Wie Maschinen den Kampf anführen können: KI und Reaktion auf Vorfälle

Viele Unternehmen setzen auf künstliche Intelligenz - in der einen oder anderen Form.
Die Anwaltskanzlei Pillsbury prognostiziert, dass die Ausgaben für KI im Cyberbereich in den nächsten Jahren sprunghaft ansteigen werden: von 10,5 Milliarden Dollar im Jahr 2020 auf potenziell 46,3 Milliarden Dollar im Jahr 2027. Im Jahr 2022 hat Mimecast herausgefunden, dass etwa die Hälfte der Befragten bereits maschinelles Lernen oder künstliche Intelligenz (KI) eingesetzt hat. Zu den Vorteilen gehören eine genauere Erkennung von Bedrohungen (65 % der Unternehmen), weniger menschliche Fehler (65 %) und eine bessere Vorbeugung gegen Bedrohungen (57 %).

Dieser Anstieg ist zum Teil darauf zurückzuführen, dass die KI-Tools immer ausgefeilter werden, aber auch darauf, dass KI für die heutigen Bedrohungen hervorragend geeignet ist. Da Netzwerke aufgrund von Trends wie der zunehmenden Fernarbeit immer komplexer und verteilter werden, wird die Fähigkeit der KI, Millionen von Sicherheitsereignissen über verschiedene Plattformen hinweg zu analysieren, immer wertvoller. Dank ihrer Schnelligkeit bei der Erkennung und Reaktion kann die KI Eindringlinge oft stoppen, bevor sie sich zum modernen Alptraum der Cybersicherheit entwickeln: einem Ransomware-Angriff.

Hier zeigen wir, was KI kann und was nicht - und warum ihre Rolle bei der Reaktion auf Vorfälle ein entscheidender Faktor sein kann.

Echte KI ist in der Lage zu lernen

Künstliche Intelligenz kann einen Wandel bewirken, aber Unternehmen sollten dennoch genau hinschauen, bevor sie sich auf den Weg machen. KI hat ein kleines Marketingproblem: Viele Lösungen behaupten, KI zu sein, sind es aber nicht. Viele Angebote nutzen automatisierte Tools, um Daten zu analysieren und auf die Ergebnisse zu reagieren. Diese statischen Prozesse mögen zwar ausgefeilt und nützlich sein, fallen aber unter Datenanalyse und nicht unter KI.

Echte KI verwendet übergreifende Ansätze wie maschinelles Lernen (bei dem die KI Algorithmen und statistische Modelle auf Daten anwendet und auf den Ergebnissen aufbaut), neuronale Netze (gewichtete Entscheidungsfindung) und Deep Learning (ein mehrschichtiges, künstliches neuronales Netz). Sie verfügt über Wissen, Intelligenz und die Fähigkeit, zu lernen und das Gelernte zu nutzen.

Dank dieser Eigenschaften können KI-Cybersicherheitstools ständig Daten sammeln und analysieren und dabei Muster in einem fast unvorstellbaren Ausmaß erkennen. Es kann Ihre Bestände scannen, die Bedrohungslandschaft überwachen und sogar Einbrüche vorhersagen. Je mehr Daten und je mehr Netze er abrufen kann, desto nützlicher wird er.

Warum KI eine entscheidende Rolle bei der Erkennung von Vorfällen spielt

Die Fähigkeit der künstlichen Intelligenz, auf Vorfälle zu reagieren, beginnt früh. Sicherheitsüberprüfungen, Verhaltensanalysen, Überwachung und intelligente Vorhersagen helfen der KI, Anomalien bei Benutzern, Servern und Software zu erkennen. Wenn es um die Analyse großer Muster in einem verteilten Netzwerk geht, ist die KI menschlichen Beobachtern haushoch überlegen.

Durch die Kombination von ständiger Überwachung mit Informationen über frühere Vorfälle und Verhaltensweisen kann die KI Risiken erkennen und bewerten. Anstatt sich bei der Identifizierung von Malware nur auf Signaturen zu verlassen, kann die KI verschiedene Merkmale bewerten - z. B. mehrere Dateien gleichzeitig verschlüsseln oder versuchen, sich vor der Beobachtung zu verstecken -, um die Gefahr einzuschätzen, die von der Software ausgehen kann.

KI ist mehr als nur ein Bote - sie kann eine aktive Rolle bei der Reaktion spielen

KI kann die Ermüdung durch Alarme verringern und die Hintergrundgeräusche dämpfen, die Analysten überfordern und dazu führen können, dass echte Bedrohungen inmitten all der Fehlalarme übersehen werden. Durch das frühzeitige Erkennen von Problemen können die Sicherheitsteams Vorfälle schnell einordnen oder abwehren und so eine Eskalation verhindern. Doch während ihre Rolle als Vermittler entscheidend ist, spielt die KI zunehmend eine aktivere Rolle.

Es kann sich wiederholende und relativ routinemäßige Aufgaben identifizieren, indem es das Risikoniveau und den Kontext bewertet, in dem sie stattfinden, und dann auf solche Vorfälle in großem Umfang reagieren. Das automatische Herunterfahren eines Geräts, das mit Ransomware infiziert wurde, ist beispielsweise ein einfacher Erfolg, der einen größeren Vorfall verhindern kann.

Bei schwerwiegenderen oder komplexeren Vorfällen kann die KI ihr Wissen über Ressourcen - wie die Verfügbarkeit und das Fachwissen von Ingenieuren - nutzen, um Vorschläge für die Bewältigung eines Vorfalls zu machen. Auch die Teams können sofort loslegen: Mehrere Datenströme können gesammelt und in einem Bericht zusammengefasst werden, den die Mitarbeiter durchsehen und eine Entscheidung über das weitere Vorgehen treffen können.

Cyberangreifer nutzen KI, und das sollten Sie auch

Natürlich wird die KI nicht nur von den Guten eingesetzt. Angreifer können maschinelles Lernen nutzen, um Schwachstellen zu erkennen, bevor sie versuchen, sie durch Phishing oder Distributed Denial of Service (DdoS)-Angriffe auszunutzen, und sie können sogar KI nutzen, um Social Engineering-E-Mails zu personalisieren. Unternehmen sollten maschinelles Lernen einsetzen, um solche Angriffe zu erkennen und zu bewältigen.

KI ist auch ein Teil der breiteren Ereignislandschaft. Die Fähigkeit, große Bereiche Ihrer Netzwerke schnell zu scannen, kann Ihnen helfen, Vorfälle in kürzerer Zeit zu beheben. Es kann die Ursachen von Schwachstellen aufdecken und Ihnen Daten und Analysen zur Verfügung stellen, die CISOs dabei helfen, Argumente für künftige Cybersicherheitsmaßnahmen zu finden und sich gegen zukünftige Vorfälle zu schützen.

Aber KI ist nicht alles

Trotz ihres Potenzials hat die KI immer noch ihre Grenzen. Um effektiv zu sein, muss KI richtig gemacht werden, mit Tools, die in Ihr bestehendes Ökosystem integriert und an Ihre Arbeitsabläufe angepasst sind.

Es lohnt sich auch, einige der kühnsten Behauptungen über KI mit einer Prise Salz zu betrachten. Solche Systeme lernen zwar aus den Veränderungen um sie herum, können aber von Veränderungen, die für einen menschlichen Beobachter offensichtlich erscheinen, überrumpelt werden - wie etwa die Auswirkungen der Pandemie auf die Arbeitsabläufe. Die Fähigkeit der KI, Anomalien zu erkennen, kann sehr nützlich sein, aber es können immer noch Tausende von Fehlalarmen übrig bleiben, die untersucht werden müssen, insbesondere wenn sie aus einem begrenzten Datenpool stammen. Die Wahrheit ist, dass die KI nur so gut ist wie die Menschen, die sie einsetzen. KI kann menschliche Teams unterstützen und ihre Fähigkeiten erweitern, aber sie ist noch nicht in der Lage, den menschlichen Verstand zu ersetzen. Aber das richtige Sicherheitsteam, das von den richtigen KI-Tools unterstützt wird, kann einen enormen Unterschied für Ihre Cybersicherheitslage ausmachen.

KI ist ein wesentlicher Bestandteil der modernen Cybersicherheit

Da die Angriffsflächen für Unternehmen immer verteilter und komplexer werden, ist die Fähigkeit der KI, in großem Maßstab und relativ autonom zu operieren, für die Cybersicherheit von entscheidender Bedeutung. Und es geht nicht nur um die Erkennung von Bedrohungen: Wie wir gesehen haben, ist die Reaktion auf Zwischenfälle ein wachsender Bereich, in dem KI die Bemühungen der Unternehmen verändern kann.

KI ist keine Komplettlösung, in die Sie anstelle anderer Lösungen investieren können. Vielmehr sollte sie die bereits vorhandenen Schutzmaßnahmen ergänzen, von Firewalls und Bedrohungsjagd bis hin zu Awareness-Training und Zero Trust. Wenn Sie sie klug einsetzen, kann künstliche Intelligenz das Risiko verringern, Routinevorfälle bewältigen und Ihr Sicherheitsteam entlasten, damit es sein Fachwissen dort einsetzen kann, wo es am dringendsten benötigt wird.