IBM丨KI in der Cybersicherheit: Das Versprechen von gestern ist jetzt Realität

Geschrieben von: Sridhar Muppidi, IBM Fellow und Chief Technology Officer, IBM Security

Quelle: MIT

Wir diskutieren seit Jahren über den Nutzen künstlicher Intelligenz (KI) für die Gesellschaft, doch erst jetzt erkennen die Menschen endlich ihre alltäglichen Auswirkungen. Aber warum jetzt? Was wird KI im Jahr 2023 wirkungsvoller denn je machen?

Erstens erhöht die Exposition der Verbraucher gegenüber neuen KI-Innovationen die Akzeptanz. Vom Songwriting und der Bildsynthese, die bisher nur vorstellbar waren, bis hin zum Schreiben von Dissertationen auf Universitätsniveau hat generative KI Einzug in unseren Alltag gehalten. Zweitens haben wir auch einen Wendepunkt auf der Reifekurve der Unternehmens-KI-Innovation erreicht – und in der Cybersicherheitsbranche kann dieser Fortschritt viel schneller erfolgen.

Die Konsumerisierung von KI und ihre Anwendung im Sicherheitsbereich schafft das Maß an Vertrauen und Effektivität, das sie braucht, um in Security Operations Centers (SOCs) echte Wirkung zu erzielen. Um mehr Licht auf diese Entwicklung zu werfen, werfen wir einen genaueren Blick darauf, wie KI-gesteuerte Technologien ihren Weg in die Hände von Cybersicherheitsanalysten finden.

Geschwindigkeit und Präzision in der Cybersicherheit durch künstliche Intelligenz steigern

Nach Jahren des Experimentierens und Verfeinerns mit realen Benutzern, gepaart mit kontinuierlichen Weiterentwicklungen der KI-Modelle selbst, sind KI-gesteuerte Cybersicherheitsfunktionen nicht mehr nur Schlagworte von Early Adopters oder einfache Muster und regelbasierte Funktionen. Die Datenmenge ist explodiert, ebenso wie die Signale und einzigartigen Erkenntnisse. Algorithmen sind ausgereifter und besser in der Lage, alle erfassten Informationen zu kontextualisieren – von verschiedenen Anwendungsfällen bis hin zu unvoreingenommenen Rohdaten. Seit Jahren warten wir auf das Versprechen der künstlichen Intelligenz.

Für Cybersicherheitsteams bedeutet dies die Fähigkeit, die Geschwindigkeit und Genauigkeit ihrer Abwehrmaßnahmen bahnbrechend voranzutreiben – und vielleicht letztendlich einen Vorteil im Kampf gegen Cyberkriminelle zu erlangen. Cybersicherheit ist eine Branche, die von Natur aus auf Geschwindigkeit und Präzision angewiesen ist, beides inhärente Merkmale der künstlichen Intelligenz. Sicherheitsteams müssen genau wissen, wo und worauf sie achten müssen. Sie sind auf die Fähigkeit angewiesen, sich schnell zu bewegen. In der Welt der Cybersicherheit sind Geschwindigkeit und Präzision jedoch nicht garantiert, da die Branche vor allem von zwei Herausforderungen geplagt wird: einem Fachkräftemangel und einer Datenexplosion aufgrund der Komplexität der Infrastruktur.

Die Realität ist, dass die begrenzte Zahl der Menschen, die heute in der Cybersicherheit arbeiten, eine unendliche Zahl von Cyberbedrohungen in sich trägt. Laut einer IBM-Studie sind die Verteidiger bei weitem zahlreicher als die, die auf Cybersicherheitsvorfälle reagieren – 68 Prozent der Befragten, die auf Cybersicherheitsvorfälle reagieren, gaben an, dass es üblich sei, auf mehrere Vorfälle gleichzeitig zu reagieren. Darüber hinaus fließen mehr Daten durch das Unternehmen als je zuvor und Unternehmen werden immer komplexer. Edge Computing, IoT und Remote-Anforderungen verändern moderne Geschäftsarchitekturen und schaffen ein Labyrinth erheblicher blinder Flecken für Sicherheitsteams. Wenn diese Teams nicht „sehen“ können, können ihre Sicherheitsmaßnahmen nicht präzise sein.

Die heutige hochentwickelte künstliche Intelligenz kann dabei helfen, diese Hindernisse zu überwinden. Aber um effektiv zu sein, muss die KI Vertrauen gewinnen – deshalb müssen wir Schutzmaßnahmen um sie herum errichten, um zuverlässige Sicherheitsergebnisse zu gewährleisten. Wenn man zum Beispiel der Geschwindigkeit zuliebe zu schnell fährt, führt das zu einer außer Kontrolle geratenen Geschwindigkeit, die zu Chaos führt. Aber wenn KI vertrauenswürdig ist (d. h. die Daten, auf denen wir unsere Modelle trainieren, sind unvoreingenommen, die KI-Modelle sind transparent, nicht billig und erklärbar), kann sie eine zuverlässige Geschwindigkeit vorantreiben. In Kombination mit der Automatisierung kann es unsere Verteidigungshaltung erheblich verbessern – indem wir während des gesamten Lebenszyklus der Vorfallerkennung, -untersuchung und -reaktion automatisch Maßnahmen ergreifen, ohne auf menschliches Eingreifen angewiesen zu sein.

Die „rechte Hand“ des Netzwerksicherheitsteams

Ein häufiger und etablierter Anwendungsfall in der Cybersicherheit ist heute die Bedrohungserkennung, bei der KI zusätzlichen Kontext aus großen und vielfältigen Datensätzen liefert oder Anomalien in Benutzerverhaltensmustern erkennt. Schauen wir uns ein Beispiel an:

Stellen Sie sich vor, ein Mitarbeiter klickt versehentlich auf eine Phishing-E-Mail, was einen böswilligen Download auf sein System auslöst und es dem Bedrohungsakteur ermöglicht, sich seitwärts zu bewegen und heimlich in der Umgebung des Opfers zu agieren. Dieser Bedrohungsakteur versucht, alle vorhandenen Sicherheitstools in der Umgebung zu umgehen und gleichzeitig nach monetarisierbaren Schwachstellen zu suchen. Beispielsweise sind sie möglicherweise auf der Suche nach defekten Chiffren oder offenen Protokollen, um Ransomware auszunutzen und einzusetzen und so kritische Systeme als Druckmittel gegen das Unternehmen zu nutzen.

Lassen Sie uns nun die KI über dieses allgemeine Szenario stellen: Die KI wird bemerken, dass sich der Benutzer, der auf diese E-Mail geklickt hat, jetzt anders verhält. Es erkennt beispielsweise Änderungen im Benutzerfluss und seine Interaktionen mit Systemen, mit denen es normalerweise nicht interagiert. Durch die Betrachtung der verschiedenen Prozesse, Signale und Interaktionen, die stattfinden, wird die KI dieses Verhalten analysieren und in einen Kontext setzen, was statische Sicherheitsfunktionen nicht können.

Da Bedrohungsakteure digitales Verhalten nicht so einfach nachahmen können wie statische Merkmale wie die Anmeldeinformationen einer Person, machen die Verhaltensvorteile, die KI und Automatisierung den Verteidigern bieten, diese Sicherheitsfunktionen noch leistungsfähiger.

Stellen Sie sich nun dieses Beispiel multipliziert mit Hundert oder Tausend oder Zehntausenden und Hunderttausenden vor, denn das ist ungefähr die Anzahl potenzieller Bedrohungen, denen ein bestimmtes Unternehmen an einem bestimmten Tag ausgesetzt ist. Wenn man diese Zahlen mit dem heutigen durchschnittlichen SOC-Team von 3 bis 5 Personen vergleicht, sind Angreifer natürlich im Vorteil. Aber da KI SOC-Teams bei der risikogesteuerten Priorisierung unterstützt, können sich diese Teams jetzt inmitten des Trubels auf die tatsächlichen Bedrohungen konzentrieren. Darüber hinaus kann KI ihnen dabei helfen, die Untersuchung und Reaktion zu beschleunigen – beispielsweise durch automatisches systemübergreifendes Durchsuchen von Daten nach zusätzlichen Beweisen im Zusammenhang mit einem Vorfall oder durch die Bereitstellung automatisierter Arbeitsabläufe für Reaktionsmaßnahmen.

Mit der QRadar-Suite integriert IBM KI-Funktionen wie diese nativ in seine Bedrohungserkennungs- und Reaktionstechnologie. Ein bahnbrechender Faktor ist, dass diese wichtigen KI-Funktionen nun durch ein einheitliches Analyseerlebnis zusammengeführt werden, das alle Kern-SOC-Technologien umfasst und ihre Verwendung über den gesamten Event-Lebenszyklus einfacher macht. Darüber hinaus wurden diese KI-Funktionen so weit verfeinert, dass sie vertrauenswürdig sind und automatisch und ohne menschliches Eingreifen koordiniert reagieren. Beispielsweise nutzte das Managed Security Services-Team von IBM diese KI-Funktionen, um 70 Prozent der Warnungen innerhalb des ersten Nutzungsjahres automatisch zu schließen und den Zeitrahmen für das Bedrohungsmanagement um mehr als 50 Prozent zu beschleunigen.

Die Kombination aus künstlicher Intelligenz und Automatisierung bringt greifbare Vorteile in Bezug auf Geschwindigkeit und Effizienz, die die heutigen SOCs dringend benötigen. Nach jahrelangen Tests und mit zunehmender Reife können KI-Innovationen die Zeitnutzung von Verteidigern durch präzise und beschleunigte Aktionen optimieren. Je stärker KI in der gesamten Sicherheitslandschaft eingesetzt wird, desto eher wird sie die Umsetzungsfähigkeit von Sicherheitsteams steigern und die Cybersicherheitsbranche widerstandsfähiger und bereit machen, sich an alles anzupassen, was die Zukunft bringt.