Technologieanbieter arbeiten kontinuierlich daran, die IT-Sicherheit im Unternehmen zu verbessern. Doch obwohl Security Operation Center (SOC) Gefahren immer besser abwehren, gibt es noch viel zu tun. KI, Maschine Learning (ML) und Automatisation unterstützen wirksam die Experten, ohne sie überflüssig zu machen.

Eine wichtige Grundlage, die Arbeit im SOC zu verbessern, war die Einsicht, dass eine nur auf Technologie basierende Defensive nicht ausreicht. Denn die Angreifer sind in dem Katz- und Mausspiel zwischen Cyberabwehr und -angriff oft den einen entscheidenden Schritt voraus. Der Einsatz neuer Technologien wie Automatisation, Künstliche Intelligenz und maschinelles Lernen (ML) spielt daher eine bedeutende Rolle, die Menschen zu entlasten.

Die Algorithmen sind im Vergleich zum Menschen einfach viel schneller darin, einen Normalzustand der IT-Abläufe – die sogenannte Baseline – zu definieren, Verhaltensmuster zu identifizieren und Abweichungen von normalen Abläufen zu erkennen.

Doch ohne menschliches Denken geht es nicht. Eine effiziente Cyberabwehr braucht beides: gezielte und effektive Automatisationstechnologien sowie KI und maschinelles Lernen (ML) einerseits, die das Fachwissen und die Expertise eines menschlichen Verteidigers andererseits ergänzen. Beides kann entweder Teil eines internen Security Operations Center (SOC) sein oder eines ausgelagerten Dienstes, wie Managed Detection and Response (MDR).

Der Bedarf an menschlicher Urteilskraft ist und bleibt unstrittig
Es ist ein weit verbreiteter Irrglaube, dass mehr Technologie weniger Bedarf an Menschen nach sich zieht. Automatisation, künstliche Intelligenz und Machine Learning können die Notwendigkeit menschlicher Entscheidungsfindung in der IT-Security wahrscheinlich nie ganz ersetzen. Der menschliche Analyst bleibt weiterhin unersetzlich, solange ihm ein Angreifer aus Fleisch und Blut gegenübersteht.

Der Verstand des Hackers ist nämlich zu intelligent und kann abstraktes Denken nutzen, um Abwehrmaßnahmen zu umgehen und in ein Zielnetzwerk so einzudringen, so dass Technologie-Tools ihn einfach nicht erkennen. Dann hat beispielsweise selbst die fortschrittlichste EDR-Lösung (Endpoint Detection and Response) kaum eine Chance gegen einen Mitarbeiter, der mit Social Engineering dazu gebracht wird, ein administratives Passwort herauszugeben.

Die beste Chance, dem individuellen, nie mit letzter Sicherheit vorhersehbaren Verhalten eines Cyberkriminellen entgegenzuwirken, bieten menschliche Sicherheitsanalysten, die wie der Angreifer denken und handeln. KI, ML und Automatisation unterstützen die Experten mit Informationen, um das fundierte Beurteilen und Entscheiden der Abwehr gegen komplexe Angriffe zu verbessern und zu beschleunigen.

Eine automatisierte Anreicherung, die dem Analysten alle relevanten Informationen bereitstellt, muss auf verschiedene Wissensdatenbanken und Forschungsressourcen zurückgreifen, damit die Analysten das Schlachtfeld, in dem sie operieren, verstehen und fundiert entscheiden können. Darauf aufbauend können dann die Analysten, die verstehen, was der Angreifer zu erreichen versucht, passende Reaktionsmaßnahmen starten.

Wo Automatisation, Künstliche Intelligenz und Maschinelles Lernen schon jetzt erfolgreich sind
In verschiedenen Bereichen der IT-Security sind Automatisierung, ML und KI-Initiativen bereits erfolgreich. Wo Angreifer ihre Attacken automatisieren, genügt beispielsweise im Gegenzug die automatisierte Abwehr. Auch gegen Angriffe mit Credential Stuffing helfen KI und ML. Hier dient Threat-Intelligence als Leitfaden, um Tools zu entwickeln, die bösartige Akteure erkennen können. Anschließend erhalten dann Sicherheitsanalysten Informationen, wie sie am besten Indikatoren einer Kompromittierung (Indicators of Compromise, IOCs) definieren können.

Automatisation und ML können zudem vorhersagen, wie sich Malware entwickeln wird. So kann man eine einzigartige Signatur gegen neue Malware erstellen, die dann hilft, weitere Angriffe zu erkennen. Ein weiterer wichtiger Einsatzbereich ist es, Unmengen von Sicherheitsdaten zu erfassen und zu verarbeiten. Diese Daten sind erforderlich, um anormale Aktivitäten als Risiken aufzudecken, zu verifizieren und so die sprichwörtliche Nadel im Nadelhaufen zu finden.

So wird das SOC der Zukunft KI, ML und Automatisation nutzen
Generell werden KI, ML und Automatisation die Effizienz von SOCs verbessern und den Analysten mehr Kontext in Echtzeit liefern. Darüber hinaus kann KI Angreifer imitieren. So scannt sie große Umgebungen und vergleicht sie mit bekannten Schwachstellen abzugleichen, um dann vorherzusagen, wie ein böswilliger Akteur diese Angriffsflächen ausnutzen würde. Solche Informationen sind für Analysten äußerst wertvoll, um proaktiv Angriffe zu verhindern.

Die schlauen Helfer werden beim Thema Skalierung eine wichtige Rolle spielen. Derzeit können Analysten nur eine begrenzte Menge an Daten manuell erfassen. Je mehr Informationen aber vorliegen, desto mehr Muster, Beziehungen und Erkenntnisse könnte man ableiten. Die Lizenzierungsmodelle vieler Tools schränken das genutzt Datenvolumen bisher jedoch stark ein. Zukünftig wird es diese Limitierung kaum noch geben und man kann große Datensätze strategischer untersuchen und prädikative Analysen durchführen.

Fazit
Die IT-Security wird ein modernes Katz- und Mausspiel bleiben. KI, ML und Automatisation setzen sich bereits im SOC-Betrieb durch und helfen Analysten, die IT-Security im Unternehmen zu verbessern. Die schlauen Helfer bieten schon jetzt viele Vorteile, insbesondere wenn es darum geht, mögliche Risiken schnell und genau zu erkennen.

Zukünftig werden die Algorithmen für zahlreiche weitere Applikationen in der IT-Security angewendet und erhöhen so die Sicherheit. Unternehmen sind gut beraten etablierte Technologien aufbauend auf Automatisation, KI und ML bereits jetzt in ihrem SOC einzusetzen und neue Technologien gut im Auge zu behalten. Der Mensch bleibt dessen ungeachtet weiterhin unverzichtbar. Aber für den Erfolg braucht er moderne Technologien.

Weitere Beiträge....