Die Vorstellung, dass irgendeine Art von Technologie autonom Entscheidungen trifft und Aufgaben im Namen des Menschen erledigt, ist nicht unbedingt eine leicht zu schluckende Pille - zumindest nicht ohne ein gewisses Maß an Verständnis dafür, was genau die Technologie tut. Vielleicht ist das der Grund, warum sich scheinbar jede Tech-Messe, jedes Meeting und jede Konferenz mit Themen rund um KI und neuerdings auch mit agentenbasierter KI beschäftigt. In meinem letzten Beitrag haben wir ein wenig darüber gesprochen, was KI-Agenten für die Cybersicherheit bedeuten. Heute möchte ich jedoch über die Schlagworte hinausgehen und darauf eingehen, wie KI schnell zum richtigen Werkzeug für Verteidiger wird, die moderne Cyberangriffe abwehren sollen, insbesondere wenn sie auf das richtige Problem angewendet wird.
Lassen Sie uns dazu einige allgemeine Fragen zur Erkennung von und Reaktion auf Bedrohungen stellen und erörtern, wo sowohl die agentenbasierte KI als auch die generelle KI ihren Platz haben - denn warum sollten wir nicht die beiden schillerndsten Schlagworte für diese Übung verwenden? Zur Erinnerung: KI-Agenten (agentische KI) sind in der Lage, Aufgaben im Namen eines Benutzers auszuführen, während sich Gen-KI auf KI bezieht, die sich auf die Erstellung von Inhalten wie Text oder Bilder konzentriert - ein LLM (Large Language Model) ist beispielsweise eine Art von Gen-KI, die Text generieren kann.
Kann Gen AI Verteidigern helfen, moderne Cyberangriffe schneller zu erkennen und zu stoppen?
Laut dem CrowdStrike 2025 Global Threat Report beträgt die durchschnittliche Zeit von der Infiltration bis zu dem Zeitpunkt, an dem Angreifer beginnen, sich seitlich in ein Netzwerk zu bewegen, 48 Minuten, was im Vergleich zu 62 Minuten im Jahr 2024 einen Rückgang bedeutet. Angreifer werden immer schneller. Wenn ich also darüber nachdenke, ob Gen AI dabei helfen kann, einen modernen Cyberangriff zu erkennen und zu stoppen, lautet meine erste Reaktion "Nein", denn es ist schwer vorstellbar, wie beispielsweise ein LLM die Erkennung durch die Generierung von Inhalten beschleunigen könnte - zumindest auf den ersten Blick. Es stellt sich jedoch heraus, dass Gen AI sich als wertvolle Ressource für die Leute erweist, die Erkennungsmodelle erstellen.
Wie Matt Silver, VP of Data Science bei Vectra AI , im Podcast erklärt: Quantifizieren Sie Ihren KI-Multiplikator: Entities and Detection - Gen AI kann verwendet werden, um Darstellungen von gutartigen Sicherheitsdaten zu erlernen, die für das "Training von nachgelagerten Detektoren" nützlich sein können. Grundsätzlich sind Bedrohungsdetektoren so aufgebaut, dass sie ganz bestimmte Verhaltensweisen von Angreifern erkennen können, aber dazu gehört auch das Wissen, welche Verhaltensweisen nicht bösartig sind. Dank der Fähigkeit von Gen AI, große Datensätze zu verarbeiten, müssen wir nicht mehr von Grund auf neue Datensätze für die Erkennungsmodellierung erstellen, was extrem zeitaufwendig sein kann. Jetzt können wir riesige Mengen vorhandener Cybersicherheitsdaten nutzen und selbstüberwachtes Vortraining anwenden, um Erkennungsmodelle viel schneller zu erstellen. Wenn man bedenkt, wie schnell sich moderne Cyberangriffe bewegen, ist es sicherlich von Vorteil, jede mögliche Latenzzeit während des Erkennungsentwicklungsprozesses zu beseitigen.
Warum nehmen Verteidiger KI in ihren Werkzeugkasten auf, um moderne Cyberangriffe zu stoppen?
Da ist es wieder, dieses Summen. Aber wenn ich mich in die Lage eines Sicherheitsanalysten versetze, ist dies wahrscheinlich der Punkt, an dem ich mich auf das Gespräch einstelle. Ähnlich wie ich als Autor und Inhaltsspezialist Gen AI nutzen kann, um einen Teil oder die gesamte Routinearbeit zu erledigen, die mit dem Verfassen von schriftlichen Inhalten einhergeht (hätte ich sie für diesen Beitrag genutzt, wäre er schon früher erschienen), stellt sich die agentenbasierte KI an die Seite der Analysten und sagt: "Hallo, soll ich mir diese etwa dreitausend Warnmeldungen ansehen und Ihnen mitteilen, welche Sie bearbeiten müssen?"
Natürlich gibt es im Hintergrund noch viel mehr zu tun, was in diesem Podcast ausführlich behandelt wird, aber KI-Agenten sind eigentlich nur dazu da, die Dinge zu erledigen, die Sie nicht erledigen können, nicht erledigen wollen oder gerne abgeben würden, weil Ihre Zeit und Ihr Fachwissen an anderer Stelle effektiver eingesetzt werden könnten. Verteidiger können mithilfe von KI-Agenten feststellen, welche Erkennungen oder Warnungen mit bestimmten Hosts oder Konten verbunden sind, damit Sie wissen, welche relevant sind. Sie können auch Erkennungen über Netzwerk-, Identitäts- und cloud hinweg zusammenfügen, damit Sie wissen, welche Erkennungen miteinander in Verbindung stehen, oder sogar eine Dringlichkeitseinstufung vornehmen, damit Sie wissen, welche Aktivitäten das größte Risiko für ein Unternehmen darstellen. Durch KI-Agenten erhalten Verteidiger schneller einen Erkennungskontext, was natürlich bedeutet, dass sie Angriffe eher stoppen können, als dass sie beispielsweise Zyklen für manuelle Triage-Aufgaben aufwenden müssen.
Es ist interessant, über all die Tools, Apps oder Programme nachzudenken, die wir bei unserer Arbeit verwenden, unabhängig davon, was unser Job ist. Die meisten von uns verwenden wahrscheinlich seit Jahren dieselben Tools, oder wenn wir ein neues einführen, dann deshalb, weil wir glauben, dass wir damit unsere Arbeit besser erledigen können und der Nutzen die Kosten oder den Zeitaufwand für die Anpassung an etwas Neues überwiegt. Trotz all der hochtrabenden Schlagworte rund um die künstliche Intelligenz ist es nur ein Werkzeug, das uns bei der Erledigung unserer Aufgaben helfen kann, und je nach den von uns angestrebten Ergebnissen könnte es genau das Richtige für diese Aufgabe sein.
Weitere Gespräche über KI in der Cybersicherheit finden Sie in der Sendung AI in Action auf demYouTube-Kanal Vectra AI .