Wie Cyber Security der Zukunft aussieht

bei

 / 4. October. 2021

Auf künstlicher Intelligenz basierende Cyber Security Tools sind mittlerweile keine Zukunftsmusik mehr. Diese laufen innerhalb eines Security Operations Center (SOC) zusammen und sind durch ihre hochmoderne Ausrichtung auch für neuartige Angriffe gewappnet. Die innovativen Lösungen stellen eine unverzichtbare Stütze für SOC-Analyst:innen dar und ebnen CyberSecurityTechnologien der Zukunft den Weg.

In Unternehmen haben sich in vielen Bereichen bereits KI-basierte Lösungen etabliert, deren Unterstützung längst nicht mehr wegzudenken ist. Auch im Bereich der Cyber Security sind KI-basierte Lösungen unverzichtbar geworden. So gilt es, sich vor allem vor groß angelegten Cyberattacken, die von langer Hand geplant wurden, zu schützen und verteidigen zu können. Vollumfängliche Schutzstrategien und -konzepte bietet ein Security Operations Center (SOC). Es vereint sämtliche Cyber Security Services und nutzt dazu auch künstliche Intelligenz mit den dahinter liegenden Technologien wie Machine Learning und dessen Fähigkeiten zum Deep Learning. Durch die Kompetenz der Programme sich dauernd weiterzuentwickeln und neue Dinge zu erlernen, unterstützt es die Analyst:innen bei ihrer täglichen Arbeit essenziell. Ein SOC wird üblicherweise durch Spezialist:innen betreut. Mit ihrer Expertise in Kombination mit State-of-the-Art-Sicherheitstechnologien garantieren sie in Bezug auf Cybersicherheit die Zukunftsfähigkeit eines Unternehmens.

Keine Chance für Kriminelle – mit diesen KI-basierten Tools

Heute führt für Unternehmen kein Weg mehr daran vorbei sich mittels eines Security Operations Center vor Hackerangriffen zu schützen. Dabei wird die Expertise und das Know-how der Cyber-Security-Fachkräfte durch ein Security Information and Event Management (SIEM) und weitere KI-Tools ergänzt. Innerhalb des SIEM fungieren unterschiedliche Softwarelösungen, die auf künstlicher Intelligenz basieren, als Analysewerkzeuge. Diese beobachten das Verhalten von Anwendern oder Geräten im Netz und reagieren auf Anomalien, die sie gefunden haben. Zu diesen Tools gehören unter anderem das Modul für User and Entity Behavior Analytics (UEBA), Endpoint und Network Detection (EDR und NDR).

Anomalien identifizieren mit UEBA

Cyberangriffe werden heute üblicherweise über viele Wochen und Monate hinweg aufwendig angelegt. Das SIEM selbst ist allerdings darauf spezialisiert sofort Eingriffe in das Sicherheitssystem in Echtzeit zu erkennen und zu melden. Um also auch über einen größeren Zeitraum langfristigen Schutz zu garantieren, unterstützt das Modul UEBA und ergänzt das SIEM umfassend. Durch ein innovatives Risikobewertungsverfahren und hochmoderne Algorithmen basiert es auf Regeln, denen Angreifer kaum ausweichen können. So ermöglicht das Modul Abweichungen und Diskrepanzen in der IT-Infrastruktur und bei User:innen aufzudecken. Darüber hinaus vergleicht UEBA das Verhalten der Anwender:innen mit dem einer ähnlichen Peer Group, um so noch mehr Informationen zum Verhalten der User:innen und Maschinen zu erlangen. Durch dieses gesammelte Wissen lässt sich mittels MachineLearning ein Modell aufstellen, das für die Abwehr künftiger Angriffe hilfreich sein kann.

Vollumfängliche Analysen mit EDR und NDR

SIEM beinhaltet außerdem Funktionen, um Anomalien auch innerhalb von Logdaten und Datenflüsse in Applikationen aufzudecken. Hier kommt ebenfalls wieder künstliche Intelligenz ins Spiel. So haben Systeme für Endpoint Detectionand Response (EDR) zur Aufgabe, automatisiert nach Gefahren und Lecks an Endpunkten zu suchen. EDR sammelt und speichert dabei das Verhalten der Endgeräte und der damit verbundenen User:innen. Diese Informationen werden in einer Datenbank zusammengetragen und können bei Bedarf auch für forensische Analysen genutzt werden. EDR prüft diese Daten anschließend auf die Evidenz von Schadsoftware. Darüber hinaus kann das System anhand der Verhaltensanalyse Angriffsversuche oder anderweitige atypische oder untersagte Aktivitäten erkennen und rechtzeitig mit automatisierten Gegenmaßnahmen reagieren.

Optimal ergänzt wird das EDR durch Systeme mit Network Detection and Response (NDR), die Abweichungen im Netzwerkverkehr identifizieren und festhalten. So werden Eindringlinge aufgespürt, sobald sie innerhalb des Netzwerks kommunizieren und es können automatisiert Reaktionen auf potenziell schädliche Aktivitäten im Netzwerk eingeleitet werden.

Zusammen mit UEBA optimiert der Einsatz von EDR und NDR das SIEM und garantiert einen vollumfänglichen Rundum-Schutz. Heutzutage kann so die gesamte Analyse und Abwehr bestmöglich ausgeschöpft werden.

Erhöhte Sicherheit durch neuronale Netzwerke

Ein weiterer wichtiger Faktor im Kontext des SIEM sind Produkte wie beispielsweise QRadar von IBM. Eine KI wie IBM Watson Advisor hat die Möglichkeit, externe Informationen außerhalb des Unternehmens miteinzubeziehen und zu bewerten. So unterstützt die KI die SOC-Analyst:innen im Rahmen des Threat Hunting dabei, zusätzliche Daten über weitere Angriffspfade zusammenzutragen. Durch diese Zusammenarbeit von Mensch und KI können auch Angriffsversuche aufgedeckt werden, die innerhalb des eigenen Systems noch nicht als potenzielle Bedrohungvorlagen.

Künstliche Intelligenz in der IT-Landschaft der Zukunft

Selbst die kompetentesten Expert:innen stoßen ohne die Hilfe KI-basierter Tools an ihre Grenzen angesichts der immer komplexer werdenden IT-Infrastrukturen und der damit verbundenen zahlreichen Angriffsmöglichkeiten. Auch Kriminelle selbst machen von immer innovativeren Instrumenten und umfangreichen Algorithmen Gebrauch, sodass herkömmliche Sicherheitssoftware nicht mehr ausreicht. Intelligente Lösungen müssen her: Sie unterstützen die Cyber-Security-Fachkräfte dabei, potenzielle Gefahren zu erkennen, Bedrohungslagen adäquat einzuschätzen und schlussendlich bestmöglich darauf einzugehen und zu handeln. Besonders bei wiederkehrenden Aufgaben, die zur Routine gehören, helfen die KI-Lösungen immens. So ermöglichen die Programme durch die Anwendung künstlicher Intelligenz nicht nur mehr freie Kapazitäten für die IT-Mitarbeiter:innen, sondern garantieren auch ein höheres Sicherheitsniveau.

Für IT-Entscheider:innen ist es also unbedingt empfehlenswert, sowohl ein Security Operations Center als auch die dazugehörigen KI-Tools in der unternehmensinternen Cyber-Security-Strategie zu berücksichtigen. Dabei ist es aufwendig, eine eigene Inhouse-Lösung zu stemmen – nicht zuletzt, da ein 24/7 Support nötig ist, um rund um die Uhr Cybersicherheit zu garantieren. Hier kommen spezialisierte Dienstleister ins Spiel: Mit Leistungen wie SOC-as-a-Service können Unternehmen interne Ressourcen sparen und diese anderweitig sinnvoll einsetzen. Gleichzeitig garantieren die externen Cyber-Security-Expert:innen jederzeit auf dem neuesten Stand der Technik zu sein, um auch auf neuartige Cyberattacken reagieren zu können.

Überblick zu den Aufgaben des SOC-Teams

Quellen und Referenzen

Bildquelle: Axians

 

Über den Autor / die Autorin:


Volker Scholz arbeitet seit 2008 im Bereich Cyber Security, davon 9 Jahre in einem Industrieunternehmen und seit September 2016 bei Axians. Seine Schwerpunkte sind Security-Architekturen, organisatorische Cybersicherheit, Managed Security Services sowie Security as a Service.