Die KI-basierte Erkennung und Reaktion auf Bedrohungen im Netzwerk ist die zeitgemäße Antwort auf die heutige Cyberbedrohungslage. Der Kreativität der Angreifer bei einer gleichzeitig wachsenden Angriffsfläche und einem Mangel an IT-Fachkräften ist nur mit hochgradiger Automatisierung beizukommen.
Durch die massiv vorangetriebene Digitalisierung und Konnektivität in Form der Cloud, mobiler Geräte und des Internets der Dinge vergrößert sich die potenzielle Angriffsfläche zusehends. Cyberbedrohungen werden zunehmend ausgefeilter und nehmen quantitativ zu, sodass eine Flut von Alarmmeldungen bewältigt werden muss. Angesichts des sich verschärfenden Fachkräftemangels in der IT wird KI-gestützte Cybersicherheit künftig unverzichtbar sein, um den digitalen Alltag auch mit knapper Personalbesetzung zuverlässig vor Bedrohungen zu schützen.
Trotz präventiver Netzwerksicherheit verschaffen sich Angreifer immer wieder irgendwie Zugang in Unternehmensumgebungen. Cybersicherheit wird mehr denn je zum Wettlauf mit der Zeit, den viele Unternehmen bereits verloren haben. Laut M-Trends Report 2019 vergeht in Europa ein Median von 177 Tagen, bis ein bereits stattfindender Cyberangriff im Netzwerk entdeckt wird. In 44 Prozent dieser Vorfälle erfolgte eine Entdeckung erst, nachdem eine externe Partei das betroffene Unternehmen informiert hatte. Um das Schadenpotenzial zu begrenzen, müssten bösartige Aktivitäten jedoch in Echtzeit erkannt werden. Sie müssen schnell abgewehrt werden, bevor sie sich zu massiven Sicherheitsverletzungen entwickeln können.
Was KI in der Cybersicherheit heute bereits leistet
Eine moderne KI-basierte Plattform ermöglicht eine automatisierte Erkennung und Priorisierung von Bedrohungen – schnell und in einer Größenordnung, wie es selbst versierteste Fachkräfte niemals leisten könnten. Mittels KI-gestützter Analysemethoden ist es möglich, jene versteckten Angreifer zu erkennen, die sonst ungestört weiter agieren könnten. Die Funktionsweise einer KI-basierten NDR-Plattform (Network Detection and Response) beruht darauf, unveränderliche Angreiferverhaltensweisen im Verlauf des Angriffslebenszyklus zu erkennen. Hierzu zählen Command-and-Control, interne Aufklärung, seitliche Bewegung im Netzwerk und Datenexfiltration, Ransomware oder auch das Abschöpfen von Rechenressourcen für Botnets.
Auf der KI-Plattform laufen große Mengen an reichhaltigen sicherheitsbezogenen Netzwerk- und Metadaten zusammen. Diese werden angereichert mit Sicherheitsinformationen, die mittels maschinellem Lernen generiert werden, und stehen dann verschiedenen Tools für die Erkennung und Reaktion zur Verfügung. Sensoren in der Cloud, im Rechenzentrum und in Unternehmensumgebungen extrahieren relevante Metadaten aus dem Datenverkehr, externe
Bedrohungsinformationen sowie Active Directory- (AD) und DHCP-Protokolle, die bessere Einblicke in die kompromittierten Konten liefern können.Der Datenverkehr wird dedupliziert und eine benutzerdefinierte Flow-Engine extrahiert weitere Metadaten, um das Verhalten von Angreifern zu erkennen. Für jeden Datenfluss werden die relevanten Merkmale aufgezeichnet, einschließlich Intensität, zeitlicher Abfolge, Verkehrsrichtung und Paketgröße. Jeder Datenfluss wird dann einem Host zugeordnet, anstatt durch eine IP-Adresse identifiziert zu werden. Zu den wichtigen Sicherheitselementen, die die Quelldaten anreichern, gehören Sicherheitsmuster (z.B. Beacons), Seltenheit, Verschlüsselungs-Session-Fingerabdruck-IDs, Host-IDs und jede errechnete Bedrohung, die mit Sicherheit eine gewisse Bewertung erreicht. Mehrere Angreiferverhaltensmodelle, jeweils dediziert für bestimmte Verhaltensweisen von Angreifern, ermöglichen es, Bedrohungen automatisch und in Echtzeit zu erkennen, bevor die Angriffsaktivität mehr Schaden anrichtet. Die erkannten Bedrohungen werden automatisch überprüft, nach Risikograd priorisiert und mit den gefährdeten Host-Geräten korreliert, so dass der Sicherheitsanalytiker schnell die Clients identifizieren kann, die die dringendsten Untersuchungen und Abhilfemaßnahmen erfordern.
Umfassende Automatisierung reduziert den Arbeitsaufwand erheblich
Bei einer KI-basierten NDR-Plattform reduziert die umfassende Automatisierung den Arbeitsaufwand von Sicherheitsfachkräften deutlich. Mit KI-Unterstützung können Prozesse bei der Bedrohungssuche in Minuten erledigt werden, die auf manuelle Weise Wochen oder sogar Monate in Anspruch nehmen würden. Da alle Erkennungen bereits mit verwertbarem Kontext angereichert wurden, können schlüssige Untersuchungen verdächtiger Ereignisse durchgeführt werden. Die wertvollen Zusatzinformationen sind entscheidend, um die Bedrohungsjagd erheblich zu beschleunigen.
Mehr denn je ist es heute entscheidend, Bedrohungen in Echtzeit zu erkennen und darauf gezielt zu reagieren. Die Diskussion, ob künstliche Intelligenz und hochgradige Automatisierung Fachkräfte bald entbehrlich macht, findet auch im Umfeld der IT generell und speziell der Cybersicherheit statt. Der Einsatz einer KI-basierten Plattform macht erfahrene Sicherheitsanalysten sicherlich nicht überflüssig, sondern befreit sie von langwieriger und mühsamer Arbeit und erweitert so deren Fähigkeiten. Der Einsatz von künstlicher Intelligenz ist eine zeitgemäße und effektive Antwort auf die heutige Cyberbedrohungslage.