Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden zuschneiden lässt. Ein Interview mit den Entwicklern aus Österreich.

Ontec und Schoeller stellen LARA mit einer Live-Demo während des "Silicon Security Day" Anfang Juni 2022 vor. Die Teilnahme ist kostenfrei. Mehr Infos gibt es hier.
 

Die österreichische TEC-Gruppe führt spezialisierte IT-Unternehmen unter einem Dach zusammen. Die auf KI spezialisierte Ontec und die Security-Experten von Schoeller haben gemeinsam mit LARA eine Security-KI entwickelt, die sich auf die individuellen Anforderungen jedes Kunden zuschneiden lässt. Im Interview erklärt Franz Großmann von Schoeller Network Control was an LARA anders ist als an KI-Lösungen aus dem Cloud-Regal.

KI hat sich zu einem inflationär verwendeten Hype-Begriff entwickelt. Überall ist angeblich KI inside. Auch in Security-Lösungen. Wie verbindet Schoeller Network Control Security mit KI?
Der übliche Weg ist, eine KI-Lösung aus dem Regal in die Security zu integrieren. Zum Beispiel aus der Google Cloud. Wir nehmen für unsere Security-Lösung aber keine Standard-KI-Lösung. Unsere auf KI spezialisierte Schwesterfirma Ontec hat eine KI passend zu unserer SIEM-Lösung unserer auf Cybersecurity spezialisierten Schwester Schoeller Network Control zu entwickeln. Die Security-Experten sind auf das Segment der Log File-Analyse und Log File-Korrelation spezialisiert.

Und von wem kommt das SIEM?
Hier setzen wir auf zwei Standardprodukte aus dem Markt. Unter anderem auf Fortinet. SIEMS sind meist mit klassischen Regelwerken unterlegt. Das heißt, anhand von Signaturen und Performance-Informationen werden Incidents herausgefiltert. Diese vorqualifizierten Fälle werden dann von Mitarbeite*innen eines Security Operations Center (SOC) abgearbeitet. Diese Vorgehensweise funktioniert grundsätzlich gut. Aber die Angreifer nutzen in zunehmendem Maße intelligente Angriffsmuster, die darauf hindeuten, dass sie dafür KI-Methoden anwenden. Der Menge und der Intelligenz dieser Bedrohung lässt sich allein mit Menschen nicht mehr begegnen.

War dies der Grund für die Entwicklung einer eigenen KI für Security?
Wir haben nach einer Antwort auf diese Entwicklung gesucht. Wir wollten eine Möglichkeit bieten, einerseits die Vielzahl von Informationen schneller zu verarbeiten und andererseits eine Korrelation durchführen, mit der sich Anomalien erkennen lassen, die wiederum in Kombination mit anderen Informationen spezielle Incidents herausfiltert. Im Grunde ist das ein virtueller SOC-Mitarbeiter.

Kann das ein klassisches SIEM nicht?
Die Log-Formate zum Beispiel bei Azure oder AWS ändern sich ständig. Ein klassisches SIEM-System brauchen aber genaue Strukturen, um Incidents zu erkennen. Ändert sich an der Struktur eines Log-Formats nur ein Komma, schwächelt das SIEM. Unsere KI-Methode interessiert aber das Log-Format nicht und ist gegen diese Veränderungen daher vollkommen resistent. Dafür füttern wir Log-Informationen in unser neues KI-Modul LARA, das wir ganz aktuell Anfang Juni 2022 auf den Markt bringen. LARA steht für „Logfile Analysis and Responding Agent“ und erkennt Anomalie und führt dies Informationen in das SIEM zurück.

Der Mensch ist also nach wie vor im Boot?
Der SOC-Agent bekommt das Ergebnis und kann darauf aufsetzend mit der Forensik starten. Das lässt sich zwar auch mit einer SOAR-Lösung automatisieren, aber die Mehrzahl unserer Kunden fühlt sich mit einer Komplettautomatisierung nicht wohl. Das gilt zum Beispiel für produzierende Unternehmen, die verhindern wollen, dass eine Security-Lösung von selbst die Produktion lahmlegen kann. LARA ist also nicht die letzte Instanz, sondern der SOC-Experte der letztendlich entscheidet, ob etwas abgeschaltet wird oder in Quarantäne kommt.

Wie wurde LARA aufgeschlaut?
Wir haben LARA ein Jahr vortrainiert, wobei LARA kein Fertigprodukt ist, dass wir von der Stange verkaufen. Wir trainieren das System zusätzlich genau entsprechend den Kundenanforderungen weiter. Das hat einen einfachen Grund. Jede Kundenorganisation ist anders aufgestellt und zeigt andere Anomalien. Dies berücksichtigen wir bei der Implementierung und füttern LARA mit individuellen Parametern. Daher braucht die Einführung Beratung und auch der Betrieb ist ohne KI-Know-how kaum möglich. Die Ergebnisse jedenfalls bestätigen unsere Vorgehensweise. Sie sind sensationell.

Und ein solches System gibt es nicht aus der Cloud?
Wir haben überlegt, ob wir irgendeine KI zum Beispiel aus der Google Cloud nehmen. Aber es geht hier oft um personenbezogene Daten, was aus Datenschutzsicht hochkritisch ist. Daher haben wir uns für die Eigenentwicklung entschieden. LARA funktioniert zu 100 Prozent als OnPrem-Lösung beim Kunden und wird auch beim Kunden betrieben. Die Daten verlassen also nicht das Kundenrechenzentrum. Aber unsere Technologie ist so angelegt, dass man sie in der Cloud betreiben könnte. Die Kunden haben also die Option, was sie bei einem reinen Cloud-Anbieter nicht haben. Mit unserem Ansatz gewährleisten wir letztendlichlich auch die Erklärbarkeit und die Nachvollziehbarkeit der Ergebnisse und entsprechen damit bereits heute möglichen zukünftigen Standards, deren Einführung in der EU-Raum bereits ausführlich diskutiert wird.

Franz Großmann von Schoeller Network Control