Wir wissen, dass es uns gibt. Sie behält den Überblick, lernt unsere Tendenzen und hilft uns bei verschiedenen Aufgaben, aber es kann immer noch schwierig sein, genau zu bestimmen, was die KI-Technologien, die wir nutzen und mit denen wir arbeiten, tun. Viel interessanter wird die Diskussion jedoch, wenn wir uns die verfügbaren Möglichkeiten ansehen und wie sie sich tatsächlich auf unser tägliches Leben oder sogar auf unsere Arbeitsweise auswirken. In dieser Diskussion geht es vor allem darum, was KI-Agenten für diejenigen von uns bedeuten, die in der Cybersicherheit arbeiten - ein Thema, das auch den Weg beleuchtet, auf dem wir uns als Menschen befinden, die mit KI koexistieren und wie wir sie nutzen. Doch bevor wir uns mit all dem befassen, sollten wir vielleicht darüber nachdenken, die Definition des Begriffs "Agent" im Wörterbuch auf etwas wie "Agent" zu aktualisieren:
Eine Person, ein Unternehmen oder künstliche Intelligenz die befugt ist, im Namen eines anderen zu handeln.
Vielleicht sollten wir diese Definition noch um den Begriff "Dienstleistungstier" erweitern? Kann ein Hund oder eine andere Art von Diensttier im Namen eines anderen handeln? Stellen Sie sich folgendes Szenario vor: Ihr Hund ist darauf trainiert, jede schmutzige Wäsche, die er im Haus sieht, einzusammeln und in die Waschküche zu bringen. Ihr Hund ist nun der Wäschebeauftragte, den Sie dazu ermächtigt haben. Wenn Sie nun Wäsche auf dem Boden liegen lassen, kann jeder, der ein Problem damit hat, dies mit dem Wäschebeauftragten besprechen.
Während Merriam-Webster meine Anfrage berücksichtigt, hier eine Definition von IBM, die sich eher auf KI-Agenten bezieht:
Ein Agent mit künstlicher Intelligenz (KI) ist ein System oder Programm, das in der Lage ist, Aufgaben im Namen eines Benutzers oder eines anderen Systems autonom auszuführen, indem es seinen Arbeitsablauf gestaltet und verfügbare Tools nutzt. -IBM
Das ist einfach, vor allem, wenn man aufschlüsselt, wie ein KI-Agent (oder jeder andere Agent) mit bestimmten Aufgaben betraut wird. Liest man jedoch einige der jüngsten Artikel über KI-Agenten - und davon gibt es viele -, wird man schnell feststellen, dass eine Menge Fragen aufgeworfen werden. In einigen Artikeln heißt es, dass "niemand einen KI-Agenten eindeutig definieren kann". Und vielleicht ist das nur eine clevere Überschrift von Fortune, die es schafft, uns von der Frage, wie wir etwas nennen, wegzubringen und uns mehr auf den Kern der Diskussion zu konzentrieren, nämlich wie es uns tatsächlich helfen kann oder was wir damit tun können. Andere Artikel, wie dieser in Wired, werfen Fragen über KI-Agenten auf, indem sie fragen: "Wie viel sollten wir sie tun lassen?"
Dies sind alles berechtigte Überlegungen, doch eine der interessanten Erkenntnisse, die man bei der Untersuchung von KI-Agenten im Bereich Cybersicherheit gewinnt, ist, dass sie uns einen genaueren Einblick in die Auswirkungen geben, die KI auf unsere Arbeitsabläufe hat und haben kann. Im Bericht "2024 State of Threat Detection and Response" vonVectra AI haben wir kürzlich viel über die Verbreitung von KI in der Cybersicherheit erfahren. Man muss jedoch über die Zahlen zur Verbreitung von KI hinausgehen, um zu erfahren, wie sich KI tatsächlich auswirkt und welche Aufgaben sie erledigt.
KI-Agenten in der Cybersicherheit
Worum geht es also bei KI-Agenten im Bereich der Cybersicherheit? Je schneller ein Verteidiger einen Angriff erkennen und stoppen kann, desto besser für sein Unternehmen. Laut dem Bericht "2024 State of Thread Detection and Response" erhalten Verteidiger im Durchschnitt 3.832 Sicherheitswarnungen pro Tag. Diese Zahl ist zwar im Vergleich zum Vorjahr gesunken, aber wenn man bedenkt, was das in Bezug auf die Beantwortung jeder einzelnen Meldung bedeutet, ist das eine ungeheuerliche Forderung. Wenn Sie jeden Tag fast 4.000 E-Mails in Ihrem Posteingang hätten, wie viele würden Sie dann beantworten? Es ist nicht wirklich überraschend, dass die an der Studie teilnehmenden Praktiker angaben, im Durchschnitt nur auf 38 % dieser Warnungen reagieren zu können. Das bedeutet, dass wir uns als Branche nicht mit potenziellen echten Vorfällen befassen, weil uns die Bandbreite fehlt. Hier kommen KI-Agenten ins Spiel.
Wie helfen KI-Agenten den Verteidigern, Angriffe zu erkennen und zu stoppen?
Wenn wir uns anschauen, wie Sicherheitsexperten ihre Aufgaben während eines durchschnittlichen Arbeitstages aufteilen, erkennen wir einige Bereiche, in denen KI-Agenten nützlich sein können. Laut dem Security Team Efficiency Benchmark von Vectra AIverbringen Sicherheitsexperten beispielsweise 18,4 % ihres Tages mit der Untersuchung von Fehlalarmen und 27,7 % ihres Tages mit der Verwaltung von Alarmen. In dieser Studie wurden 538 Mitarbeiter befragt, um herauszufinden, welche Aufgaben im Laufe des Tages anfallen, aber für diese Diskussion ist es auch nützlich zu sehen, wo ein KI-Agent sinnvoll sein könnte. Interessanterweise ergab die Studie auch, dass ein 10-Stunden-Arbeitstag die Norm für ein durchschnittlich sechsköpfiges Team ist. Wo würde ein KI-Agent in diesem Szenario seinen Lebensunterhalt verdienen? Es gibt eine Reihe von Möglichkeiten, aber KI-Agenten können dazu beitragen, dass ein Großteil der manuellen Arbeit im Zusammenhang mit Warnmeldungen entfällt, und - was vielleicht am wichtigsten ist - sie können die Angriffssignale, die die Teams von den Tools zur Erkennung und Reaktion auf Bedrohungen erhalten, verstärken, sodass sie wissen, welche Ereignisse das größte Risiko darstellen. Schauen wir uns an, wie sie funktionieren.
Können KI-Agenten dazu beitragen, den Zeitaufwand für falsch positive Sicherheitswarnungen zu verringern?
Jede False-Positive-Warnung muss entweder von einem menschlichen Analysten oder durch eine Form der Automatisierung (falls vorhanden) auf ihre Relevanz hin überprüft werden, weshalb fast ein Fünftel der Arbeitszeit eines Analysten für False-Positives aufgewendet wird. Wir müssen wissen, ob etwas bösartig oder gutartig ist - und das kann ein sehr manueller Prozess sein, der Zeit und Fachwissen erfordert. Aber muss das denn sein? Die Fähigkeit, KI für die Triage einzusetzen, ist nicht neu, aber die Möglichkeiten werden immer besser, und mit den KI-Triage-Agenten können Sicherheitsteams jetzt ganz einfach Triage-Aufgaben abnehmen. Das bedeutet, dass KI eingesetzt werden kann, um Alarme zu bewerten und normales Netzwerkverhalten von wahrscheinlich bösartigem Verhalten zu unterscheiden oder um zu bestimmen, welche Erkennungen auf der Grundlage der Bedeutung der Entität (Host oder Konto) sicherheitsrelevant sind.
Können KI-Agenten bei der Bewältigung der großen Anzahl von Sicherheitswarnungen helfen, die Teams erhalten?
Es ist nicht nur die Menge der Warnmeldungen, die die Teams erhalten (3.832 pro Tag), die die Arbeit unmöglich macht, sondern auch die Komplexität moderner Netzwerke, die Rechenzentren, Campus, Außendienstmitarbeiter, Clouds, Identitäten usw. umfassen, die es ohne die richtige Technologie unrealistisch machen, Warnmeldungen über alle Oberflächen hinweg zusammenzufügen. Angreifer fühlen sich in diesen Umgebungen wohl, weil der Aufwand, der nötig ist, um isolierte Warnmeldungen aus allen möglichen Richtungen zusammenzufügen, zu Latenzzeiten führt. Die Korrelation von Erkennungen oder Alarmen über verschiedene Oberflächen hinweg ist kein neues Konzept, aber KI-Agenten machen es einfach, da die Verteidiger nicht mehr jeden Alarm über jede einzelne Oberfläche hinweg betrachten müssen. Beispielsweise könnte ein Alarm in AWS mit einem Alarm in Entra ID verbunden sein, da sie mit derselben Identität verknüpft sind. Die KI erkennt dies und erstellt automatisch ein Angriffsprofil, das beide Alarme oder eine beliebige Anzahl von Alarmen enthält, die im Zusammenhang mit dieser Identität von einer beliebigen Oberfläche innerhalb Ihrer Umgebung eingegangen sind. Dies verringert die Anzahl der Alarme, mit denen sich die Teams befassen müssen.
Können KI-Agenten Ihnen helfen, einen Cyberangriff zu stoppen?
Selbst bei einer geringeren Anzahl von Warnungen werden die Informationen für Verteidiger immer am nützlichsten sein, wenn sie wissen, welche Warnung(en) auf einen tatsächlich stattfindenden Angriff hinweisen. Wie wir bereits erwähnt haben, müssen Verteidiger in der Lage sein, Angriffe zu erkennen und zu stoppen. Ein KI-Agent für die Angriffspriorisierung kann alle Arten von Angreiferverhalten in einer Umgebung erkennen, Faktoren wie die Geschwindigkeit eines Angriffs und die verwendeten Techniken berücksichtigen und Dringlichkeitsbewertungen für alle Sicherheitswarnungen in einer Umgebung abgeben. Ein KI-Priorisierungsagent kann im Grunde alles, was in einer Umgebung passiert, berücksichtigen und sie in eine Rangfolge bringen, die dem größten Risiko entspricht. Die Verteidiger verfügen dann über den gesamten Kontext jeder Warnung an einem Ort, der bereits triagiert und zusammengefügt ist, sodass sie ihr Fachwissen nutzen können, um bei Bedarf weitere Untersuchungen durchzuführen oder den Angriff zu stoppen.
Für Verteidiger werden KI-Agenten schnell zu mehr als nur einer Möglichkeit, Falschmeldungen zu bereinigen und Warnungen zu verwalten, sondern zu einer Möglichkeit, ein genaues Angriffssignal zu erhalten, mit dem Angriffe erkannt und gestoppt werden können, ohne die Latenzzeit, die bei manueller Ausführung entsteht. Und abgesehen von all diesen Vorteilen, wer würde nicht gerne sagen: "Klären Sie das mit meinem Agenten"?
Wenn Sie mehr über KI-Agenten erfahren möchten und darüber, wie Vectra AI sie einsetzt, sehen Sie sich den Podcast an: Beschleunigte Erkennung von Bedrohungen mit KI-Agenten.
Oder
Lesen Sie, wie Sicherheitsteams durch KI echte Geschäftsvorteile erzielen, einschließlich:
- 52 % mehr potenzielle Bedrohungen erkannt
- 51 % weniger Zeitaufwand für die Überwachung und Behandlung von Warnmeldungen
- 60 % weniger Zeitaufwand für die Bewertung und Priorisierung von Warnmeldungen