Large Language Models im Security Operations Center

Die Nutzung von Large Language Models (LLMs) wird einer der wichtigsten Trends im Bereich Security Operations Center (SOC) für das kommende Jahr.

LLMs sind eine Art der künstlichen Intelligenz (KI), die durch Machine Learning in der Lage sind, Textinhalte zu verstehen und zu generieren. In Form von ChatGPT und ähnlichen Plattformen sind LLMs der breiten Öffentlichkeit vor allem in den vergangenen zwei Jahren bekannt geworden. Im modernen SOC kommt KI jedoch schon lange zum Einsatz, insbesondere wenn es um das Identifizieren von potenziellen Bedrohungen geht.

Die Aufgabe eines Security Operations Center (SOC) besteht darin, sicherheitsrelevante Vorfälle in einem Netzwerk oder System in Echtzeit zu identifizieren, zu analysieren und zu beheben. Für diesen Prozess muss eine gewisse Flexibilität gegeben sein – die Experten im SOC müssen sich dynamisch an verschiedene Fälle und Situationen anpassen. Gleichzeitig beginnt ein Wettlauf gegen die Zeit, wenn ein sicherheitsrelevanter Vorfall identifiziert wird. Es muss eine große Menge an Informationen verarbeitet und analysiert werden, um festzustellen, ob es sich um eine tatsächliche Bedrohung handelt oder nicht.

„LLMs sind die Scouts im SOC. Bei einem potenziellen Vorfall dienen sie dazu, alle möglichen Eventualitäten abzubilden und die ersten Schritte hin zu verschiedenen Erklärungsansätzen zu erarbeiten. Im nächsten Schritt entscheiden dann die menschlichen Experten, welcher dieser Ansätze verfolgt werden soll“, sagt Arthur Tondereau, Data Scientist bei aDvens.

Die Vorteile von LLMs: Natürliche Sprache und Weiterentwicklung zu KI-Agenten

Das Besondere an LLMs ist, dass sie natürliche Sprache verstehen und in Maschinensprache übersetzen können. Beispielsweise können die Experten im SOC die simple Frage „Was geschah eine Stunde vor dem Vorfall X?“ stellen, worauf ein LLM über Schnittstellen zu anderen SOC-Tools die gewünschten Informationen einholt und verständlich zusammenfasst. Die Reaktionszeit auf Vorfälle verkürzt sich auf diese Weise signifikant.

Dieser Effizienzgewinn fällt noch einmal größer aus, wenn die LLMs zu KI-agentenähnlichen Lösungen weiterentwickelt werden. Dabei handelt es sich um LLMs, die darauf trainiert werden, entsprechend den individuellen Anforderungen der Experten eine bestimmte Aufgabe zu erfüllen, zum Beispiel über eine Schnittstelle mit dem Log-Analyse-Tool oder der Wissensdatenbank des SOC. Das LLM bzw. der KI-Agent wird damit zu einem wichtigen Teil des SOC-Werkzeugkastens zum Identifizieren, Analysieren und Beheben von potenziellen Bedrohungen.

Halluzinationen vorbeugen

Gleichzeitig sind LLMs jedoch nach wie vor ein Werkzeug, das die menschliche Expertise nicht ersetzen sollte und nicht ersetzen kann. Standardmäßig sind LLMs nämlich darauf ausgelegt, eine Antwort geben zu müssen, „koste es, was es wolle“, und werden deshalb im Zweifelsfall eine entsprechende Information erfinden – das „Halluzinieren“, das auch beispielsweise bei ChatGPT bekannt ist.

Um dies zu verhindern, braucht es einerseits Leitplanken: SOC-Teams können Sicherheitsschleifen in den Prozess integrieren, die sicherstellen, dass Informationen und Quellenangaben systematisch auf inhaltliche Korrektheit überprüft werden. Dafür muss in jeder Phase des Prozesses Transparenz gewährleistet werden. Jede Anfrage muss für die Experten einsehbar sein, genau wie die Argumentation und Herleitungen der LLMs. Und nicht zuletzt braucht es deshalb weiterhin menschliche SOC-Mitarbeiterinnen und -Mitarbeiter, denn nur Teams mit der notwendigen Expertise können überprüfen, ob die vom LLM gelieferten Informationen korrekt sind.

Regulatorische und Sicherheitsaspekte mitdenken

Mit der zunehmenden Integration von LLMs in SOCs sind auch regulatorische Aspekte zu berücksichtigen. So werden mit dem AI Act der Europäischen Union in Zukunft SOCs, die kritische Infrastruktur überwachen, auch selbst als kritische Infrastrukturen gelten – und müssen damit entsprechend geschützt werden. Diese Sicherheitsanforderungen gelten dann auch für die im SOC genutzten LLMs, gerade auch weil LLMs wie jedes andere System Schwachstellen haben, die von Angreifern gezielt ins Visier genommen werden können. Ein Beispiel dafür wäre eine Prompt Injection, die das LLM dazu zwingt, verdächtige Aktivitäten zu ignorieren.

Auf lange Sicht wird die Nutzung von LLMs für SOC-Anbieter unabdinglich werden, um den Anforderungen ihrer Kunden zu entsprechen. Damit liegt es jedoch auch in der Verantwortung jedes einzelnen Anbieters, in ihren SOCs die notwendigen Rahmenbedingungen zu schaffen, um LLMs produktivitätssteigernd, sicher und allen relevanten Vorschriften entsprechend zu integrieren, sodass sie ihre Experten-Teams bestmöglich unterstützen können.

(lb/Advens)