Da die Bedrohungen immer deutlicher werden, ist es wichtig, sich die Frage zu stellen: Was bringt eigentlich Klarheit? Es ist eine Frage, mit der wir uns schwer tun können, aber vielleicht gehen wir sie einfach nicht auf die richtige Weise an.
Es ist eine Zeit, in der große Unternehmen aus den falschen Gründen Schlagzeilen machen. Latitude Financial, der in Australien und Neuseeland tätige Finanzdienstleister, hat Einzelheiten zu einem Cyberangriff und einer Datenpanne bekannt gegeben, von der 225 000 seiner Kunden betroffen waren.
In einem solchen Zustand ist Sichtbarkeit von grundlegender Bedeutung, wobei uns die künstliche Intelligenz (KI) die Möglichkeit gibt, unsere Angriffsfläche besser zu verstehen und Bedrohungen schnell zu erkennen.
Unbekanntes ans Licht bringen, um die Sicherheitslage zu verbessern
Betrachten wir zunächst die Unbekannten. In den letzten Jahren hat sich unsere Arbeitsweise stark verändert, und diese Veränderungen haben zu einer größeren Angriffsfläche, mehr Schwachstellen und Exploits, mehr Tools und Warnmeldungen und kleineren, überlasteten Teams geführt. Gleichzeitig sind die Angreifer immer ausweichender und raffinierter in ihren Infiltrationsmethoden.
Es ist wahr, dass unsere Angriffsfläche oft viel größer ist, als wir annehmen. Es ist keine ungewöhnliche Statistik, dass nur 50 % der Anlagen als Endpunkte protokolliert werden, wobei die zusätzlichen IP-Adressen Router, Switches, Drucker, Kameras, Telefone und andere Dienste sind. Bei diesen zusätzlichen IP-Adressen kann es sich um persönliche Geräte in einem Gastnetzwerk, um cloud Computing-Dienste und Container-Workloads oder sogar um herkömmliche Serveranwendungsdienste handeln, die Hosts mit Aktivitäten betreiben, die nicht überwacht werden.
Um einen Überblick über die Angriffsfläche zu erhalten, müssen Sie Bedrohungsvektoren verstehen, die über das hinausgehen, was Sie als Unternehmen besitzen. Nehmen wir den unbefugten Zugriff. Ein zunehmend gebräuchlicher Begriff, der sich auf den Zugriff auf ein Computersystem, ein Netzwerk oder eine Anwendung ohne ausdrückliche Erlaubnis oder Genehmigung bezieht - wie der Name schon sagt.
Wie kürzlich berichtet wurde, war die indonesische Niederlassung der Commonwealth Bank of Australia von einem Vorfall betroffen, bei dem sich Unbefugte Zugang zu einer webbasierten Softwareanwendung für das Projektmanagement verschafft hatten. In ähnlicher Weise hat AT&T vor kurzem öffentlich bekannt gegeben , dass im Januar eine unbefugte Person in das System eines Anbieters eingedrungen ist und sich Zugang zu den firmeneigenen Netzwerkinformationen (Customer Proprietary Network Information, CPNI) verschafft hat.
Der Gewinn an Transparenz und Klarheit durch Expertentools verringert die Belastung der Sicherheitsteams und verbessert die Fähigkeit eines Unternehmens, Bedrohungen zu verstehen und sie schnell und effektiv zu beseitigen.
Die Rolle der künstlichen Intelligenz bei Sichtbarkeit und Sicherheit
KI ist ein leistungsfähiges Instrument zur Verbesserung der Signalklarheit und zur Maximierung der Nutzung unserer nun besser sichtbaren Angriffsfläche. KI verbessert die Signalklarheit, indem sie es uns ermöglicht, den verhaltensbezogenen Aspekt von Angriffen zu erkennen und alle möglichen Infiltrationspunkte zu berücksichtigen.
Angreifer können auch künstliche Intelligenz oder Automatisierung nutzen, um ihre Angriffe zu beschleunigen, aber das ändert nicht grundsätzlich ihr Verhalten. Es gibt immer noch bestimmte Aktionen, die sie durchführen müssen, um ein Netzwerk zu kompromittieren, und diese Verhaltensmarker sind es, die wir aufspüren können.
Wir hören von vielen Unternehmen, dass sie viel zu viele Fehlalarme von ihren Sicherheitstools erhalten und die Sicherheitsteams mit Informationen überschwemmt werden, mit denen sie nichts anfangen können. Bei der Nutzung von KI geht es nicht darum, einen Menschen zu ersetzen, sondern darum, unsere Arbeit effizienter und klarer zu gestalten.
Reaktion auf Bedrohungen zum Schutz unserer Systeme und Menschen
Wenn es um die Reaktion geht, müssen wir wissen, was wir mit den eingehenden Angriffswarnungen anfangen sollen, sonst ist all unsere Klarheit umsonst.
Erstens müssen wir feststellen, worum es sich bei dem Angriff handelt, und zweitens, was wir dagegen tun können. Es kann keine allgemeingültige Regel geben, wir müssen flexibel sein, aber wir können wiederholbare Verfahren mit eingebauter Flexibilität schaffen. Metriken wie die Zeit bis zur Behebung können den Wert und den Nutzen von KI in Form von realen Ergebnissen und Erträgen aufzeigen.
Wir gehen davon aus, dass CISOs und Sicherheitsverantwortliche in Zukunft mehr in Tools investieren werden, die die Effizienz verbessern und die Sicherheitsteams bei der Sichtung von Warnmeldungen und der Aufdeckung von Bedrohungen in einer weitläufigen und umfassenden Angriffslandschaft unterstützen. Die Lösungen sind vorhanden, und sie werden immer besser. Man muss nur verstehen, was sie sind und wie sie für einen maximalen Nutzen integriert werden können.
Sind Sie bereit zu reagieren und die unbekannte Bedrohung zu beseitigen?