Was wir über Chronicle wissen, Alphabets mysteriöse neue Firma.

Es gibt einen faszinierenden neuen Spieler im Cybersicherheitsblock, der Chronicle heißt. Bemerkenswert, weil es Teil von Googles Muttergesellschaft ist, ist es aus Alphabets “Mondschuss”-Inkubator hervorgegangen, bekannt als X. Letzte Woche in zwei verschiedenen Blog-Posts auf Medium angekündigt, wird sich Chronicle darauf konzentrieren, Unternehmen dabei zu unterstützen, ihre eigenen Sicherheitsdaten zu verstehen und, laut dem CEO des Unternehmens, “Cyber-Angriffe zu stoppen, bevor sie Schaden anrichten”.

In einer Zeit globaler Computerinfektionen wie WannaCry oder Schwachstellen in Computerprozessoren wie Meltdown und Spectre ist es gut, dass ein Google-ähnliches Unternehmen seinen Fokus und seine Ressourcen auf Cybersicherheit richtet. Aber es gibt nur wenige Informationen darüber, wie es funktionieren könnte.

In einem Blogbeitrag schrieb der Mitbegründer und CEO des Unternehmens, Stephen Gillett, dass ein Schwerpunkt des Unternehmens “eine neue Cybersicherheits-Intelligence– und Analyseplattform sein wird, von der wir hoffen, dass sie Unternehmen helfen kann, ihre eigenen sicherheitsrelevanten Daten besser zu verwalten und zu verstehen”. Einige Unternehmen, so fügte er hinzu, hätten bereits eine erste Version dieser Plattform ausprobiert. Ihr System wird auch maschinelles Lernen nutzen, eine Art künstliche Intelligenz.

Während das Unternehmen keine Details über das hinaus preisgibt, was bereits öffentlich ist, stellt das maschinelle Lernen ein mächtiges Werkzeug dar, um die vielen Cybersicherheitsdaten, die ein Unternehmen sammelt, zu verstehen.

“Ich denke, dass die Idee, die Daten von Google zu verwenden, um die Cybersicherheit im gesamten Ökosystem zu verbessern, eine sehr direkte Anwendung von Informationen ist, die nur Google hat”, sagt Shuman Ghosemajumder, CTO von Shape Security und ehemaliger Click-Fraud-Chef bei Google.

Ertrinken in Daten
Chronicle wird Unternehmen helfen, die “Sicherheitswarnungen”, die ihre interne Verteidigung produziert, zu verstehen – Warnungen, die jeden Tag Zehntausende von Menschen erreichen können, so Gillett in seiner Erklärung des Unternehmens. “Die Verbreitung von Daten aus den Dutzenden von Sicherheitsprodukten, die ein typisches großes Unternehmen einsetzt, macht es paradoxerweise schwieriger und nicht einfacher für Teams, Bedrohungen zu erkennen und zu untersuchen”, schrieb er. Und all diese Daten sind auch teuer zu speichern.

Daten über die Netzwerkaktivitäten eines Unternehmens können in Form von Ereignisprotokollen vorliegen, sagt Bryan Parno, Associate Professor für Informatik an der Carnegie Mellon University. In einem Computernetzwerk kann ein Ereignis so einfach sein, wie wenn sich jemand morgens an seinem Computer anmeldet, die Kommunikation zwischen Computern oder Dateien, die von Personen heruntergeladen werden. Diese Ereignisprotokolle können auch Sicherheitswarnungen enthalten, wie beispielsweise fehlgeschlagene Anmeldeversuche. Antivirensoftware erzeugt auch Benachrichtigungen, ebenso wie andere Sicherheitsgeräte. Es sind Daten wie diese im Allgemeinen, die Chronicle vielleicht knacken will, spekuliert Parno.

Der nächste Schritt ist die “Anomalieerkennung”, sagt Parno, ein Prozess, bei dem diese Daten betrachtet und der Unterschied zwischen normalem und abnormalem Datenverkehr ermittelt wird.

Lösen der KI
Hier kann maschinelles Lernen ins Spiel kommen, das Erkenntnisse aus Unmengen von Daten gewinnen kann. “Sicherheitsanalysten verbringen oft viel Zeit damit, zu sagen: “Nun, wir haben all diese Warnungen erhalten, wir müssen sie irgendwie auslösen”, sagt Parno. Das Ziel ist es, eine reale Bedrohung vom normalen Verkehr zu trennen.

Maschinelles Lernen zeichnet sich dadurch aus, dass man aus Daten lernt – ein klassisches Beispiel ist es, einem Lernalgorithmus beizubringen, wie eine Katze aussieht, indem man ihr Tonnen von Bildern von Katzen gibt und sie dann ihre eigenen Regeln über Katzenerscheinungen entschlüsseln lässt, anstatt zu versuchen, diese Regeln explizit zu programmieren. Diese Software kann dann erkennen, was sie für verwirrte Tiere in neuen Bildern hält.

In diesem Fall sind die Daten keine pelzigen Haustiere. Es sind Informationen wie Sicherheitswarnungen, wie Gillett in seinem Blogbeitrag sagte, oder vielleicht diese Ereignisprotokolle. Ingenieure neigen dazu, ihr System auf “das Gute zu trainieren”, sagt Parno und zeigt ihm, wie der normale Verkehr aussieht, damit er daraus lernen kann, denn der meiste Verkehr ist die gutartige Art.

“Du trainierst hauptsächlich für das Gute und sagst: “Alles, was ich nicht als gut erkenne, ist wahrscheinlich schlecht”, sagt Parno. Chronicle könnte seine Algorithmen trainieren, um die Signale von gutem Verkehr, schlechtem Verkehr oder beidem zu erkennen. (Ein Teil des Unternehmens beinhaltet eine 2012 getätigte Google-Akquisition namens VirusTotal, die sich auf die Erkennung von Malware konzentriert.) Kurz gesagt, Chronicle ist eine Plattform, die eine schnelle Analyse der eigenen Cybersicherheitssituation eines Unternehmens ermöglichen soll. (In ähnlicher Weise hat ein anderes neues Unternehmen ein KI-System entwickelt, das CIA-Intelligence-Analysten helfen soll, Berichte und andere Daten zu verstehen.)

Parno sagt, dass das System auch den mühsamen Prozess der Zusammenstellung dessen, was passiert ist, beschleunigen könnte, selbst wenn etwas schief geht, wie ein Computer, der mit Malware infiziert wird.

Aber Parno, der sich auf Computersicherheit und Kryptographie konzentriert, ist vorsichtig. “In der Vergangenheit war es eine Herausforderung, Machine Learning sehr effektiv auf Sicherheitsprobleme anzuwenden”, fügt er hinzu. Das liegt daran, dass es gut darin ist, das zu identifizieren, was er den “Durchschnittsfall” nennt. Wenn Siri oder Alexa versteht, was Sie in 99 Prozent der Fälle sagen, ist das im Grunde genommen akzeptieren.