Mit KI die Erkennung von Cyber-Bedrohungen neu definieren

1. Mai 2024
Mark Wojtasiak
VP für Produktforschung und Strategie
Mit KI die Erkennung von Cyber-Bedrohungen neu definieren

Der folgende Artikel ist eine Abschrift eines Interviews, das Ed Amoroso, Gründer und CEO von TAG Infosphere und Mark Wojtasiak, VP of Product bei Vectra AI , erörtern, wie Unternehmen mit dem richtigen KI-Ansatz erfolgreich gegen die heutigen hybriden Angriffe vorgehen können.

Ed: Nur wenige Cybersicherheitsunternehmen haben so viel Erfahrung in der Anwendung von künstlicher Intelligenz (KI) auf die Cybersicherheit wie Vectra AI. Sie haben eine starke Fähigkeit entwickelt, KI zur genauen Erkennung von Cyberangriffen, zur Untersuchung und zur Einleitung von Gegenmaßnahmen einzusetzen - und dies entspricht eindeutig den Bedürfnissen der meisten modernen Organisationen, die ihre Verteidigung und damit ihre Widerstandsfähigkeit gegenüber Angriffen verbessern wollen.

Wir haben uns kürzlich mit dem Team von Vectra AI getroffen, um besser zu verstehen, wie sie KI einsetzen, um die Erkennung und Abwehr von Cyberangriffen zu beschleunigen, und wie ihre Kunden sich zunehmend auf KI als wichtige Komponente ihrer Verteidigung gegen automatisierte Angriffe verlassen.

Ed: Wie funktioniert Vectra AI's KI-gesteuerte Plattform die Fähigkeit von Unternehmen, Cyber-Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren?

Mark: Wir betrachten das Thema mit ganz einfachen Worten. Die Fähigkeit eines Unternehmens, Cyber-Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren, hängt im Wesentlichen von drei Fragen ab: Können wir es sehen? Können wir sie stoppen? Wie schnell können wir sie erkennen und aufhalten? Da sich die Angriffsfläche ständig vergrößert, die Methoden der Angreifer sich weiterentwickeln, neue Bedrohungen auftauchen und eine Flut von Warnmeldungen auftaucht, sind die herkömmlichen Methoden zur Erkennung von und Reaktion auf Bedrohungen übermäßig manuell, komplex und latenzbehaftet. Hinzu kommt, dass der Mangel an SOC-Ressourcen und -Fähigkeiten die Situation nur noch verschlimmert hat, und die Frage lautet: Wie schnell können wir einen Angriff erkennen und stoppen? Die Antwort lautet: nicht annähernd schnell genug.

Wir haben eine Prämisse, die als Grundlage für unsere KI-Plattform dient: Moderne Unternehmen sind hybrid, daher sind alle Angriffe hybride Angriffe. Wir argumentieren, dass in modernen hybriden Unternehmen hybride Angriffe herkömmliche Ansätze zur Erkennung von und Reaktion auf Bedrohungen ineffizient und ineffektiv werden lassen. Für SOC-Teams ist die Erkennung eines hybriden Angriffs wie die Suche nach einer Nadel in einem Stapel von Nadeln. Die einzige Möglichkeit, die Nadel zu finden, besteht darin, wie ein hybrider Angreifer zu denken. Heute denken wir, dass wir einzelne Angriffsflächen zu verwalten haben - Endpunkte, Netzwerke, Identitäten, Clouds, E-Mail-Anwendungen usw., aber hybride Angreifer sehen eine riesige integrierte Angriffsfläche. Integriert ist das Schlüsselwort, und unsere Plattform ist so konzipiert, dass sie Verteidigern eine integrierte Echtzeit-Ansicht von Angriffen über die gesamte hybride Angriffsfläche bietet. Dies beseitigt die Komplexität und Latenz bei Erkennungs-, Untersuchungs- und Reaktionsprozessen und reduziert die Arbeitsbelastung der SOC-Analysten erheblich.

Ed: Können Sie die spezifischen KI-Techniken und -Methoden näher erläutern, die Vectra AI einsetzt, um das Netzwerkverhalten zu analysieren und bösartige Aktivitäten zu identifizieren?

Mark: Der Ansatz von Vectra AI zur Erkennung von Bedrohungen verbindet menschliches Fachwissen mit einer breiten Palette von Datenwissenschaft und fortschrittlichen maschinellen Lerntechniken. Dieses Modell liefert einen kontinuierlichen Zyklus von Angriffsinformationen auf der Grundlage von Sicherheitsforschung, globalen und lokalen Lernmodellen, Deep Learning und neuronalen Netzen. Mithilfe von Algorithmen zur Verhaltenserkennung, die Metadaten aus erfassten Paketen analysieren, erkennt unsere Cybersecurity-KI versteckte und unbekannte Angriffe in Echtzeit, unabhängig davon, ob der Datenverkehr verschlüsselt ist oder nicht. Unsere KI analysiert nur die Metadaten der erfassten Pakete und führt keine Deep-Packet-Inspection durch, um die Privatsphäre der Nutzer zu schützen, ohne sensible Nutzdaten auszuspähen.

Globales Lernen beginnt mit den Vectra AI Threat Labs, einer Vollzeitgruppe von Cybersicherheitsexperten und Bedrohungsforschern, die kontinuierlich malware, Angriffswerkzeuge, Techniken und Verfahren analysieren, um neue und sich verändernde Trends in der Bedrohungslandschaft zu erkennen. Ihre Arbeit fließt in die datenwissenschaftlichen Modelle ein, die von unserer Attack Signal Intelligenceeinschließlich des überwachten maschinellen Lernens. Es wird verwendet, um sehr große Mengen von Angriffsdaten zu analysieren und sie auf die wichtigsten Merkmale zu reduzieren, die bösartigen Datenverkehr einzigartig machen.

Lokales Lernen identifiziert, was im Netzwerk eines Unternehmens normal und abnormal ist, um Angriffsmuster zu erkennen. Die wichtigsten Techniken sind unüberwachtes maschinelles Lernen und die Erkennung von Anomalien. Vectra AI verwendet unüberwachte maschinelle Lernmodelle, um etwas über eine bestimmte Kundenumgebung zu lernen, ohne direkte Kontrolle durch einen Datenwissenschaftler. Anstatt sich darauf zu konzentrieren, Anomalien zu finden und zu melden, sucht Vectra AI nach Indikatoren für wichtige Phasen eines Angriffs oder Angriffstechniken, einschließlich Anzeichen dafür, dass ein Angreifer das Netzwerk erkundet, Hosts für einen Angriff bewertet und gestohlene Anmeldeinformationen verwendet.

Unsere KI-gesteuerte Priorisierungs-Engine kombiniert Tausende von Ereignissen und Netzwerkmerkmalen zu einer einzigen Erkennung. Mithilfe von Techniken wie Ereigniskorrelation und Host-Scoring korreliert unsere KI alle Erkennungsereignisse mit bestimmten Hosts, die Anzeichen für ein bedrohliches Verhalten aufweisen. Wir bewerten dann automatisch jede Erkennung und jeden Host in Bezug auf den Schweregrad und die Sicherheit der Bedrohung mit unserem eigenen Index für die Sicherheit der Bedrohung.

Schließlich verfolgen wir jedes Ereignis im Laufe der Zeit und in jeder Phase des Lebenszyklus eines Cyberangriffs, wobei wir uns besonders auf Einrichtungen konzentrieren, die für einen Angreifer von strategischem Wert sind.

Ed: Was zeichnet Vectra AI im Bereich der KI-gesteuerten Cybersicherheit aus, insbesondere in Bezug auf Skalierbarkeit und Anpassungsfähigkeit an sich entwickelnde Bedrohungen?

Mark: Ich würde sagen, es ist unser Ansatz. Vor einem Jahrzehnt haben wir eine Methodik entwickelt, die auf fünf Kernprinzipien der angewandten KI für Cybersicherheit aufbaut:  

1. Beginnen Sie mit der richtigen Problemstellung.  

2. Die richtigen Daten.  

3. Aufbau einer ML-Engineering-Kompetenz.  

4. ML-Innovation mit Plattform freischalten.  

5. Kontinuierliche Validierung und Verbesserung.

Unsere Methodik basiert auf der Integration von Sicherheitsforschung, ML-Engineering - der Kombination aus Datenwissenschaft und Technik - und UX, die auf eine Mission ausgerichtet sind: KI zu nutzen, um Angriffssignale in Daten schnell und in großem Umfang zu finden. Wir verfügen über mehr als 150 Modelle, die neuronale Netzwerke, überwachte ML, unüberwachte ML und Neuheitserkennung umfassen, 12 Referenzen für MITRE D3FEND - mehr als jeder andere Anbieter - und einen Netzwerkeffekt, der aus mehr als 1500 Kunden besteht, die unsere KI-Erkennungen sowohl für bestehende als auch für neu entdeckte Angreifertechniken kontinuierlich validieren und verbessern. Es gibt Fälle, in denen wir neue Angreifertechniken identifiziert und Erkennungen entwickelt haben, bevor sie in MITRE ATT&CK Das bedeutet, dass unsere Kunden eine kontinuierliche Abdeckung für neue Angriffstechniken erhalten, ohne dass die Erkennungstechniken entwickelt werden müssen.

Ed: Wie stellt Vectra AI sicher, dass seine KI-gestützten Algorithmen zur Erkennung von Bedrohungen möglichst wenig falsch-positive und falsch-negative Ergebnisse liefern?

Mark: Wir glauben, dass die Erkennung von und die Reaktion auf hybride Angriffe, wie wir sie nennen, in Echtzeit nur mit KI möglich ist. KI ist die einzige Möglichkeit, SOC-Teams das zu liefern, was sie brauchen - integrierte, präzise Signale für hybride Angriffe in kurzer Zeit und in großem Umfang. Wir nennen es unser Attack Signal Intelligence Es nutzt KI, um täglich Tausende von Erkennungsereignissen in Netzwerken, Identitäten, Clouds und SaaS-Anwendungen zu analysieren, zu ordnen und zu korrelieren. Anstatt Tausende von Warnmeldungen zu einzelnen Bedrohungsereignissen zu liefern, liefert unsere KI-Plattform pro Tag Warnmeldungen im einstelligen Bereich zu priorisierten angegriffenen Einheiten - sowohl Hosts als auch Konten.

Kurz gesagt, unsere KI beantwortet die drei Fragen, die SOC-Analysten jeden Tag vor ihren Bildschirmen beantworten müssen: Ist diese Bedrohung real? Bin ich betroffen? Und wie dringend ist sie? Mit anderen Worten: Ist sie meine Zeit und mein Talent wert? Einer unserer Kunden drückte es am besten aus, indem er sagte: "Die Vectra AI Plattform hilft unseren Ingenieuren und Analysten, Unklarheiten aus ihrem Alltag zu verbannen und sich auf das Wesentliche zu konzentrieren."  

Unsere Vorgehensweise ist einfach. Wir nutzen unsere vorgefertigten, verhaltensbasierten, domänenspezifischen KI-Erkennungen, um unbekannte Angriffe bekannt zu machen. Wir nutzen KI, um die Korrelation von Bedrohungsereignissen zu integrieren und zu automatisieren, um die Latenz bei der Erkennung zu beseitigen. Und vor allem nutzen wir KI, um die Erfahrung der Analysten von der ereignisorientierten Erkennung von Bedrohungen auf eine entitätsorientierte Signalpriorisierung zu verlagern und so das Rauschen und die Arbeitsbelastung zu reduzieren und den Wert der vorhandenen SOC-Talente zu maximieren.

Ed: Welche Rolle wird KI Ihrer Meinung nach in der Zukunft der Cybersicherheitsverteidigung spielen, und wie ist Vectra AI positioniert, um bei dieser Entwicklung führend zu sein?

Mark: Wie ich bereits sagte, kann die Erkennung und Reaktion auf hybride Angriffe in Echtzeit heute nur mit KI erfolgen. Wir sehen die Zukunft in einem vollständig KI-gesteuerten SOC. In der ersten Phase der Entwicklung geht es um den Einsatz angewandter KI für die proaktive Verteidigung - von der Identifizierung neuer Verhaltensweisen von Angreifern bis hin zur Erkennung und Priorisierung von Entitäten in einem frühen Stadium einer Angriffskampagne. Wir glauben, dass unser KI/ML-Ansatz - unser Attack Signal Intelligence und unsere entitätszentrierte Priorisierungs-Engine - an der Spitze dieser Bewegung steht.

Die zweite Phase des KI-gesteuerten SOC sehe ich in der Nutzung generativer KI für die präskriptive Verteidigung im Zusammenhang mit der Untersuchung von Bedrohungen und der Reaktion darauf. Wir sehen dies bereits bei der Einführung von Anbietern und dem Einsatz von LLMs, die SOC-Analysten dabei helfen, den Arbeitsaufwand für Untersuchungen zu reduzieren und die Untersuchungszeiten zu verkürzen. Potenziell könnte die KI noch einen Schritt weiter gehen und sogar geeignete Reaktionsmaßnahmen zur Eindämmung oder Isolierung des Angriffs vorschreiben oder ergreifen. Vectra AI hat sich dafür entschieden, sich in erster Linie auf die Bereitstellung eines möglichst integrierten und genauen Angriffssignals zu konzentrieren. Wir sind der Meinung, je genauer das Angriffssignal ist, desto zwingender ist die Anwendung von LLMs für eine effektive Untersuchung und Reaktion.

Ich sehe die dritte Phase der Entwicklung des SOC als KI für prädiktive Verteidigung. Angesichts unseres Verständnisses für das Verhalten von Angreifern - unser Attack Signal Intelligence kombiniert mit unserem Ansatz und dem Netzwerkeffekt, den wir durch unsere mehr als 1500 Unternehmenskunden genießen, ist Vectra AI gut positioniert, um bei der prädiktiven KI-gestützten Verteidigung führend und innovativ zu sein.

Sie können weitere Einblicke von TAG und Vectra AI erhalten, indem Sie den kostenlosen Bericht herunterladen: Tag Security Annual 2023: Special Reprint Edition

Häufig gestellte Fragen