#IMOS21: KI-Analysten können sich als Schlüssel zur Sicherheit von Unternehmen erweisen

Cyber Security News

Der Einsatz von KI zur Untersuchung verdächtiger Aktivitäten könnte die Fähigkeiten von Sicherheitsteams, ihre Organisationen vor Cyberangriffen zu schützen, deutlich erhöhen, so Andrew Tsonchev, Director of Technology bei Darktrace, in einem Vortrag auf dem Infosecurity Magazine Online Summit EMEA 2021.

Die Entwicklung eines “KI-Analysten” unterscheidet sich von der normalen Rolle der Bedrohungserkennung, die diese Art von Technologie in der Cybersecurity spielt. Im Wesentlichen geht es darum, “die Art von Schritten zu replizieren, die ein menschlicher Analyst in einem SOC im Laufe einer Untersuchung durchführt.”

Ein Teil der Triebfeder für die Arbeit von Darktrace in diesem Bereich ist der zusätzliche Druck, der auf Sicherheitsteams infolge der veränderten Arbeitsmuster im letzten Jahr ausgeübt wurde. Dies hat zu einer zunehmenden Nutzung von Remote-Endpunkten sowie von Technologien wie SaaS und Collaboration-Tools geführt, wodurch sich die Bedrohungslandschaft erweitert hat.

Eine weitere Überlegung ist der Trend, dass böswillige Akteure KI offensiv einsetzen, was es ihnen ermöglichen würde, ihre Angriffe deutlich zu verstärken. Tsonchev merkte an, dass “wir im Moment in der Anfangsphase dieser Entwicklung sind”.

Umgekehrt kann es Unternehmen helfen, Bedrohungen viel schneller zu erkennen und zu bewältigen, wenn sie der KI menschliche Züge der Untersuchung geben. Während KI-Tools in der Regel dazu verwendet werden, ungewöhnliche Muster und Verhaltensweisen im System eines Unternehmens zu erkennen, indem sie mit den üblichen Aktivitäten abgeglichen werden, besteht der nächste Schritt darin, sie in die Lage zu versetzen, alle Anomalien so zu analysieren und zu interpretieren, wie es menschliche Sicherheitsanalysten normalerweise tun würden.

“Menschen nehmen den ersten Alarm als Ausgangspunkt, um einen Untersuchungsprozess zu beginnen, der aktiv ist und Entdeckungen, das Stellen von Fragen und das Sammeln und Analysieren von Daten beinhaltet”, erklärte Tsonchev. Er fügte hinzu: “Die Art und Weise, wie diese Technologie funktioniert, besteht darin, maschinelles Lernen auf die Art und Weise zu trainieren, wie Menschen Sicherheitsuntersuchungen durchführen”, um schließlich zu entscheiden, ob diese Bedrohung ein Risiko für das Unternehmen darstellt.

Ein solcher Ansatz kann Sicherheitsteams entlasten und ihre anfängliche Triagezeit um bis zu 92 % reduzieren, so Tsonchev. Der KI-Analyst kann dann einen Bericht erstellen, der die relevantesten Informationen enthält.

Er gab dann ein Beispiel für eine erfolgreiche KI-Untersuchung in Bezug auf Angriffe von APT41 im März 2020, die eine Zero-Day-Schwachstelle ausnutzten. Dies führte dazu, dass die Bedrohung schnell als höchste Priorität identifiziert wurde. Tsonchev kommentierte: “Sie können alle möglichen seltsamen Dinge in der Umgebung erkennen, aber wenn diese Alarme unter einem Meer von 300 anderen Alarmen an einem Tag begraben sind, dann haben Sie es nicht wirklich auf eine sinnvolle Weise erkannt, die Ihrem Sicherheitsteam wirklich hilft.”

Er fügte hinzu: “Der entscheidende Wertbeitrag besteht hier nicht darin, einen Analysten mit 50 Alarmen zu bewerfen, sondern eine Karte zu einer laufenden Bedrohung zu identifizieren, die Art dieser Bedrohung zu klassifizieren und die Art des Verhaltens zu verstehen.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com