Standardisierte Security-Playbooks gegen Cyberattacken
Im Projekt CyberGuard arbeiten Fraunhofer-Forscher an standardisierten Playbooks, damit Unternehmen ihre Security-Strategien optimieren und untereinander abstimmen können. Die Playbooks werden durch große Sprachmodelle generiert und unterstützen die Automatisierung von IT-Sicherheit.
IT-Sicherheitsverantwortliche in Unternehmen legen die Abwehrmaßnahmen gegen Cyberattacken in Playbooks fest. Sie dienen als Anleitung, was bei einer Cyberattacke zu tun ist, etwa wenn sich in der E-Mail ein Trojaner verbirgt, ein Notebook mit Schadsoftware infiziert ist oder die Website attackiert wird. Bislang setzen die Unternehmen auf jeweils eigene Sicherheitskonzepte und erstellen ihre Playbooks individuell. Ein Austausch sicherheitsrelevanter Informationen zwischen Unternehmen findet daher kaum statt. Das ist vor allem dann ein Problem, wenn Geschäftspartner regelmäßig Daten austauschen, wie das etwa bei Industriebetrieben und ihren Zulieferern der Fall ist.
Ein Forscher-Team vom Fraunhofer-Institut für Angewandte Informationstechnik FIT hat sich deshalb im Projekt CyberGuard zum Ziel gesetzt, ein einheitliches Rahmenwerk für die Abwehr von Attacken aufzubauen. Herzstück des Projekts sind standardisierte Playbooks mit maschinenlesbaren Prozessbeschreibungen. Im Bereich Standards setzen die Forscher auf das Open-Source-Format CACAO (collaborative automated course of action operations) der Organisation for the Advancement of Structured Information Standards (OASIS).
Die im CACAO-Standard erstellten Dokumente sind untereinander kompatibel und daher problemlos zwischen Unternehmen oder Organisationen teilbar. „Auch kleine Unternehmen oder Start-ups, die sich keine große IT-Security-Abteilung leisten können, erhalten so Playbooks für den Ernstfall und können sich schützen“, so Mehdi Akbari Gurabi, Experte für Datenschutz und Datensouveränität am Fraunhofer FIT.
Großes Sprachmodell generiert Playbooks
Im ersten Schritt werden die vorhandenen, manuell erstellten Playbooks, die oft als Text oder Tabelle vorliegen, in maschinenlesbare Dokumente umgewandelt. Dafür verwenden die Fraunhofer-Forscher die Fähigkeiten KI-basierter großer Sprachmodelle oder Large Language Models (LLMs). Das LLM analysiert die von Mitarbeitern in natürlicher Sprache verfassten Texte und wandelt sie in das maschinenlesbare CACAO-Format um.
Die fertigen Playbooks und das darin enthaltene wertvolle Security-Know-how können bei Bedarf an Kunden oder Geschäftspartner weitergegeben werden, etwa über geschützte vertrauenswürdige Plattformen. Interne Daten bleiben dabei außen vor. „Für die Weitergabe werden die maschinenlesbaren Schritt-für-Schritt-Anleitungen so abstrakt formuliert, dass Betriebsinterna darin nicht auftauchen, auch keine Datei- oder Laufwerksnamen“, so Akbari Gurabi.
Cyberattacken entwickeln sich laufend weiter und werden immer raffinierter. Deshalb wollen die Fraunhofer-Forscher um Akbari Gurabi die KI zukünftig auch zum Weiterlernen animieren. Taucht beispielsweise eine neue Variante einer Attacke auf, dann aktualisiert und optimiert die KI das jeweilige Playbook auf Basis des vorhandenen Know-hows. Der virtuelle Security-Experte bleibt dabei nicht unbeaufsichtigt. Fraunhofer-Forscher Akbari Gurabi erklärt: „In der IT-Sicherheit sind Fehler nicht erlaubt. Deshalb sieht CyberGuard vor, dass die IT-Verantwortlichen prüfen, ob die KI bei der Erstellung der maschinenlesbaren Dokumente sinnvoll vorgegangen ist.“
Automatisierte Prozesse
Die Security-Experten des Fraunhofer FIT arbeiten auch daran, die in den Playbooks definierten Schritte zu automatisieren. Das IT-System könnte dann beispielsweise sofort Maßnahmen einleiten, wenn das Intrusion Detection System einen Angriff meldet. Das entlastet die IT-Verantwortlichen und beschleunigt die Reaktionen auf Attacken.
Die CyberGuard-Architektur und die darauf aufbauenden weiteren Forschungsvorhaben versprechen für Unternehmen und Organisationen eine ganze Reihe von Vorteilen: Gemeinsam gepflegte Playbooks erlauben die bestmögliche Reaktion auf Angriffe von Cyberkriminellen und Hackern. Automatisierte Workflows beschleunigen die Reaktionen und entlasten die Sicherheitsexperten. Der Geschäftsbetrieb wird so besser vor Unterbrechungen geschützt. Zuletzt erhalten auch kleine Unternehmen und Start-ups Zugriff auf hochqualifizierte, professionelle Sicherheitslösungen.
