Uns werden viele Fragen zu KI gestellt. Meistens im Zusammenhang mit Cybersicherheit. Meistens. Gelegentlich höre ich die Frage: "Und wann wird KI Ihren Job übernehmen?" Aber ich kann bestätigen, dass ich diesen Beitrag tatsächlich geschrieben habe. Und was den nächsten Beitrag angeht...
Aber Sicherheitskäufer sind klug. Und wenn man bedenkt, dass Sicherheitsteams in Unternehmen mitunter mehr als 70 Sicherheitstools verwalten, gibt es viele Behauptungen über KI, die dazu führen sollten, dass Sicherheitsteams die Anbieter zur Verantwortung ziehen.
Und da KI seit über einem Jahrzehnt das Herzstück unserer Arbeit ist, haben wir im Folgenden eine Liste von Fragen zusammengestellt, mit deren Hilfe Sie herausfinden können, wie effektiv Anbieter sind, die behaupten, KI in Ihrem Stack einzusetzen. Und da Sie gefragt haben: Ja - sie kann Ihnen die Arbeit erleichtern (mehr dazu weiter unten), nein - Sie müssen sie nicht füttern (obwohl sie Informationen verdaut, und zwar unglaublich schnell), und ja - sie ist ein großartiger täglicher Begleiter im SOC.
1. Einsatz von AI zur Erzeugung eines integrierten Angriffssignals
Frage: Wie nutzen Sie KI, um Cyberangriffe - insbesondere hybride Angriffe- zu erkennen und zu stoppen?
Bedeutung: Ungeachtet dessen, was Ihnen einige Anbieter erzählen mögen, gibt es keinen einzelnen Algorithmus oder ein Lernmodell, das als Allheilmittel zur Lösung jedes Problems dienen kann, sondern optimale Algorithmen für jedes Problem, das im Bereich der Cybersicherheit ein Angriffssignal erzeugt.
Sie möchten herausfinden, wie ein Anbieter Ihnen bei der Bewältigung von Cyberangriffen helfen kann, und dies hängt von der Klarheit der Signale ab. Ist das Angriffssignal auf die TTPs der Angreifer nach der Kompromittierung ausgerichtet? Und wie? Analysiert es Erkennungsmuster, die nur in Ihrer Umgebung vorkommen? Und wie? Und wird es Erkennungen über alle aktuellen und zukünftigen Angriffsflächen hinweg korrelieren - Netzwerk, öffentliche cloud, Identität, SaaS usw.?
> Lernen Sie, wie man AI, Machine Learning und Deep Learning
2. KI in Verbindung mit relevanten Angreifertechniken
Frage: Wie kann Ihr KI-gesteuertes Angriffssignal das Verhalten von Cyber-Angreifern aufdecken?
Wichtigkeit: Wenn Sie diese Frage stellen, können Sie mehr darüber erfahren, wie die KI in Ihrer Umgebung hinter den Kulissen arbeitet, um Angriffe zu erkennen und zu priorisieren. Finden Sie heraus, ob sie das Verhalten von Angreifern wie Befehl und Kontrolle, seitliche Bewegungen, Aufklärung usw. umfassend abdeckt.
Es gibt einige hilfreiche Ressourcen, die Verteidiger nutzen können, um sicherzustellen, dass sie über die aktuellsten Angreifertaktiken und -techniken verfügen. Eine davon ist MITRE ATT&CK - eine weltweit zugängliche Wissensdatenbank über die Methoden der Angreifer. Dies ist nur ein Weg, aber Sie können die Hersteller fragen, wie ihre Erkennungen mit MITRE ATT&CK übereinstimmen. Vectra Attack Signal Intelligence beispielsweise deckt über 90 % der relevanten Techniken ab MITRE ATT&CK - von dort aus können wir unseren Kunden zeigen, wie unsere KI eine bestimmte Methode erkennen kann.
In einer unserer Angriffsanatomien können Sie sehen, wie echte Angreifermethoden erkannt und priorisiert werden.
Oder lesen Sie darüber:
> Auswahl eines optimalen Algorithmus in Machine Learning
3. Priorisierung der Risiken
Frage: Wie werden Bedrohungen, die auf Hochrisikohosts und -konten abzielen, priorisiert, damit die Analysten wissen, was dringend ist?
Bedeutung: SOC-Teams erhalten durchschnittlich 4.484 Warnmeldungen pro Tag. Sie brauchen nicht mehr Warnungen, sondern eine Möglichkeit zu wissen, welche von Bedeutung sind. Die richtige KI-Priorisierung hilft den Analysten zu wissen, worauf sie ihre Zeit konzentrieren müssen.
Wenn Sie diese Frage stellen, können Sie herausfinden, wie das Priorisierungsmodell eines Anbieters funktioniert. Sie werden wissen wollen, welche Datenquellen in die Gleichung einfließen, was Ihnen auch dabei helfen wird, herauszufinden, wie transparent und offen ein Anbieter über seine Algorithmen ist und wie er zu einem Bedrohungswert kommt. Es besteht die Möglichkeit, herauszufinden, wie die KI Bedrohungserkennungen über verschiedene Angriffsoberflächen hinweg korreliert und wie sie diese bewertet, um eine Dringlichkeitsbewertung zu erstellen, die ein Analyst zu seinem Vorteil nutzen und letztlich die dringendsten Risiken priorisieren kann.
4. Effizienz der Analysten
Frage: Wie wird Ihre KI die Arbeitsbelastung für meine Sicherheitsanalysten verringern?
Wichtigkeit: Jüngste Untersuchungen vonVectra AI haben ergeben, dass die Mehrheit der SOC-Analysten angibt, dass die Größe der Angriffsfläche ihres Unternehmens (63 %), die Anzahl der Sicherheitstools (70 %) und der von ihnen verwalteten Warnmeldungen (66 %) in den letzten drei Jahren erheblich zugenommen haben.
Wenn es um die Erkennung von Bedrohungen geht, sollte Ihre KI mehr tun, als nur mehr Bedrohungen zu erkennen. Was sollen wir mit den über 4.000 Warnungen tun, die wir bereits jeden Tag erhalten - noch mehr Warnungen hinzufügen? Nein danke. Stattdessen sollten wir die KI zum Einsatz bringen. Ein KI-gesteuertes Angriffssignal kann Erkennungen, die für Ihre Umgebung spezifisch sind, automatisch sortieren und priorisieren, wodurch das Erkennungs-/Warnungsrauschen erheblich reduziert werden kann (um bis zu 80 %), während gleichzeitig eine Dringlichkeitseinstufung für Angriffe generiert wird, sodass Ihr SOC für das gewappnet ist, was es am besten kann - Angriffe zu stoppen, anstatt sich mit Warnungen zu beschäftigen.
5. Untersuchung und Reaktion
Frage: Wie kann KI meinem Team helfen, Vorfälle effizienter zu untersuchen und darauf zu reagieren?
Bedeutung: Latenz ist der beste Freund eines hybriden Angreifers. Ihre KI-Lösung sollte Analysten einen Vorsprung verschaffen, indem sie Kontext über Angriffe auf priorisierte Entitäten mit automatisierten und manuellen Optionen für die Reaktion teilt.
Sie verfügen bereits über Prozesse zur Reaktion auf Vorfälle, die Menschen, Prozesse und Technologie umfassen. KI sollte sich in Ihren Incident-Response-Prozess integrieren - dort, wo Ihr Team derzeit arbeitet. Die richtige KI-Lösung bietet einen Ausgangspunkt und eine Anleitung für Untersuchungen, entweder über eine eigene Schnittstelle oder innerhalb bestehender Tools (vorzugsweise beides), sodass Sie über die vollständige Angriffsgeschichte verfügen und bei Bedarf intelligente Maßnahmen ergreifen können.
6. Stapelintegration
Frage: Wie lässt sich die Lösung in mein derzeitiges Sicherheitssystem integrieren?
Bedeutung: Verstehen Sie, wie das KI-Signal in Ihre bestehenden Sicherheitsinvestitionen integriert werden kann. Werden Sie es dort nutzen können, wo Ihr Team bereits tätig ist?
Ähnlich wie die Anbieter für die Wirksamkeit ihres Signals verantwortlich gemacht werden sollten, sollten sie auch dafür sorgen, dass jeder Aspekt des Implementierungsprozesses abgedeckt ist, um ihn so klar und nahtlos wie möglich zu gestalten. Speziell bei der Erkennung von und Reaktion auf Bedrohungen sollte Ihre KI-Lösung die bestehende Infrastruktur mit Intelligenz versorgen und es Ihrem Team erleichtern, auf dringende Bedrohungen zu reagieren, während sie gleichzeitig dazu beiträgt, die aktuellen Investitionen zu maximieren.
7. Red Team und Pen-Tests
Frage: Bieten Sie Red-Team-Übungen oder Penetrationstests an, um Ihr Angriffssignal weiter zu validieren?
Bedeutung: Tests unter realen Bedingungen sind entscheidend für die Validierung der KI-Effektivität. Das Vertrauen der Anbieter sollte sich auch auf die Übernahme der Testkosten erstrecken, wenn ihr Produkt nicht die erwarteten Leistungen erbringt.
Jede KI-Technologie, die für die Erkennung und Abwehr von Bedrohungen eingesetzt wird, muss die TTPs verstehen, die die heutigen hybriden Angreifer verwenden. Eine der besten Möglichkeiten, um sicher zu wissen, ob die Lösung der Aufgabe gewachsen ist, besteht darin, echte hybride Angriffe zu simulieren, indem sowohl gängige als auch ausgefeilte Angriffsmethoden emuliert werden. Je genauer das Signal eines hybriden Angriffs ist, desto besser wissen die SOC-Analysten, worauf sie ihre Zeit und ihr Talent konzentrieren müssen.
8. Operationalisierung von AI
Frage: Was können wir von der Umsetzung, der Erfahrung der Analysten und der Investitionsperspektive erwarten?
Bedeutung: Sprechen Sie mit den Anbietern darüber, wie Erfolg für Ihr Team in diesen drei Bereichen aussieht.
Machen Sie sich klar, wie hoch die Lernkurve für alle Teammitglieder ist, die das Tool verwenden. Tools zur Erkennung von und Reaktion auf Bedrohungen, wie XDR, werden regelmäßig als zu kompliziert kritisiert. Ein Analytiker sollte nicht für Antworten arbeiten müssen, im Gegenteil. Eine gute Lösung ist eine, die auch genutzt wird. Stellen Sie also sicher, dass sie sich in den SOC-Workflow einfügt, denn nur dann ist sie eine gute Investition.
9. Verwaltete Dienste im hybriden SOC von heute
Frage: Welche Arbeitslasten in unserem derzeitigen SOC können ausgelagert werden?
Wichtigkeit: Laut Gartner werden bis 2025 90 % der SOCs in der G2000-Region ein hybrides Modell verwenden, indem sie mindestens 50 % ihrer operativen Arbeitslast auslagern.
Wenn die Arbeitsbelastung der SOC-Analysten weiter zunimmt, welcher Teil ihrer Aufgaben kann dann einem Managed Service anvertraut werden? Wir haben darüber gesprochen, wie KI SOC-Teams dabei hilft, Latenzzeiten und Arbeitslasten zu reduzieren, indem sie ein hochwertiges Bedrohungssignal erzeugt. Wenn Sie jedoch die Möglichkeit haben, dieses Signal durch Managed Services zu ergänzen, können Sie Aufgaben wie die Überwachung von Bedrohungen rund um die Uhr und 365 Tage die Woche, die Abstimmung der Erkennung und die Triage oder andere Aufgaben, die den Analysten Zeit rauben, auslagern und gleichzeitig eine Erweiterung Ihres Teams mit KI- und Plattformexperten gewinnen.
Bedeutet KI ein integriertes Angriffssignal in Ihrem SOC?
KI ist in den letzten Jahren mit allen möglichen Behauptungen auf uns zugekommen - in vielen Fällen von Anbietern, die auf den Zug aufgesprungen sind, weil sie es sich nicht leisten können, keinen Pfahl im Boden zu haben. Wenn man jedoch die richtigen Fragen stellt, kann man herausfinden, ob es sich bei den Anbietern nur um ein weiteres Tool im Stapel handelt oder ob sie den Verteidigern tatsächlich dabei helfen können, Herausforderungen bei hybriden Angriffen wie Latenzzeiten, Arbeitslasten und Burnout im SOC zu bewältigen. Es liegt in der Verantwortung des Anbieters, das Angriffssignal zu liefern, das Ihnen hilft, Angriffe zu stoppen - wir können ihn auch dafür zur Verantwortung ziehen, dies zu tun.