Passgenauer Einsatz von KI

Threat Detection intelligent weitergedacht

Bildquelle: PathLock Deutschland GmbH/AdobeStock
LinkedInXingPocketWhatsAppFlipboard

Während das Buzzword KI in Sicherheitsszenarien vor allem als Gefahr sich rasant entwickelnder Angriffsvektoren wahrgenommen wird, werden ihre Chancen und Möglichkeiten als weitere Verteidigungslinie oftmals falsch eingeschätzt.

KI ist kein undifferenziertes Allheilmittel, kann jedoch die IT-Security verbessern, wenn sie strategisch und wissensbasiert eingesetzt wird.

Anzeige

Threat Intelligence ist eine Erweiterung etablierter Threat-Detection-Lösungen, um die Detektion durch die Anwendung von Machine Learning zu präzisieren und angepasst auf identifizierte Risikosituationen automatisierte Reaktionen zu erlauben. Bislang folgten als Reaktion auf ein erkanntes Risiko zwei Schritte: zunächst die Bewertung der Situation und dann das Ergreifen von Maßnahmen. So verstrich wertvolle Zeit durch unterbesetzte Security Operations Center, fehlendes Know-how oder komplexe Bewertungsprozesse, bis Gegenmaßnahmen ergriffen werden konnten – wobei gerade die Reaktionszeit der entscheidende Faktor bei der Schadensbegrenzung ist.

Schutz in Echtzeit und rund um die Uhr

Die Integration automatisierter Prozesse als zusätzliche Sicherheitsebene kann dieses Dilemma entschärfen, indem Zugriffe auf kritische Transaktionen kontextspezifisch eingeschränkt oder sogar vollständig blockiert, einzelne Datenfelder attributbasiert maskiert, weitere Downloads verhindert oder User mit kritischem Verhalten vom System abgemeldet werden. Und zwar vollautomatisch, in Echtzeit und rund um die Uhr.

Durch diese unverzüglichen Reaktionen im Falle einer als Risiko eingestuften Situation werden hochsensible Informationen unmittelbar und zielgenau geschützt. Dabei ist das zugrundeliegende Regelwerk vollständig konfigurierbar und je nach Anwendungsfall individuell anpassbar. Threat Intelligence erweitert die Threat Detection durch die Nutzung Künstlicher Intelligenz um einen strategischen Schritt, damit schnellstmöglich Maßnahmen zur Schadensbegrenzung oder -vermeidung ergriffen werden können. Maschinelles Lernen unterstützt dabei die Vorqualifizierung von Events durch den Einsatz verschiedener Methoden.

PathLock ThreatIntelligence
(Bildquelle PathLock Deutschland GmbH)

Verbesserte Bedrohungsdetektion durch Maschinelles Lernen

Threat Intelligence verbessert also die Fähigkeiten der Bedrohungserkennung und erlaubt (teil-)automatisierte Reaktionen im Anwendungskontext. Hierbei kommen Reinforcement Learning und User and Entity Behavioral Analytics (UEBA) als innovative Ansätze zum Einsatz.

Reinforcement Learning hilft, Ereignisse besser zu bewerten, indem es Informationen aus verschiedenen Quellen wie zyklischen internen Audits in die Echtzeit-Risikoanalyse integriert. Beispielsweise werden Aufrufe von Programmen mit potenziellen Codeschwachstellen oder Aktionen privilegierter Benutzer automatisch mit höherer Kritikalität bewertet als andere. So können relevante Ereignisse identifiziert und detailliert analysiert werden, um die IT-Sicherheitssysteme kontinuierlich zu verbessern. Eine Empfehlung, wie stark die Kritikalität dabei gegenüber einer unkritischen Aktivität erhöht wird, ist anwendungsfallspezifisch vorgeschlagen, lässt sich allerdings auch individuell nach Kundenanforderung redefinieren.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Automatisierte Verhaltensanalyse

User and Entity Behavioral Analytics (UEBA) erkennt Anomalien im Verhalten von Benutzern und Systemen. Es kann ungewöhnlich hohe Transaktionsvolumina oder das plötzliche Auftreten seltener Transaktionen aufspüren.

Wenn beispielsweise ein Benutzer, der normalerweise nur Einkaufsbestellungen bearbeitet, plötzlich umfangreiche Finanztransaktionen durchführt, deutet dies auf eine potenzielle Bedrohung oder betrügerische Aktivität hin. UEBA identifiziert solche ungewöhnlichen Verhaltensmuster und leitet sofort Maßnahmen ein, um Risiken zu minimieren und die Systemintegrität zu gewährleisten.

Der kombinierte Einsatz von Reinforcement Learning und UEBA ermöglicht es, Bedrohungen nicht nur schneller zu erkennen, sondern auch präziser zu bewerten, so dass effektiv darauf reagiert werden kann. Und dies unabhängig davon, ob die nachfolgende Reaktion auf das Security Event automatisiert, teilautomatisiert oder manuell erfolgt.

Threat Intelligence ist nicht nur ein technisches Hilfsmittel, sondern ein integraler Bestandteil der strategischen Sicherheitsplanung eines Unternehmens.

Raphael Kelbert, PathLock Deutschland GmbH

Fundierte Entscheidungen mit Threat Intelligence

Zusätzlich zur verbesserten Detektion durch Maschinelles Lernen bietet Threat Intelligence die Möglichkeit, Security Events automatisiert zu Incidents zusammenzufassen und im Kontext darauf zu reagieren. Die Zusammenfassung erfolgt nach Faktoren wie der Kritikalität, der Datenquelle, dem Event-Typ oder der Event-Kategorie, die in beliebiger Kombination verwendet werden können und als Pattern zur Incident Creation gesichert werden. Durch die Berücksichtigung des Zeitraums beim Erstellen von Incidents ist es möglich, beispielsweise täglich alle Events eines Patterns in einem Incident zu sammeln.

Jedem Incident Creation Pattern lassen sich Aktionen zuordnen, wobei definiert werden kann, ob eine Aktion automatisiert, teilautomatisiert oder manuell – im Rahmen eines Reviews – ausgeführt werden soll. Zu den verfügbaren Aktionen zählen die Funktionen der Dynamic Access Control zur attributbasierten Zugriffs- und Ansichtsbeschränkung, das automatisierte Ausplanen von Batch-Jobs, das Abmelden und/oder Sperren von Benutzern sowie das Entfernen von Benutzer-Rollen.

Threat Intelligence ist dabei nicht nur technisches Hilfsmittel, sondern ein integraler Bestandteil der strategischen Sicherheitsplanung eines Unternehmens. Durch die Nutzung von KI-gestützter Bedrohungsanalyse können CISOs und deren Security Teams fundierte Entscheidungen treffen und Sicherheitsmaßnahmen gezielt priorisieren.

Dies führt zu einer besseren Ressourcenallokation und ermöglicht es, präventive Maßnahmen zu ergreifen. Die strategische Einbindung von Threat Intelligence verbessert so nicht nur die Reaktionszeit, sondern stärkt auch ein ganzheitliches Sicherheitsbewusstsein im Unternehmen.

KI und der Schlüsselfaktor Mensch

Künstliche Intelligenz als strategisches Werkzeug eingesetzt, entlastet Security-Analysten, indem es ohne manuelles Eingreifen Security Events automatisch analysiert und zusammenfasst. Durch das Filtern und die Nutzung komplexer Zusammenhänge und Kontextinformationen bietet KI besser qualifizierte Ergebnisse, sodass manuelle Qualifikationsschritte reduziert werden. Die Analysten haben dabei stets die Option, Automatismen auszuschalten und auf manuelle Tätigkeiten umzustellen, um jeden Einzelfall individuell zu bewerten.

Der Einsatz von KI dient somit als unterstützendes Tool, ermöglicht eine fokussierte Bearbeitung relevanter Themen, spart Zeit und erhöht die Effizienz, damit hoch qualifiziertes Personal weiterhin sinnvoll dort eingesetzt werden kann, wo die menschliche Expertise unverzichtbar bleibt.


Raphael

Kelbert

Product Management

PathLock Deutschland GmbH

Anzeige

Artikel zu diesem Thema

Wenn Sicherheitssoftware Systeme lahmlegt
Intelligentes Risikomanagement in Zeiten von NIS2

Weitere Artikel

Effektive Cybersicherheit für Kritische Infrastrukturen
KI Features als Service Provider entwickeln? 
Wie viel Schaden Datenverlust anrichten kann
Die Rolle moderner Komponenten in der OT
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.