann Ereignisse über mehrere Datenquellen korrelieren, Alerts, die Aufmerksamkeit verdienen, an die Oberfläche bringen und niedrig priorisierte Rauschsignale aus dem Blickfeld des Analysten entfernen. Dies ist der Bereich, in dem die meisten Sicherheitsanbieter ihre KI-Investitionen konzentriert haben. SOC-Teams verbringen weniger Zeit mit der Triage niedrigwertiger Alerts und mehr Zeit mit Aktivitäten, die menschliches Urteilsvermögen erfordern. 

Drittens kann KI, nachdem sie Daten angereichert und Signale analysiert hat, Handlungen leiten, indem sie den nächsten Schritt empfiehlt, wie z.B. welche Richtlinienänderung das Risiko mindern wird, welche Reaktionsmaßnahme zum Verhaltensmuster passt oder wo eine Konfigurationsänderung erforderlich ist.  

KI liefert den größten Wert, wenn sie Kontext, Analyse und Entscheidungsfindung verbessert. Sie verstärkt starke Sicherheitspraktiken, kann aber nicht für fehlende Praktiken kompensieren. 

Warum schwache Grundlagen immer noch fehlschlagen 

KI ist durch die Eingaben eingeschränkt, die ein Unternehmen ihr gibt. Diese Eingaben (z.B. Telemetrie, Architektur, Richtlinien, Kontrollen und bestehende Tools) definieren die Grenzen dessen, was KI tun kann. Schärfen Sie diese Eingaben, und KI produziert schärfere Ergebnisse. Schwächen Sie sie, und die Ausgabe verschlechtert sich. 

Ohne den Kontext, um eine Abwesenheit zu identifizieren, hat KI keine Möglichkeit, eine Abwesenheit zu melden. Sie wird sich nicht selbst daran machen, die Umgebung zu untersuchen und zu flaggen, was fehlt. Sie wird einem Sicherheitsteam nicht sagen, dass das Netzwerk eine unzureichende Segmentierung aufweist, dass Zugriffskontrollen zu permissiv sind oder dass Sichtbarkeitslücken ganze Segmente der Umgebung unüberwacht lassen. 

KI entkommt nicht dem alten Datenqualitätsprinzip “Müll rein, Müll raus”, sie verstärkt es. Schwache Telemetrie produziert schwache Analyse. Fehlerhafte Kontrollen geben KI etwas, das in die falsche Richtung optimiert werden kann. Unvollständige Sichtbarkeit bedeutet, dass Entscheidungen auf der Grundlage eines unvollständigen Bildes getroffen werden, und KI trifft diese Entscheidungen schneller, nicht genauer. Geschwindigkeit ist keine Verbesserung, wenn die zugrunde liegenden Informationen unzuverlässig sind. 

Das ist der Grund, warum die Qualität der Grundlage vor jeder KI-Fähigkeit wichtig ist. Eine starke Grundlage umfasst Identitäts- und Zugriffskontrollen, die sinnvolle Grenzen durchsetzen, least privilege für Benutzer, Workloads, Anwendungen, Daten, Mikrosegmentierung, um laterale Bewegung zu begrenzen, und umfassende Sichtbarkeit/Beobachtbarkeit über die gesamte Umgebung. Sie erfordert auch zuverlässige Telemetrie und ein klares Verständnis dafür, wie Systeme miteinander verbunden sind und voneinander abhängen. 

Nichts davon ist neu. Dies sind die gleichen Disziplinen, über die Sicherheitsteams seit Jahren diskutieren, von der Verschiebung zu mobilen Geräten bis zur Umstellung auf die Cloud. Was sich geändert hat, ist der Preis für die Vernachlässigung dieser Disziplinen. KI kann eine starke Sicherheitsgrundlage verstärken, aber sie kann sie nicht ersetzen. 

Agente KI ändert die Risikogleichung 

Der Wechsel ist nicht von keiner KI zu KI, sondern von KI, die assistiert, zu KI, die handelt. Traditionelle KI analysiert Daten, bringt Erkenntnisse an die Oberfläche und empfiehlt den nächsten Schritt. Agente KI führt ohne menschliche Entscheidung aus, über Systeme, Daten und Workflows hinweg. 

Stellen Sie sich das so vor: Die Bereitstellung von 100 KI-Agents über Nacht ist effektiv wie das Einstellen von 100 neuen Mitarbeitern, die nie abmelden, mit Maschinengeschwindigkeit arbeiten und Zugriff auf alle Systeme haben, für die sie Berechtigungen haben. Aber im Gegensatz zu menschlichen Mitarbeitern pausieren diese Agenten nicht, stellen keine Fragen und wenden kein Urteilsvermögen an, wenn dieser Zugriff verwendet werden sollte. Sie führen kontinuierlich aus, bewegen sich über Systeme und berühren mehrere Anwendungen genau so, wie ihre Berechtigungen es erlauben. 

Das ist die Lücke. Ihr Zugriffsmodell geht von menschlichem Verhalten aus (z.B. diskreten Aktionen, langsamerem Tempo und einem gewissen Maß an Urteilsvermögen). KI-Agents entfernen diese Einschränkungen. Wenn also Berechtigungen zu weit gefasst sind (oder ungenau), werden sie nicht nur ungenutzt bleiben oder gelegentlich missbraucht; sie werden kontinuierlich, im großen Maßstab und über jedes System, das sie berühren, ausgeübt. 

Das Risiko potenziert sich, wenn ein Unternehmen einem Agenten das gleiche Zugriffsprofil wie einem bestimmten Benutzer zuweist, es einen Klon erstellt, nicht einen hilfreichen Proxy. Dieser Klon hat die gleichen umfassenden Berechtigungen wie das Original, läuft kontinuierlich und kann das Unternehmen dem gleichen Risiko aussetzen, ob sein Verhalten böswillig oder nur fehlerhaft ist. 

Im Zeitalter der KI sind Identität, Zugriffskontrolle, least privilege, Segmentierung und Beobachtbarkeit keine besten Praktiken mehr, sondern grundlegende Sicherheitsanforderungen. Ein kürzlich von der Cloud Security Alliance erstellter Bericht, der mit SANS, dem OWASP Gen AI Security Project und einer Gemeinschaft von Praktikern entwickelt wurde, unterstreicht den Punkt, dass agente KI diese Grundlagen nicht veraltet macht. Sie macht sie unverhandelbar.  

Was KI-fähige Sicherheit aussehen sollte 

Die Behandlung von KI-Bereitschaft als Beschaffungsfrage und die Konzentration auf die Frage, welche KI-gestützten Tools implementiert werden sollen, ignoriert die Tatsache, dass KI-Bereitschaft eine Architektur-, Governance- und Kontrollfrage ist. Die Frage ist nicht, welche Tools gekauft werden sollen, sondern ob die Umgebung den sicheren Betrieb von KI unterstützen wird. 

Beginnen Sie mit der Sichtbarkeit. Bevor Sie irgendeine KI-Fähigkeit bereitstellen, benötigen Sicherheitsteams ein klares Bild davon, was in der Umgebung vorhanden ist: Assets, Workloads, Identitäten, Anwendungen, Daten, KI-Modelle, Agenten und Verbindungen zu Drittanbietern. Diese Inventarisierung ist nicht etwas, das KI für Sie erstellen kann. Es ist der Ausgangspunkt, den KI benötigt, um etwas Nützliches zu tun. 

Von dort aus definieren Sie das Problem. Identifizieren Sie die Kontrolllücke oder das spezifische Risiko zuerst. Entscheiden Sie, welches Ergebnis verbessert werden muss. Dann fragen Sie, ob KI helfen kann, diese Lücke besser zu schließen als andere Ansätze. Organisationen, die diese Reihenfolge umkehren, indem sie mit einem KI-Tool beginnen und dann nach einem Problem suchen, das sie anwenden können, neigen dazu, Aktivitäten zu erzeugen, ohne die Sicherheit zu verbessern. 

Die Anwendung von Zero-Trust-Prinzipien auf KI-Agents ist der Punkt, an dem dies operativ wird. Der Instinkt ist oft, zu definieren, was Agents nicht tun sollten, aber diese Liste wird immer unvollständig sein. Ein zuverlässigerer Ansatz ist es, vorschreibend zu sein, was jeder Agent tun kann, ihm nur den Zugriff zu geben, den eine definierte Aufgabe erfordert, und diese Grenzen über alle Schichten des Stacks hinweg durchzusetzen. Segmentieren Sie die Systeme, die Agents erreichen können, damit, wenn ein Agent außerhalb seiner definierten Grenzen handelt oder ein Angreifer ihn missbraucht, der Schaden eingedämmt bleibt. 

Schließlich ist eine Zunahme der Aktivität kein Erfolgsmetrik. KI wird die Anzahl der Aktionen, die ein Sicherheitsteam ausführt, erhöhen, aber das bedeutet nicht, dass sie die Sicherheit verbessert. Ein Dashboard, das viele Aktivitäten anzeigt, signalisiert nicht, dass KI Wert liefert. 

Messergebnisse wie z.B., ob die Anzahl der Alerts sinkt, was ein echtes Signal widerspiegelt, und ob das Risiko in den Bereichen, die am meisten zählen, schneller sinkt. Stellen Sie sicher, dass Richtlinienempfehlungen Kontrollen stärken, es dem Sicherheitsteam ermöglichen, Vorfälle schneller einzudämmen, und SOC-Analysten mehr Zeit für Arbeiten verbringen, die menschliches Urteilsvermögen erfordern.  

Die Grundlage kommt zuerst 

KI ist nicht die Grundlage einer starken Sicherheitslage. Sie ist ein Multiplikator, und wie bei jedem Multiplikator hängt ihr Wert vollständig davon ab, worauf sie angewendet wird. 

Organisationen, die eine solide Architektur mit klarer Sichtbarkeit, durchgesetztem least privilege, Segmentierung und starken Identitätskontrollen aufgebaut haben, können KI nutzen, um ihren Kontext zu schärfen, die Analyse zu beschleunigen und auf der Grundlage besserer Informationen zu handeln. Diejenigen, die dies nicht getan haben, werden feststellen, dass KI sie in die falsche Richtung bewegt, fehlerhafte Kontrollen optimiert und Erkenntnisse aus einem unvollständigen Bild an die Oberfläche bringt. 

Die Frage, die vor jeder KI-Investition gestellt werden muss, ist die gleiche, die jede Sicherheitsentscheidung leiten sollte: Welches Problem versuchen wir zu lösen? Wenn die Antwort klar ist und die Architektur, um sie zu unterstützen, vorhanden ist, kann KI die Lösung effektiver machen. Wenn die Antwort vage ist oder die Grundlage schwach ist, wird das Hinzufügen von KI nichts ändern. Es wird nur die Lücke schwerer zu sehen machen. 

KI wird keine kaputte Grundlage reparieren. Sie wird nur die Risse schneller sichtbar machen.

mm

Raghu Nandakumara ist Vice President of Industry Strategy bei Illumio, dem Unternehmen fĂŒr Breach-Containment. Mit Sitz in London, UK, hilft er Kunden und Interessenten aus verschiedenen Branchen, mit Illumio Segmentation Resilienz aufzubauen und Zero-Trust-Ergebnisse zu beschleunigen.

Zuvor verbrachte Raghu 15 Jahre bei Citibank, wo er verschiedene Rollen in Netzwerksicherheitsbetrieb und -engineering innehatte. Zuletzt war er als Senior Vice President tĂ€tig, wo er fĂŒr die Definition von Strategie, Engineering und Lieferung von Lösungen zur Sicherung von Citis privaten, öffentlichen und hybriden Cloud-Umgebungen verantwortlich war. Raghu hĂ€lt einen Bachelor-Abschluss in Mathematik und Informatik von der University of Cambridge und einen Master-Abschluss in Advanced Computing von Imperial College London.