:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Menschen unterstützen, nicht ersetzen Das SOC mit KI neu erfinden
Wenn es um KI in der Cybersecurity geht, gibt es dafür zwar noch keine klaren Regeln, aber das Potential scheint gewaltig. KI kann lernen, Nutzer, Geräte, Anwendungen und Netzwerke zu schützen und zu verteidigen. Angewandte KI kann im Security-Operations-Center mehr leisten als regelbasierte Systeme. Das Argument, dass KI Menschen unterstützt, anstatt sie zu ersetzen, ist kräftig.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Es ist unmöglich, Regeln zu erstellen, die zwischen den Guten und den Bösen im Internet unterscheiden. Und zwar deshalb, weil die Bösen ihre Taktik kontinuierlich ändern, aus ihren Fehlern lernen und gerissener werden. Es gibt keine Regeln, die alle bösartigen oder Phishing-E-Mails herausfiltern. Es gibt keine Regeln, die Malware in E-Mail-Anhängen filtern, Fake-Websites blockieren oder sagen, welche Daten sicher oder gefährlich sind.
Vielleicht mit einer gewissen Einschränkung: Es lassen sich Regeln erstellen, aber sie werden nicht gut genug funktionieren, um SOC-Analysten zu ersetzen, insbesondere die Tier-1-Analysten, die vor dem Problem viel zu vieler False-Positives und False-Negatives stehen. Das Ziel ist es nicht, SOC-Analysten zu ersetzen, sondern sie zu unterstützen, schneller, besser und effizienter zu werden.
Nehmen wir zum Beispiel Sprengstoffsuchhunde. Ihre Aufgabe ist es nicht, Sprengstoffexperten zu ersetzen. Sie werden genutzt, um Menschen zu ergänzen, ihre Arbeit schneller, bei geringeren Kosten und mit größerer Genauigkeit zu machen, als sie es selbst könnten.
Es gibt zwar noch keine Hunde für das Erschnüffeln von Malware, aber Techniken der künstlichen Intelligenz wie maschinelles Lernen zum Schützen von Menschen und Ressourcen. Angewandte KI arbeitet besser als jedes regelbasierte System im SOC.
Bevor wir uns damit beschäftigen, wie KI das SOC-Problem lösen kann, gilt es, eine weitere Herausforderung zu betrachten, nämlich die Unfähigkeit zur Skalierung.
Das SOC-Problem ist menschlicher Natur
Zwei Wörter beschreiben das SOC-Problem eindeutig: Wirtschaftliche Ineffizienz. Das meint zumindest Malcom Harkins, Chief Security and Trust Officer bei Cylance. „In den vergangenen Dekaden hat der Security-Betrieb einen stetig steigenden Bedarf an Arbeitskräften erzeugt. Insbesondere dadurch, dass die bestehenden Mechanismen sich als unzureichend und ineffektiv erwiesen haben“, erklärt Harkins. „Im SOC mündet das in eine gewisse Alarmmüdigkeit und etwas, das ich Demenz der Entscheidungsträger nenne, die in zu viele Richtungen mit gegensätzlichen Prioritäten gezogen werden.“
Alarmmüdigkeit? Demenz der Entscheidungsträger? Ja, meint Harkins: „SOC-Verantwortliche finden keinen Weg zur Skalierung. Wir haben der wirtschaftlichen Ineffizienz, die wir mit dem bestehenden Security-Ansatz geschaffen haben, nicht genug Beachtung geschenkt. Wenn wir den richtigen Weg beschreiten, dann können wir diese Effizienz zurückgewinnen.“
Ein ähnliches Problem ist die horizontale Skalierung des SOC durch die Einrichtung zusätzlicher SOCs rund um die Welt, um eine 24-Stunden-Abdeckung im Tagesverlauf zu erzielen“, erläutert Rishi Bhargava, Co-Founder von Demisto. „Verteilte SOCs schaffen Probleme, weil schwerwiegende Vorfälle nicht durch eine einzige Person bearbeitet werden können, weil die Untersuchung nicht fortgeführt werden kann, wenn der Analyst Arbeitsschluss hat. Wie erfolgt die Übergabe? Wie funktioniert die Zusammenarbeit?“
Ein dritter Problembereich bezieht sich auf das fachliche Können und die Durchführung von Trainings ohne Alarmmüdigkeit. Greg Kiker, Global Senior Director Cybersecurity Consultant bei Atos SE erklärt: „Es gibt Tier-1-Analysten, die die meiste Zeit damit verbringen, Alarme durchzugehen. Allerdings wollen Tier-1-Analysten nicht lange Tier-1-Analysten bleiben. Sie sind knapp, sie verlangen viel Geld dafür, was sie tun, und die Trainingsanforderungen und die Fluktuation sind hoch.“
Greg Martin, CEO und Mitbegründer von JASK, stimmt dem zu: „Das ist genau das Problem des Security-Betriebes. Er beruht auf einem mangelhaften Modell. Das Tier-1-, Tier-2- und Tier-3-Modell ist veraltet und benötigt Veränderungen. Es hält mit dem gegenwärtigen Status der Bedrohungen nicht Schritt.“
„Wir verfügen über Technologien zur Automation der Alarmsichtung und -behandlung“, fährt Martin fort. Wir brauchen keine Tier-1-Analysten mehr. Wir müssen diese Arbeit in die Hand von Maschinen geben und die Mitarbeiter für höhere Tätigkeiten im SOC einsetzen.“
Spürhunde einsetzen
Künstliche Intelligenz, insbesondere maschinelles Lernen, Big-Data-Analytics und Verhaltensanalysen können und sollten Anomalien aufspüren. Nicht basierend auf Rollen oder Mustern: Etwas sieht falsch aus, eine Anwendung verhält sich, als ob sie gehackt wäre, ein Anwender verhält sich nicht in korrekter Art und Weise, dieses Netzwerkgerät hat eine veränderte IP-Adresse, dieser Server könnte einen Bot tragen.
Wie lassen sich KI und KI-basierte Automation in einem Security-Betriebssystem einsetzen? Das Beginnt mit dem Verständnis und der Reduktion des Problems, so Harkins von Cylance: „Zunächst und vor allem muss Automation bei einer umfassenden Betrachtung der Kontrollarchitektur einsetzen. Solange Sie nicht über die richtigen Mittel zur präventiven Kontrolle verfügen, erhalten Sie mehr Benachrichtigungen. Dies ist also notwendig, um die Zahl der Aufgaben zu reduzieren, mit denen Sie sich beschäftigen müssen, sprich: die Zahl der Alarme.“
„Auch wenn wir das Potenzial für Schäden reduzieren, müssen wir dennoch akzeptieren, dass wir das Risiko nicht eliminieren können. Wir haben einfach nur das Durcheinander bereinigt. Nun müssen wir herausfinden, wie wir das Netzwerk instrumentalisieren können und danach diese Instrumentierung auf die Bereiche ausweiten, in denen die Präventionsfähigkeiten keinen festen Stand haben.“
Kiker von Atos lenkt die Aufmerksamkeit auf die Notwendigkeit von Offenheit: „Wenn wir KI und andere Technologien auswählen, dann müssen sie offen sein. Sie müssen APIs zur Verfügung stellen und sie müssen zusammenarbeiten. Das ist die Grundvoraussetzung, um mit Automation zu beginnen. Nicht jede Technologie ist wirklich offen.“
„Ich denke, Security entwickelt sich in Richtung Offenheit“, stimmt Bhargava von Demisto zu, aber er macht sich Sorgen hinsichtlich der Interoperabilität und der Orchestrierung zwischen Automation und KI-Tools, um sicherzustellen, dass sie auf einem gemeinsamen Policy-Playbook arbeiten. „Bei der Erarbeitung dieses Policy-Playbooks gilt es darauf zu achten, dass es nicht auf Silos beschränkt bleibt. In den meisten Umgebungen, in denen Automation eingesetzt wird, sind diese Playbooks in Python geschrieben. Das ist eine schlechte Idee. Python-Scripts können nicht von einem Tool auf ein anderes übernommen werden. Gefordert sind also austauschbare Formate. Für die gesamte Branche, aber vor allem für Unternehmen, sollte Offenheit ein Teil der Kriterien sein.“
Des Pudels Kern
„KI ist da. Sie ist eine leistungsfähige Technologie. Und sie ist der eigentliche Kern der Thematik“, meint Karkins von Cylance. „KI wird nicht das Nahrungsproblem der Welt lösen, aber wenn sie für Aufgaben wie der Identifikation von Malware oder der Automation mühsamer SOC-Jobs zum Einsatz kommt, dann ist sie ein sehr leistungsfähiges Werkzeug.“
Ignorieren ist keine Option, warnt Harkins: „Unternehmen, die nicht in KI investieren, werden zurückfallen. KI nimmt in der frühen Phase dort an Fahrt auf und bringt Mehrwert – und wir befinden uns noch immer in der frühen Phase des Einsatzes von KI in der Cybersecurity – wo es um die Vermehrung menschlicher Fähigkeiten geht.“
Die richtigen Anwendungen von KI ersetzen nicht den Menschen, wie Harkins erklärt, sondern machen ihn effizienter. „Wenn wir KI in dieser Weise nutzen, dann könnten Menschen neue Rollen im SOC übernehmen, die sie vorher aufgrund des Zeitmangels nicht erfüllen konnten. Das ist zunächst eine positive Entwicklung und keine Bedrohung. Das ist Fortschritt und wird heute benötigt.“
„Wir sollten diese Möglichkeit nicht unterschätzen“, findet J.J. Guy, Chief Technology Officer von JASK und zitiert das Kasparow-Gesetz: Schwacher Mensch + Maschine + besserer Prozess ist besser als starker Mensch + Maschine + schlechterer Prozess.
„IBM benötigte 20 Jahre, um Deep Blue so weit zu entwickeln, um Gary Kasparow zu schlagen“, erinnert sich Guy. „Es zeigte sich, dass ein durchschnittlicher Schachspieler mit Unterstützung durch Deep Blue in der Lage war, Gary Kasparow zu besiegen, lange bevor Deep Blue dies selbst konnte. Ein Mensch mit seiner Intuition und Urteilskraft und der Hilfe von künstlicher Intelligenz hat Gary Kasparow vom Spielfeld gefegt.“
„Das Ziel von KI in der Cybersecurity ist es nicht, Menschen zu schlagen, sondern ihnen zu helfen“, fügt Bhargava hinzu. „Es geht nicht darum, KI zu nutzen, um den besten Analysten im SOC zu übertreffen. Vielmehr geht es darum, KI zu nutzen, um die Basislinie zu erhöhen. Die Arbeit des Analysten wird verbessert und damit die Basislinie Jahr für Jahr ein Stück höher gesetzt. Daraus entsteht Fortschritt.“
Nicht vor die Hunde gehen
Spürhunde machen den Menschen viel effizienter beim Auffinden von Sprengstoff, weil sie trainiert werden können und über olfaktorische Sensoren verfügen, die der Mensch nicht besitzt. Sicher, Hunde werden gelegentlich abgelenkt (Eichhörnchen!), und ihre Gehirne arbeiten nicht in der gleichen Weise wie menschliche. Sie müssen auch nicht wie Menschen sein. Sie müssen nur ihre Aufgabe als Spürhund erfüllen und dadurch die Arbeit der Menschen verbessern, um beim Erspüren von Bedrohungen effizienter zu sein.
Über den Autor: Alan Zeichick ist Tech Editor bei NetEvents.
(ID:45568123)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945565/original.jpg "KI ist keine Wunderwaffe, um Unternehmensinfrastrukturen vollständig sicher zu halten. (ipopba - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")