Wenn Ihr Unternehmen kurz vor einem Einbruch steht, sollten Sie sich vergegenwärtigen, was das eigentlich bedeutet, damit Sie die bestmögliche Chance haben, ihn zu verhindern. Unabhängig von der Vorgehensweise brauchen Kriminelle, nachdem sie sich Zugang zu Ihrer Umgebung verschafft haben, Zeit, um es sich gemütlich zu machen und auf ein Ziel hinzuarbeiten. Das kann bedeuten, dass sie eine Sprengung von ransomware vorbereiten oder sich auf eine Kontoübernahme vorbereiten, aber in jedem Fall brauchen sie Zeit im Inneren. Diesem DarkReading-Artikel zufolge ist die durchschnittliche Verweildauer eines Angreifers in einer Umgebung, bevor er entdeckt wird, auf 24 Tage gesunken.
Es gibt verschiedene Ansichten darüber, was während der Verweildauer passiert, aber wenn man bedenkt, dass die Zeit, die Angreifer in einer Umgebung verbringen, immer kürzer wird, ist Zeit der wichtigste Faktor bei der Erkennung von Sicherheitsverletzungen. Je kürzer die Verweildauer, desto weniger Zeit haben Sie, um Angreifer zu entdecken, bevor etwas Schlimmes passiert. Um eine bessere Vorstellung davon zu bekommen, wie Unternehmen die SOC-Effizienz steigern können, damit sie darauf vorbereitet sind, Angriffe schnell zu erkennen und zu stoppen, haben wir uns mit dem KI-Forschungsteam von Vectra zusammengesetzt, um ein paar Tipps zu erhalten. Schauen wir uns genauer an, wie KI Ihrem SOC zusätzliche Leistung verleihen kann.
Verbesserung der Alarmgenauigkeit und Minimierung von Fehlalarmen durch KI
SOCs haben nur so viel Zeit am Tag und können es sich nicht leisten, sich mit harmlosen Alarmen aufzuhalten. Durch das Sammeln der richtigen Daten und eine aussagekräftige KI können jedoch Angriffe und Sicherheitsereignisse identifiziert werden, die sofortige Aufmerksamkeit erfordern. Der aktuelle Spotlight-Bericht Vision and Visibility: Top 10 Threat Detection for Microsoft Azure AD and Office 365" gibt einen detaillierten Überblick darüber, wie das Sammeln der richtigen Daten zusammen mit KI-gestützter Bedrohungserkennung die Aktivitäten eines Angreifers bei Ereignissen wie einem Angriff auf die Lieferkette identifizieren kann. KI ist der effektivste Weg, um den Unterschied zwischen autorisiertem Benutzerverhalten und den Aktionen eines Angreifers zu erkennen - etwas, das immer schwieriger zu identifizieren ist, da die Angreifer immer geschickter werden.
KI-gesteuerte Optimierung für analysegestützte Ermittlungen
Untersuchungen können für SOCs eine schwere Aufgabe sein und bestehen in der Regel aus zeitaufwändigen manuellen Prozessen, die keinen realistischen Ansatz zur Identifizierung von Angreifern bieten, die die Perimeterkontrollen bereits umgangen haben. Auch hier ist Zeit das Problem, denn die Untersuchungen erfordern ein breites Spektrum an Fachkenntnissen, darunter die Fähigkeit, malware, Protokolle und forensische Pakete zu analysieren und große Datenmengen aus einer Vielzahl von Quellen zu korrelieren. In vielen Fällen kann die Untersuchung von Sicherheitsereignissen Stunden dauern, während eine vollständige Analyse von fortgeschrittenen Bedrohungen sogar Tage, Wochen oder Monate in Anspruch nehmen kann. Alle diese Untersuchungsszenarien können mit sinnvoller KI automatisiert werden, einschließlich der Erkennung von Bedrohungen, der Berichterstellung und der Triagefunktionen, die normalerweise von Tier-1-Analysten durchgeführt werden, so dass wertvolle Zeit für andere Aktivitäten zur Verfügung steht. Analysten erhalten auch einen tieferen, aussagekräftigeren Kontext über bösartige Kommunikation, einschließlich Details über spezifisches Angriffsverhalten und kompromittierte Host-Geräte, die an Angriffen beteiligt sind.
Automatisieren Sie Threat Hunting mit KI
Threat hunting ist eine weitere Herausforderung, mit der SOCs konfrontiert sind, und eine, die in der heutigen Umgebung sicherlich notwendig ist, um Angreifern einen Schritt voraus zu sein. KI kann Ihnen helfen, versteckte Angreifer frühzeitig zu entdecken, noch bevor andere Tools oder Mitarbeiter von ihrer Existenz wissen. So können Sie beispielsweise KI nutzen, um kontobasierte Untersuchungen zu verbessern, so dass Analysten über die notwendigen Details verfügen, um die Nutzung und Aktionen potenziell kompromittierter Konten zu identifizieren oder sogar die Kommunikation zu verfolgen, um Host-Geräte mit bestimmten Domänen oder IPs zu ermitteln. Wie bei anderen Untersuchungen auch, können Erkennungs-, Berichts- und Triagefunktionen, die normalerweise durchgeführt werden, vollständig automatisiert werden.
Erkennen, Bewerten und Priorisieren von Hochrisiko-Bedrohungen mithilfe von KI
Eine der schnellsten Möglichkeiten, wie ein SOC-Team wertvolle Stunden verlieren kann, ist das Durchsuchen all der verschiedenen Sicherheitstools und Warnmeldungen, die möglicherweise nicht die relevantesten Informationen anzeigen. Wenn es richtig gemacht wird und KI aus den oben genannten Gründen eingesetzt wird, erhalten SOCs priorisierte Informationen über Bedrohungen, die das höchste Risiko darstellen, wie z. B. wichtige Anlagen, die Anzeichen eines Angriffs aufweisen, oder Anomalien, die behoben werden müssen. Dies hilft den SOC-Teams sehr dabei, Prioritäten zu setzen, wo sie ihre Zeit verbringen sollen.
Natürlich ist das SOC in jedem Unternehmen anders, und dies sind nur einige der Möglichkeiten, wie KI helfen und Ressourcen freisetzen kann, damit Ihr Team den Angreifern einen Schritt voraus ist und sie stoppen kann, bevor es zu einem Einbruch kommt. Wie wir bereits gesagt haben, geht es darum, das wertvollste Gut zurückzugewinnen, das Sie bei der Verteidigung Ihrer Umgebung haben - Zeit.
Um zu sehen, wie KI Ihr SOC unterstützen kann, fordern Sie noch heute eine Demo an!