72 % der Sicherheitsexperten "glauben, dass ein Sicherheitsverstoß stattgefunden haben könnte, wissen es aber nicht". Anders ausgedrückt: Fast drei Viertel der Sicherheitsteams wissen nicht, wo sie im Moment gefährdet sind. Wir nennen dies die unbekannte Bedrohung, die in den letzten Jahren angesichts der raschen Umstellung auf hybride cloud Dienste, Speicher, Anwendungen und Identität immer mehr an Bedeutung gewonnen hat. Unbekannte Bedrohungen, sei es auf der Grundlage von cloud, Kontoübernahmen oder Angriffen auf die Lieferkette, haben einfach mehr Möglichkeiten, in ein Unternehmen einzudringen und sich seitlich zu bewegen - deshalb glauben wir, dass die unbekannte Bedrohung heute das größte Einzelrisiko für die Cybersicherheit darstellt.
Dies geht aus dem IBM-Bericht "Cost of a Data Breach 2022 " hervor, demzufolge fast die Hälfte (45 %) der Sicherheitsverletzungen auf cloud zurückzuführen sind. Der Data Breach Investigations Report 2022 von Verizon zeigt, dass fast die Hälfte der Sicherheitsverletzungen auf gestohlene Zugangsdaten zurückzuführen ist. Darüber hinaus stellte Verizon fest, dass 62 % der Systemeinbrüche auf APTs zurückzuführen sind, die Lieferketten angreifen.
Warum also sind Unternehmen anfälliger für unbekannte Bedrohungen? Wir glauben, dass es auf drei Dinge hinausläuft, wobei der Kern dieser drei Dinge der Teufelskreis des Versuchs ist, mehr mit "mehr" zu erreichen.
- Mehr Angriffsfläche bedeutet mehr Tools, was wiederum mehr Komplexität bedeutet.
- Mehr ausweichende Angreifer bedeuten mehr Regeln, was wiederum mehr Warnungen und mehr Tuning bedeutet.
- Mehr Warnregeln, die eingestellt und gepflegt werden müssen, bedeuten mehr Analysten, mehr Arbeit und mehr Burnout.
Entmutigend ist, dass die Sicherheitsbranche immer wieder versucht, mehr mit mehr zu bekämpfen, aber es ist völlig klar, dass dies nicht die Lösung ist. Mehr macht das Unbekannte nicht unschädlich. Es schürt es. Mehr ist die Ursache für das Vertrauensproblem, mit dem die Sicherheitsverantwortlichen konfrontiert sind.
Ausbrechen aus der Spirale des "Mehr"
Zwei Faktoren treiben die Spirale des "Mehr" an
Die erste ist strukturell in der Sicherheitsbranche bedingt - zu viele Einzelprodukte für die Erkennung und Abwehr von Bedrohungen. Die einzige praktische Lösung hierfür sind Bedrohungserkennungs- und -abwehrplattformen, die eine breite Angriffsfläche abdecken und nativ vereinheitlicht und vereinfacht werden können. Wir werden in einem zukünftigen Blog [XDR] mehr darüber berichten.
Die zweite ist die Sprache, die immer noch gängige Erkennungstools für die Erkennung verwenden - vor allem IDS und SIEM. Dies resultiert aus der jahrzehntelangen Konzentration auf den Aufbau von Bedrohungserkennungsfähigkeiten, um bekannte IoCs wie C2-Domänen, Datei-Hashes, bösartige Prozessnamen, Registrierungsschlüssel, Regex in Paketen usw. schnell zu kommunizieren und zu finden. Die Sprachen für Erkennungsregeln wurden natürlich optimiert, um diese bekannten IoCs zu finden.
Heute hat sich die Landschaft verändert, und diese Ansätze können nicht mehr mithalten:
- Moderne Bedrohungen bewegen sich zu schnell, so dass die Verteidiger ständig auf der Jagd nach der neuesten Schwachstelle oder Domäne sind.
- Moderne Angreifermethoden lassen sich nicht durch Signaturen und einfache Regeln charakterisieren.
- Moderne, ausweichende Bedrohungen umgehen die Prävention und bleiben monatelang unentdeckt.
Ein einfaches Beispiel ist das Aufspüren eines Angreifers, der eine gestohlene Administratorberechtigung verwendet, um sich mit einem Windows-Administrationsprotokoll zu bewegen. Wenn Sie über die richtigen Daten verfügen, können Regeln und Signaturen Sie jedes Mal informieren, wenn eine Administratorberechtigung mit Windows-Admin-Tools verwendet wird, um Code aus der Ferne auszuführen. Potenzielle Angriffsaktivitäten werden in Warnungen für jeden Administrator, der seine Arbeit macht, versteckt. Jetzt beginnen die Versuche, diese Regel zu optimieren - und sie werden nie enden - vielleicht ist die Regel effektiv, vielleicht nicht. Dies ist ein Rezept für mehr blinde Flecken und mehr Burnout. Ein Rezept, bei dem der unbekannte Kompromiss die Oberhand gewinnt.
Gute ML/AI-Modelle sind der einzige Ausweg aus diesem Teufelskreis
Seit über einem Jahrzehnt erforscht, patentiert und entwickelt Vectra Sicherheits-KI, die sich darauf konzentriert, das Unbekannte auszulöschen und es nicht mit mehr, sondern mit weniger zu tun. Die Kernprämisse von Vectra Security AI konzentriert sich nicht auf das Sammeln von mehr Daten, sondern auf das Sammeln und Analysieren der richtigen Daten auf die richtige Weise.
Durch das Sammeln der richtigen Daten und ihre Analyse auf die richtige Weise können Sicherheitsteams mit weniger Tools, weniger Arbeit und in kürzerer Zeit mehr erreichen. Wir von Vectra glauben, dass KI/ML Sicherheitsteams in die Lage versetzen sollte, drei einfache Dinge effektiv und effizient zu tun, um die unbekannte Bedrohung zu beseitigen:
- Denken Sie wie ein Angreifer, um über Signaturen und Anomalien hinaus das Verhalten der Angreifer zu verstehen und die TTPs der Angreifer über die gesamte Cyber-Kill-Chain hinweg aufzuspüren.
- Erkennen Sie, was bösartig ist, indem Sie die für Ihre Umgebung typischen Erkennungsmuster analysieren, um relevante Ereignisse zu erkennen und das Rauschen zu reduzieren.
- Konzentrieren Sie sich auf das Dringende, indem Sie die Bedrohungen nach Schweregrad und Auswirkung anzeigen, so dass sich die Analysten auf die Reaktion auf kritische Bedrohungen konzentrieren und das Geschäftsrisiko senken können.
Eingabe Attack Signal Intelligence
Das einzige "Mehr", das die Sicherheit braucht, ist mehr Attack Signal Intelligence
Attack Signal Intelligence ist für die Unbekannten das, was Threat Intelligence für die Bekannten ist. Im Gegensatz zu anderen "KI"-Ansätzen, die nach einfachen Anomalien suchen, um den Sicherheitsteams mitzuteilen, was anders ist, sagt Vectra Attack Signal Intelligence den Sicherheitsteams, was wichtig ist.
Wir tun dies, indem wir mit einer Reihe von Modellen, die mit einem Verständnis der TTPs der Angreifer programmiert wurden, kontinuierlich auf die Verwendung von Angreifermethoden achten (think MITRE ATT&CK) und mit der Fähigkeit, Ihr einzigartiges Umfeld zu erlernen. Anschließend lassen wir die Ergebnisse durch eine weitere KI-Ebene laufen, die das Verständnis Ihrer Umgebung in ihrer Gesamtheit mit Bedrohungsmodellen und menschlicher Bedrohungsintelligenz kombiniert, um automatisch die Bedrohungen zu erkennen, die für Ihr Unternehmen am wichtigsten sind. Das Ergebnis ist, dass unsere Kunden 85 % effizienter bei der Identifizierung tatsächlicher Bedrohungen sind und eine >2fach höhere Produktivität der Sicherheitsabläufe erreichen.
Wenn Bedrohungsintelligenz der Sicherheit das Vertrauen gibt, das Bekannte zu entschärfen, dann gibt Angriffssignalintelligenz der Sicherheit das Vertrauen, das bisher Unbekannte zu entschärfen. Mit Vectras patentiertem Attack Signal Intelligence können Sicherheitsteams das Unbekannte auslöschen, den Spieß gegen Angreifer umdrehen und die Welt sicherer und gerechter machen.
Das ist unsere Verpflichtung.
Weitere Informationen darüber, wie wir unseren Auftrag erfüllen, finden Sie in diesen Ressourcen:
- Vectra Security-AI-gesteuert Attack Signal Intelligence - So funktioniert es
- Vectra Attack Signal Intelligence Lösung Kurzbeschreibung
- Vectra Plattform zur Erkennung von und Reaktion auf Bedrohungen
- Weißbuch: Die KI hinter Vectra AI