Einsatz von KI zur Automatisierung der Aufklärung von Cyberbedrohungen

Sicherheitsteams automatisieren die Sammlung von Bedrohungsdaten, die Analyse und die Reaktion darauf - zunehmend mit Hilfe von künstlicher Intelligenz (KI). In einer neuen Umfrage gaben fast die Hälfte (46 %) der befragten Sicherheitsexperten in den USA an, dass sie zumindest einen Teil ihrer Bedrohungsanalyseprogramme bereits automatisiert haben, weitere 41 % planen dies in Kürze. Sie sehen in der KI ein wesentliches Instrument zur Automatisierung von Bedrohungsdaten. 

Diese Ergebnisse wurden vor kurzem in einem von Mimecast gesponserten Bericht der CyberRisk Alliance (CRA) mit dem Titel "Threat Intelligence" veröffentlicht: Critical in the Fight Against Cyber Attacks but Tough to Master". Die für den Bericht befragten Sicherheitsexperten beschrieben ihre Bedrohungserkennungsprogramme und wie diese in andere Bereiche ihrer Tätigkeit einfließen, z. B. in die Netzwerk- und Systemüberwachung, das Schwachstellenmanagement und die Reaktion auf Vorfälle. Dieser Artikel ist der zweite Teil einer dreiteiligen Serie über die Ergebnisse des Berichts der Ratingagentur. (Lesen Sie den ersten Artikel, "Report Reveals Growing Reliance on Threat Intelligence.")

Die Umfrageteilnehmer sind stark motiviert, Bedrohungsdaten zu automatisieren, in einer Umgebung, in der die Menge, Geschwindigkeit und Vielfalt der Bedrohungen Sicherheitsteams überfordern kann. Tatsächlich bewerteten sie die Automatisierung als den wichtigsten Aspekt ihres aktuellen Threat Intelligence-Programms - und denjenigen, mit dem sie am wenigsten zufrieden sind. Sie sehen zwar in der KI und ihrer Untergruppe, dem maschinellen Lernen (ML), eine Lösung für das Problem, sind sich aber auch der Herausforderungen bewusst, die mit der Implementierung und Aufrechterhaltung einer KI-gestützten Bedrohungsintelligenz verbunden sind.

AI/ML verbessert nachweislich die Aufklärung von Cyberbedrohungen

Nach den ersten Jahren der Erfahrung mit KI/ML im Bereich der Cybersicherheit sagen Sicherheitsexperten, dass sie die Automatisierung von Bedrohungsanalyseprogrammen auf verschiedene Weise unterstützt:

• Höhere Geschwindigkeit: Die Daten des Threat Intelligence Feeds werden in Echtzeit analysiert, was eine schnellere Reaktion ermöglicht, da KI-basierte Systeme viel schneller sind als manuelle Prozesse. IBM berichtet, dass frühe Anwender von KI/ML in der Automatisierung die Zeit, die zur Erkennung von Vorfällen benötigt wird, um ein Drittel reduzieren.[1]
• Größeres Volumen: KI/ML kann riesige Datenmengen verarbeiten. 
• Bessere Genauigkeit: Die Erkennung von Bedrohungen wird durch KI/ML verbessert. Und im Laufe der Zeit können intelligentere Ergebnisse erzielt werden, da die KI/ML-Modelle überwacht und neu trainiert werden, wenn sie falsch positive oder negative Ergebnisse liefern. Im separaten Bericht von Mimecast State of Email Security 2023 (SOES 2023)sehen die Befragten, die KI/ML einsetzen, die erhöhte Genauigkeit der Bedrohungserkennung als größten Vorteil. 
• Geringere Arbeitsbelastung: KI/ML kann Sicherheitsanalysten von Routineaufgaben entlasten - vor allem, da die Technologie die Zahl der Fehlalarme reduziert - und so die Kapazitäten und Spezialisierungsmöglichkeiten des Sicherheitsteams erhöhen. 
• Geringere Kosten: Generell lassen sich die Kosten für Cybersicherheit durch KI-gesteuerte Effizienz- und Produktivitätssteigerungen quantitativ senken. IBM schätzt, dass sich die Investitionsrendite von Unternehmen für ihre Sicherheitsprogramme um 40 % erhöht.
• Besserer Schutz: Fast die Hälfte der SOES 2023-Befragten, die derzeit KI/ML in irgendeinem Teil ihres Cybersicherheitsprogramms einsetzen, gaben eine bessere Bedrohungsabwehr als zweitgrößten Vorteil der Technologie an, nach einer besseren Erkennung.

Kurz gesagt: KI-gesteuerte Automatisierung kann die Cybersicherheitsabwehr von Unternehmen erheblich verbessern, während gleichzeitig die Arbeitsbelastung der Sicherheitsteams besser zu bewältigen ist. Die im Rahmen des CRA-Berichts befragten Sicherheitsexperten haben das Potenzial eindeutig erkannt: KI/ML gehört zu den fünf wichtigsten Anforderungen, die sie an Threat-Intelligence-Feed-Lösungen stellen, fast gleichauf mit den Anforderungen "Sauberkeit/Qualität der Daten" und "Kompatibilität des Feeds mit unseren Lösungen".

Wie AI/ML Cyberthreat Intelligence verbessert

Die von der CRA befragten Sicherheitsexperten stützen sich am stärksten auf drei Arten der Sammlung von Bedrohungsdaten: Malware-Analyse (75 %), Kompromissindikatoren (72 %) und Open-Source-Informationen (z. B. öffentliche Monitore von Bedrohungsakteuren, 47 %).

KI/ML-Modelle analysieren diese und andere Feeds auf anomales Verhalten und schlagen Abhilfemaßnahmen vor, wenn bösartige Handlungen vermutet werden. AI/ML kann Bedrohungen nach Benutzer, Gerät oder Standort isolieren. Die Technologie kann dann eine Antwort vorschlagen, die von menschlichen Sicherheitsanalysten geprüft werden kann. So können KI/ML-Scanner beispielsweise bösartige URLs in E-Mail-Nachrichtenerkennen und die Empfänger durch die Blockierung von Phishing-Websites schützen. 

Automatisierung von Bedrohungsdaten 'schwer zu meistern'

Sicherheitsteams werden heute zur Automatisierung mit KI/ML getrieben, da sie größere Datenbestände, sich ständig ändernde Cyberbedrohungen, sich entwickelnde digitale Geschäftsmodelle und immer mehr Remote-Mitarbeiter analysieren müssen. Dennoch stehen sie vor vielen Herausforderungen beim Einsatz von KI/ML für die Automatisierung, sei es in Standardprodukten, anpassbaren Lösungen oder komplett individuell entwickelten Tools. Zu diesen Herausforderungen gehören:

• KI/ML-Kenntnisse sind für das Training und die Nachschulung von Modellen zur Erkennung bösartiger Aktivitäten Mangelware.
• Um KI/ML-Lösungen zu trainieren, ist eine große Menge an Qualitätsdaten erforderlich, über die viele Sicherheitsteams einfach nicht verfügen.
• Falschmeldungen können Sicherheitsteams überfordern, wenn sie nicht über einen soliden Umschulungsplan verfügen.
• Jede KI/ML-Lösung verschlechtert sich mit der Zeit, wenn sie nicht gewartet wird.

Das rasante Tempo der KI/ML-Innovation dürfte zumindest einige dieser Mängel im Laufe der Zeit beheben.[2] Inzwischen integrieren Sicherheitsteams auch Bedrohungsdaten-Feeds als Teil ihrer Bemühungen, ihre verschiedenen Sicherheitstools und -plattformen zu integrieren, und schaffen so eine solidere Grundlage für die Automatisierung. 

Die Quintessenz

Sicherheitsteams sind gezwungen, ihre Threat-Intelligence-Programme zu automatisieren, da die Bedrohungen zunehmen, die Angriffsflächen immer größer werden und weltweit ein Mangel an Fachkräften im Bereich Cybersicherheit herrscht. Laut dem neuen Bericht der CyberRisk Alliance "Threat Intelligence" ist KI/ML die Technologie ihrer Wahl, um Automatisierung zu erreichen: Critical in the Fight Against Cyber Attacks, But Tough to Master". Den vollständigen Bericht können Sie hier lesen:.

[1] "AI and Automation for Cybersecurity," IBM

[2] "Der Stand der KI im Jahr 2022," McKinsey