Ist die Abwehr von Cyberangriffen kaputt? Als Product Marketing Manager bei Vectra AI nahm ich kürzlich zum ersten Mal am Gartner Security and Risk Summit in London teil, und dies war meine erste Frage. Gleich nach der ersten Keynote-Sitzung wurde mir bestätigt, dass die Spirale des Mehr in der Cybersicherheit real ist. Mehr Angriffe, mehr Tools, mehr Warnungen und mehr Burnout.
Während der gesamten Konferenz bin ich immer wieder auf die gleichen drei Themen gestoßen:
- Wiekönnen wir effektive und effiziente Sicherheitsergebnisse erzielen, ohne unsere Ressourcen und Fähigkeiten zu überfordern?
- Wiekönnen wir KI nutzen, um uns gegen Angreifer zu verteidigen, die sich die KI zunutze machen?
- Wiekann unser Security Operations Center (SOC) Identitäten davor schützen, von Angreifern genutzt zu werden?
In diesem Blogbeitrag werde ich einige der wichtigsten Erkenntnisse des Gipfels und den einzigartigen Ansatz von Vectra AIzur Lösung dieser Fragen vorstellen.
Mindesteffektive Denkweise
Die erste Erkenntnis ist das Konzept der "minimalen effektiven Denkweise", d. h. die Idee, ein optimales Gleichgewicht zwischen Sicherheit und Einfachheit zu finden.
Minimaler effektiver Werkzeugsatz
Mehr Tools gewährleisten keinen besseren Schutz. Obwohl 75 % der Unternehmen eine Anbieterkonsolidierung anstreben1, setzen sie letztlich mehr Tools und Technologien ein, da die Sicherheitsverantwortlichen immer noch das Gefühl haben, nicht ausreichend geschützt zu sein2. Sicherheitsteams sollten darauf abzielen, so wenig Technologien wie möglich einzusetzen, um Angriffe zu beobachten, abzuwehren und darauf zu reagieren. Bei der Bewertung der Effektivität von Tools sollten die Sicherheitsteams die Interoperabilität zwischen den Tools sowie den Zeit- und Arbeitsaufwand für deren Verwaltung, Wartung und Nutzung berücksichtigen.
Mindestmaß an effektivem Fachwissen
Mehr Cybersicherheitsexperten bieten nicht unbedingt besseren Schutz. Bei einer um 65 % steigenden Nachfrage nach Cybersecurity-Talenten in einem Markt, in dem bereits 3,4 Millionen Talente fehlen34, ist die Einstellung von mehr Experten nicht die Antwort auf das Problem der zunehmenden raffinierten Angriffe. Daher sollten die Sicherheitsteams ihren Schwerpunkt auf die Entwicklung von minimalem, effektivem Fachwissen verlagern. Ein Beispiel dafür ist die Nutzung von KI, um die Anzahl der sich wiederholenden und langwierigen Aufgaben zu verringern.
Vectra AIIntegrierte Erkennung und Abwehr von Bedrohungen durch hybride Angriffe
Mit der Plattform Vectra AIwird das Verhalten von Angreifern über Netzwerke, Identitäten, öffentliche cloud und SaaS hinweg sichtbar. Signale werden domänenübergreifend integriert, um Latenzzeiten bei Erkennungs-, Untersuchungs- und Reaktionsprozessen zu beseitigen. Unsere Lösung steigert die Produktivität der SOC-Analysten um mehr als das Doppelte, da wir das Alarmrauschen um 80 % reduzieren. Außerdem verkürzen wir die Entwicklungszeit für die Erkennung von Monaten auf Tage, da wir mehr als 150 vorgefertigte Erkennungsmodelle nutzen. Unser Tool verfügt über mehr als 40 vorgefertigte Integrationen in EDR-, SIEM-, SOAR- und ITSM-Tools und gewährleistet so die Interoperabilität mit Ihren vorhandenen Tools.
KI-Verteidigung gegen KI-Angriffe
Die zweite Erkenntnis ist die Notwendigkeit, KI effektiv einzusetzen, um sich gegen immer raffiniertere Angreifer zu verteidigen, die KI nutzen, um ihre bösartigen Aktivitäten zu automatisieren und zu optimieren. Während die meisten Sicherheitsanbieter behaupten, dass sie KI in ihrer Technologie einsetzen, ist es für Sicherheitsteams wichtiger, kritisch zu bleiben und die richtigen Fragen zur Bewertung ihrer Tools zu stellen. Erkennt ihr KI/ML-Ansatz beispielsweise lediglich Anomalien und erfordert eine ständige menschliche Abstimmung und Wartung? Konzentriert sich ihre Forschung nur auf bestimmte Tools/Angriffsgruppen, die sich nur schwer auf neuere Techniken anwenden lassen? Läuft ihr Algorithmus in regelmäßigen Abständen, was zu einer Verzögerung der Alarmierung führen und den Angreifern die Möglichkeit geben könnte, ihre Angriffe weiter auszubauen? Selbst wenn die Anbieter Ihnen die perfekten Antworten geben, ist die Validierung der Schlüssel, um zu verhindern, dass die Anbieter zu viel versprechen und zu wenig liefern. Sicherheitsteams sollten dazu sowohl interne als auch externe Methoden wie Angriffssimulationstools und Validierungsdienste von Drittanbietern nutzen.
Vectra AIEinzigartiger KI-Ansatz zum Auffinden von Angriffen, die andere nicht finden können
Um KI-Angriffe wirksam abwehren zu können, müssen wir bei der KI-Abwehr die Sichtweise des Angreifers einnehmen. Vectra AI hat 35 Patente im Bereich der KI-gestützten Bedrohungserkennung und ist der Anbieter, auf den MITRE D3FEND am häufigsten verweist. Unsere Erkennungen konzentrieren sich ausdrücklich darauf, Angreifer zu finden und die Methoden der Angreifer in Aktion zu identifizieren, nicht nur Anomalien. Unsere sicherheitsorientierten KI-Algorithmen untersuchen, wie einzelne Ereignisse mit verwertbaren Sicherheitsvorfällen korrelieren. Unser patentiertes Attack Signal IntelligenceTM nutzt KI/ML, um das Verhalten von Angreifern und Verkehrsmuster zu analysieren, die für die Umgebung des Kunden einzigartig sind, um das Alarmrauschen zu reduzieren und nur relevante, wirklich positive Ereignisse anzuzeigen. Unser Forschungs- und Entwicklungsteam überwacht und überprüft nicht nur ständig die Methoden der Angreifer, sondern untersucht auch die von ihnen verwendeten allgemeinen Methoden. Dadurch wird sichergestellt, dass Vectra AI sowohl Tools abdeckt, die heute Angriffe ausführen, als auch solche, die erst in Zukunft entwickelt werden. Da es auf die Geschwindigkeit der Erkennung ankommt, arbeiten unsere Algorithmen mit Streaming-Daten und nicht mit periodischen Stapeln, um genügend Zeit zu haben, um das Fortschreiten der Angreifer zu stoppen.
Identitätsgewebe in der SOC
Angesichts der Tatsache, dass KI der richtige Weg ist, stellt sich die Frage, wo sie am schnellsten zum Einsatz kommen kann. Das bringt mich zur dritten Erkenntnis: SOC-Teams sollten KI für die Erkennung von Identitätsangriffen und die Reaktion darauf nutzen. 84 % der Unternehmen sind von identitätsbezogenen Verstößen betroffen5. Angreifer haben es oft auf die Anmeldeinformationen und Privilegien von Benutzern, insbesondere von Super-Admins, abgesehen, um sich Zugang zu verschaffen und sich seitlich im Netzwerk zu bewegen. Die jüngsten Sicherheitsverletzungen bei MGM und Caesar's Palace sind ein gutes Beispiel dafür. Um dieses Problem anzugehen, müssen wir über die Prävention hinaus denken. Vorbeugung kann scheitern, zumal der Mensch oft das schwächste Glied in der Cybersicherheit ist. Meine Kollegin erzählte mir kürzlich, dass ihr der Zugang zum Super-Admin-Konto ihres ehemaligen Arbeitgebers erst sechs Monate nach ihrem Ausscheiden aus dem Unternehmen entzogen wurde. Stellen Sie sich vor, was Angreifer tun können. Wir brauchen Einblick in das Verhalten der Angreifer zwischen dem ersten Zugriff auf die Identität und dem Erreichen des Kronjuwels durch die Angreifer. Wir müssen erkennen, wann ein privilegiertes Konto ins Visier genommen wird und wann sich Angreifer seitlich im Netzwerk und in cloud Umgebungen bewegen.
Vectra AIDie IDR stoppt Angriffe, bevor sie das Kronjuwel erreichen
Vectra AIIDR-Lösung können Sie Bedrohungen sowohl in Netzwerk- (ActiveDirectory) als auch in cloud -Umgebungen (Azure AD und M365) erkennen und so eine integrierte hybride Sichtbarkeit bieten. Unsere patentierte Privilege Account Analytics lernt Kontoprivilegien, um Sicherheitsanalysten dabei zu helfen, automatisch die für Angreifer nützlichsten Konten zu entdecken und sich auf diese zu konzentrieren.
Wenn ich über die dreitägige Konferenz nachdenke, wird mir klar, dass ein grundlegender Wandel erforderlich ist, um die Spirale des "Mehr" in den Griff zu bekommen. Ich hoffe, dass wir auch weiterhin mit mehr Sicherheitsteams zusammenarbeiten können, um Angreifer daran zu hindern, Ihr Unternehmen zu schädigen, wenn sie ein Mindestmaß an Effektivität anstreben.
Wenn Sie mehr darüber erfahren möchten, wie Vectra AI Sie auf Ihrem Weg in die Cybersicherheit begleiten kann, besuchen Sie unsere Plattformseite und fordern Sie noch heute eine Demo an.
3 ISC2 Cybersecurity-Arbeitskräfte-Studie 2021