KI beschleunigt Enttarnung von Cyber-Angriffen
20. August 2017Die Wirksamkeit und die Zuverlässigkeit sind zwei der wichtigsten Kriterien für die Performance eines SOC (Security Operations Center). Die Zuverlässigkeit spiegelt das Entwicklungsniveau hinsichtlich des Ansatzes zur Bewältigung des Cyber-Sicherheitsrisikos wider, einschließlich des Risiko- und Bedrohungsbewusstseins, der Wiederholbarkeit und der Anpassungsfähigkeit. Die Effektivität steht für die Fähigkeit des SOC, einen realen Vorfall zu erkennen und darauf zu reagieren. Um die Reaktionszeiten und Fähigkeiten von SOCs besser zu verstehen, hat Vectra fast 500 Experten auf der diesjährigen Black Hat befragt. Dazu gehören CISOs, Sicherheitsarchitekten, Sicherheitsforscher sowie Verantwortlichen für den Netzwerk- und Rechenzentrumsbetrieb. Ermittelt wurde dabei unter anderem, wie lange es dauert, bis das SOC eine Bedrohung oder einen Vorfall erkennt, nachverfolgt, ins Reporting aufnimmt und isoliert.
Zeit ist der wichtigste Faktor bei der Erkennung von Netzwerkübergriffen. Um wertvolle Daten vor Diebstahl oder Beschädigung zu schützen, müssen Cyberangreifer in Echtzeit erkannt werden. Um die schnellsten und effizientesten Prozesse zu realisieren, ist es sinnvoll, Mensch und Maschine zu kombinieren um die jeweiligen Fähigkeiten optimal zu nutzen.
Analysen von Sicherheitsvorfällen erfordern eine breite und zugleich spezialisierte Palette von Fähigkeiten, einschließlich Malware-Analyse, forensische Paket- und Log-Analyse sowie die Korrelation von großen Mengen an Daten aus einer Vielzahl von Quellen. Dies kann Stunden dauern, und eine vollständige Analyse einer fortgeschrittenen Bedrohung kann Tage, Wochen oder sogar Monate in Anspruch nehmen. Selbst für große SOC-Teams mit mehr als zehn qualifizierten Analysten ist es schwierig, Sicherheitsvorfälle innerhalb von Minuten oder Stunden zu erkennen, zu bestätigen, zu beheben und zu überprüfen. Allerdings sind Teams, die künstliche Intelligenz (KI) nutzen, um die Fähigkeiten der Analysten zu erweitern und mehr Ebenen der Automatisierung zu erreichen, effektiver als SOC-Teams mit sogar mehr als zehn Mitgliedern, die nicht mit KI arbeiten.
33 Prozent der SOC-Teams nutzen bereits KI in irgendeiner Form für die Reaktion auf Vorfälle. Davon wiederum nutzen jene mit den größten Incident-Response-Teams (mit mehr als 10 Mitglieder) am häufigsten KI, nämlich 44 Prozent. Es mag logisch klingen, dass große Teams besser in der Lage sind, SOC-Workloads ohne KI zu bedienen, aber die Automatisierung mühsamer Aufgaben mittels KI ermöglicht es jedem, sich auf anspruchsvollere Aufgaben zu konzentrieren. In der Cyber-Sicherheit ist dies besonders wichtig, weil alle Aufgaben herausfordernd sind, so dass die Reduktion von langwierigen Arbeiten es dem Einzelnen ermöglicht, in seinem jeweiligen Aufgabenbereich besser zu sein.
Der erste Schritt ist es, das Vorhandensein einer Bedrohung überhaupt zu erkennen. 37 Prozent der SOC-Teams mit mehr als zehn Personen, die KI nicht nutzen, erkennen eine Bedrohung nach eignen Angaben innerhalb von Minuten. Allerdings können 34 Prozent der SOC-Teams jeder Größe eine Bedrohung in wenigen Minuten erkennen. Dies zeigt, dass die Teamgröße alleine nicht ausschlaggebend für die Zeit bis zur Erkennung ist. Entscheidend ist es hingegen, Mensch und KI zu kombinieren. 50 Prozent der SOC-Teams mit mehr als 10 Personen, die KI einsetzen, sind in der Lage, eine Bedrohung in wenigen Minuten zu erkennen. Dies entspricht im Schnitt einer 35-prozentigen Zeitverkürzung gegenüber Teams ähnlicher Größen, die nicht mit KI arbeiten.
Sobald eine Bedrohung gemeldet wird, benötigt ein Analytiker genügend Informationen, um zu bestätigen, dass die Bedrohung real ist und ob ein hohes Risiko oder eine kritische Bedrohung besteht, die sofortige Aufmerksamkeit erfordert. 44 Prozent der Teams mit mehr als zehn Analysten, unterstützt von KI, können innerhalb von Minuten bestätigen, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt. Bei ähnlich großen Teams, die keine KI nutzen, sind dies nur 14 Prozent. 29 Prozent aller Teams mit KI-Unterstützung können ebenfalls innerhalb von Minuten erklären, ob eine Bedrohung ein kritisches oder hohes Risiko darstellt.
Die Aufarbeitung von Vorfällen erfordert oft hohen manuellen Aufwand, da die passende Reaktion von der Art der Bedrohung abhängig ist. Dennoch ist auch hier ein Nutzen von KI sinnvoll, wenn es darum geht, zu definieren, wie die Reaktion aussehen sollte. 23 Prozent der großen Teams, die KI verwenden, konnten Vorfälle innerhalb von Minuten beheben, im Gegensatz zu 7 Prozent der ähnlich großen Teams, die keine KI nutzen. Ebenso wird wieder deutlich, dass alle Teams, die KI einsetzen, besser abschneiden als große Teams ohne KI, angesichts von nur 13 Prozent, die einen Vorfall innerhalb von Minuten beheben.
Auch nach dem Beheben und Isolierung einer Bedrohung müssen Sicherheitsanalysten überprüfen, ob die Bedrohung tatsächlich beseitigt wurde und daraus Schlüsse ziehen, wie sie ihre Bereitschaft für den nächsten Vorfall erhöhen können. Ohne ordnungsgemäße Überprüfung riskiert ein Unternehmen eine erneute Infizierung. Diese Art von Arbeit kann Stunden oder Tage dauern. KI trägt dazu bei, die Zeit zur Verifizierung für SOC-Teams aller Größen zu reduzieren, wobei große Teams am meisten profitieren.
Die Untersuchung von Vectra belegt: Es gibt einen messbaren Trend bei Unternehmen, die KI implementiert haben, um mühsame Aufklärungsaufgaben zu automatisieren und die Fähigkeiten der SOC-Mitarbeiter zu erweitern. Diese können sich dadurch auf ihre „handwerkliche“ Kompetenz und auf die finale Entscheidungsfindung konzentrieren. Künstliche Intelligenz versetzt SOC-Teams in die Lage, Herausforderungen bei der Erkennung, Erfassung und Überprüfung von Cyberangriffen in Echtzeit zu meistern. (rhh)