Als IT Manager Alex am Montagmorgen das Büro betritt, ist das IT Security Team bereits in Aufruhr. Das neue «Security Information and Event Management (SIEM)»-System hat über das Wochenende tausende Warnmeldungen ausgegeben. Die schiere Menge an Daten macht es fast unmöglich, zwischen echten Bedrohungen und Fehlalarmen zu unterscheiden. Weil das SIEM Sicherheitsinformationen von diversen Quellen wie Netzwerkgeräten, Servern, Datenbanken, Applikationen und Endpunkten sammelt und korreliert, erscheint die Datenmenge ohne klare Analysestrategie erdrückend. Mit anderen Worten: Eine tiefgehende Analyse ist innerhalb einer angemessenen Frist nicht möglich, um gestützt auf Warnmeldungen Sicherheitsverletzungen zu erkennen und darauf zu reagieren. Es braucht eine neue Strategie, um «Freund» von «Feind» zu unterscheiden und neue Regeln und Automatismen abzuleiten, die die Reaktionszeit verkürzen.
Machine Learning bietet dem IT Security Team eine wirkungsvolle Möglichkeit, historische Sicherheitsdaten zu analysieren und daraus Muster und Trends abzuleiten. Diese dienen wiederum dazu, Profile für normales und für ungewöhnliches Verhalten zu erstellen. So kann das Team Fehlalarme eindämmen und sich auf echte Bedrohungen konzentrieren. Generative KI erlaubt darüber hinaus, Daten in verständliche Informationen umzuwandeln. Wäre es nicht toll, sich mit einem Sicherheitssystem wie mit einem Arbeitskollegen zu unterhalten? Das IT Security Team würde fragen: «Gibt es kritische Bedrohungen, die unverzügliche Massnahmen erfordern?» Die Antwort vom System käme schnell und präzise. Es würde die grössten Risiken aufführen und gleichzeitig Massnahmen vorschlagen.
Wenn es darum geht, die Sicherheit eines Unternehmens zu gewährleisten, spielen zuverlässige Methoden zur Informationserfassung und -analyse eine Schlüsselrolle. Bewährt hat sich das Weiterleiten sicherheitsrelevanter Logs an ein SIEM-System. Dies allein verbessert die Sicherheit eines Unternehmens aber kaum, wenn es nicht in der Lage ist, die Informationen einheitlich zu korrelieren und zu verarbeiten. Der Reifegrad eines Unternehmens im Umgang mit Sicherheits-Logs lässt sich deshalb in die folgenden Kategorien einteilen:
Niedrig: Sicherheitsrelevante Logs sind nicht zentralisiert. Die Richtlinien zur Speicherung orientieren sich an einzelnen Produkten oder Projekten.
Mittel: Sicherheitsrelevante Logs werden produkt-, ressourcen- und projektübergreifend ermittelt und in einem SIEM zentralisiert. Die Aufbewahrung ist in einer Richtlinie definiert. Dieser Reifegrad ist wichtig für die forensische A-posteriori-Analyse im Fall einer schwerwiegenden Sicherheitsverletzung.
Hoch: Im SIEM ist ein Triage-Verfahren definiert und die Vorfälle sind korreliert. Bei einer Warnmeldung werden die Administratoren benachrichtigt; der Anteil falsch positiver und falsch negativer Ergebnisse ist gering.
Expert: Es besteht ein «Security Orchestration and Automated Response (SOAR)»-Prozess. Wird ein Angriff oder eine Sicherheitsverletzung entdeckt, löst dies automatisch Massnahmen aus wie eine Deaktivierung des Kontos oder die Isolierung des Endpunkts.
Der Übergang vom Reifegrad «mittel» zu «hoch» ist ein grosser Schritt. Es kann sich als komplex erweisen, die falsch positiven Ergebnisse zu verringern, ohne dass die falsch negativen zunehmen. Mit dem Aufkommen von KI haben zahlreiche Produkte ihre SIEM-Funktionen erweitert, um KI-gestützt Bedrohungen mit höherer Genauigkeit zu erkennen.
Der Reifegrad KI-basierter SIEM-Lösungen hat sich in den letzten Jahren markant erhöht.
Machine Learning wird in SIEM-Produkten schon länger eingesetzt, um die Datenaggregation zu automatisieren und Ereignisse mit weiteren Quellen zu verbinden. Dies ermöglicht es, Bedrohungen proaktiv zu erkennen und darauf zu reagieren.
KI-Modelle lernen von vergangenen Sicherheitsverletzungen und Angriffsmustern. So können potenzielle Bedrohungen vorhergesagt und erkannt werden, bevor sie auftreten, was die Folgen von Sicherheitsverletzungen deutlich entschärft.
Generative KI beginnt nun, SIEM weiter zu revolutionieren, indem sie Security-Analysten durch Interaktion mittels natürlicher Sprache dabei unterstützt, Zwischenfälle zu untersuchen, ohne komplexe Abfragen stellen zu müssen. Dies birgt das Potenzial, Analyse-Prozesse massiv zu beschleunigen. Ein weiterer Anwendungsfall ist die Automatisierung operativer Sicherheitsaufgaben wie Reaktionen auf Zwischenfälle, die auf vorkonfigurierten Strategien basieren. Generative KI kann sofortige Massnahmen vorschlagen und auch selbst einleiten, um z.B. kompromittierte Systeme zu isolieren, verdächtige IPs zu blockieren, Login-Daten von Nutzenden zurückzusetzen sowie Ausführungsberichte und Zusammenfassungen von Zwischenfällen zu erstellen.
Traditionelle, regelbasierte Systeme haben sich mittels KI zu hoch entwickelten Plattformen gewandelt. Diese bilden nun integrale Komponenten der Security-Tool-Palette grosser Cloud Provider, die Billionen weltweit gesammelter Signale nutzen, um Muster, die auf potenzielle Bedrohungen hinweisen, schneller zu erkennen und zu analysieren. Sicherheitsexperten können sich deshalb schon heute darauf einstellen, künftig mit Copiloten zu interagieren, um auf Zwischenfälle zu reagieren und Bedrohungen zu priorisieren.
Generative-KI-Lösungen im Bereich Sicherheit entwickeln sich vielversprechend, sind indes noch nicht vollständig ausgereift. Sie glänzen bei einfachen (An-)Fragen. In komplexen Fällen ist aber nach wie vor umfassendes Wissen notwendig, um die Prompts gezielt zu formulieren, Ergebnisse zu analysieren, zwischen richtig und falsch positiven Ergebnissen zu unterscheiden und die richtigen Schlüsse zu ziehen. Es wird folglich eine Interaktion zwischen Mensch und KI bleiben, bei der Sicherheitsexperten lernen müssen, wie sie ihre Prompts genau formulieren und die von der KI generierten Antworten interpretieren.