Ontologien in der Informationssicherheit

Wie mit Ontologie schneller und besserer Schutz vor Cyberbedrohungen und vieles mehr erzielt werden kann.

Bei Kaspersky sind wir stets darum bemüht neue Technologien zu entdecken, die wir für Cybersicherheit einsetzen können. Die Ontologie mag aktuell nicht zu den gängigsten Ansätzen zählen, aber das System von Informationen mit logischen Relationen kann viele Vorgänge beschleunigen und vereinfachen. Ich bin der festen Überzeugung, dass es nur noch eine Frage der Zeit ist, bis die Verwendung von Ontologie in Cybersicherheit weitverbreitet sein wird.

Was ist Ontologie im Kontext von Informationssystemen?

In der Informationswissenschaft ist die Ontologie die systematische Beschreibung aller Begriffe eines Themenbereiches, einschließlich deren Merkmale oder Attribute sowie der Beziehungen untereinander. Beispielsweise umfasst die Ontologie des Comic-Universums von Marvel die Namen und Attribute (Supermächte, Waffen, Schwächen) aller Superhelden sowie deren Power-Level usw. Ontologie kann alles beschreiben, von Wein bis hin zu Stromnetzen.

Mit einer Sprache wie OWL (Web Ontology Language) können Tools entwickelt werden, um Ontologien zu analysieren und versteckte Beziehungen sowie fehlende oder unklare Details zu erkennen. Wenn wir beispielsweise die Ontologie des Marvel-Universums analysieren, können wir feststellen, welche Teams und Superhelden am besten sind und welche Methode zur Besiegung der Bösewichte am angebrachtesten ist.

Für diese und andere Aufgaben eignet sich die Plattform Protégé. Protégé wurde im Institut für Medizinische Informatik an der Stanford University in Kalifornien zur Analyse von biomedizinischen Daten entwickelt. Inzwischen ist es ein kostenloser, Open-Source-Ontologie-Editor und ein Framework für die Erstellung von intelligenten Systemen, mit denen Wissen von jeglichem Fachgebiet verwaltet werden kann.

Ontologien im Vergleich zu maschinellem Lernen

Tools, die für die Ontologie eingesetzt werden, haben viel mit den Algorithmen von maschinellem Lernen gemeinsam, aber es gibt einen grundlegenden Unterschied: Die Modelle für maschinelles Lernen machen Vorhersagen während Ontologie-Tools Rückschlüsse ziehen.

Modelle, die auf maschinellem Lernen basieren, analysieren riesige Mengen an Daten und nutzen diese Informationen, um Vorhersagen zu treffen. Zum Beispiel kann ein selbstlernendes Programm 100 schädliche E-Mails untersuchen und die spezifischen Merkmale feststellen, die alle gemeinsam haben. Wenn das Programm dann diese Merkmale in einer neuen E-Mail entdeckt, kann es diese Mail automatisch als schädlich einstufen.

Auch für die Ontologie wird Datenanalyse verwendet. Aber anstatt Vorhersagen zu treffen, werden Informationen zusammengetragen, die sich auf logische Weise aus den angegebenen Parametern ergeben. Zur Informationsanalyse wird nicht auf vorherige Erfahrungen zurückgegriffen und auch nicht daraus gelernt. Wenn wir beispielsweise in einem ontologiebasierten Programm angeben, dass die E-Mail A eine Phishing-Mail ist und alle Phishing-E-Mails schädlich sind und dann angeben, dass E-Mail B eine Phishing-E-Mail ist, wird das Programm daraus folgern, dass E-Mail B als schädlich eingestuft werden muss. Wenn wir die E-Mail C analysieren möchten, aber keine Merkmale angeben, ist es unmöglich anhand der Ontologie Schlüsse daraus zu ziehen.

Die Ontologie und das maschinelle Lernen können sich auch gegenseitig ergänzen. Mit der Ontologie können die Vorgänge der Modelle, die auf maschinellem Lernen basieren, beispielsweise optimiert und beschleunigt werden. Dadurch wird der Lehrvorgang dieser Modelle vereinfacht, weil logisches Denken simuliert wird und Informationen automatisch klassifiziert und miteinander verbunden werden. Darüber hinaus kann mit zeitsparenden ontologischen Axiomen – Regeln, die die Beziehungen zwischen Konzepten beschreiben – der Dateninput für auf maschinellem Lernen basierten Modellen eingeschränkt werden, um ein schnelleres Finden der Antworten zu unterstützen.

Weitere Einsatzbereiche von Ontologie in Cybersicherheit

Die Ontologie kann auch hilfreich sein, um versteckte Gelegenheiten in schwachen Bereichen zu entdecken. Zum Beispiel können wir das Schutzniveau einer Unternehmensinfrastruktur darauf prüfen, wie effektiv es gegen spezifische Cyberbedrohungen wie beispielsweise Ransomware ist. Zu diesem Zweck erstellen wir eine Ontologie mit potenziellen Maßnahmen gegen Ransomware und fügen diese Informationen der bereits bestehenden Liste von Sicherheitsmaßnahmen des Unternehmens hinzu.

Durch die Anwendung der Ontologie kann festgestellt werden, ob die Infrastruktur ausreichend geschützt ist oder ob noch daran gearbeitet werden muss. Mit derselben Methode kann auch bestimmt werden, ob ein IT-Sicherheitssystem die IEC-, NIST- oder andere Normen erfüllt. Natürlich kann diese Aufgabe auch manuell durchgeführt werden, aber das würde wesentlich länger dauern und wäre dementsprechend auch teurer.

Durch Ontologie wird außerdem die Arbeit der IT-Sicherheitsfachkräfte erleichtert, weil sie in derselben Sprache miteinander kommunizieren können. Die Anwendung von Ontologie kann die Cybersicherheit verbessern, weil diese Methode den IT-Sicherheitsspezialisten ermöglicht Angriffe und Probleme, auf die andere Personen stoßen, in einen Kontext einzuordnen. Mithilfe dieser Informationen werden dann die Sicherheitsmaßnahmen optimiert. Außerdem sind die Informationen sehr praktisch, wenn Experten IT-Sicherheitsinfrastrukturen von Grund auf neu erstellen, denn die Ontologie bietet ihnen einen systematischen Überblick über die Schwachstellen, Angriffe und deren Beziehungen untereinander.

Das Konzept an sich mag auf den ersten Blick kompliziert und abstrakt erscheinen, aber in der Tat beschäftigen wir uns fast jeden Tag mit der Ontologie. Denken Sie beispielsweise an Suchanfragen im Internet. Die Ontologie bildet die Grundlage für die semantische Suche, die es ermöglicht Antworten auf die tatsächliche Frage, anstatt Suchergebnisse zu jedem einzelnen Wort zu erhalten. Dadurch wird die Qualität der Suchergebnisse stark gesteigert. Pinterest, eine Online-Pinnwand für Grafiken und Fotografien mit sozialem Netzwerk inklusive visueller Suchmaschine, nutzt ähnliche, auf Ontologie basierende Technologien, um die Aktionen und Reaktionen der Benutzer zu analysieren. Diese Daten werden dann dafür verwendet, um die Empfehlungen und die gezielte Werbung individuell anzupassen und zu optimieren.

Die oben genannten Beispiele sind nur paar Denkanstöße dafür, wie die Anwendung von Ontologie viele Aspekte der Unternehmen und der Cybertech-Branche verbessern kann. Wir von Kaspersky interessieren uns für Ontologie nicht nur unter dem Gesichtspunkt der Cybersicherheit, sondern auch allgemein, weil sie Unternehmen großartige Gelegenheiten bietet.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.