{"id":25274,"date":"2023-11-03T12:00:38","date_gmt":"2023-11-03T11:00:38","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=25274"},"modified":"2023-10-25T12:09:37","modified_gmt":"2023-10-25T10:09:37","slug":"automatisierung-von-netzwerk-und-sicherheit-durch-ki-anwendungen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=25274","title":{"rendered":"Automatisierung von Netzwerk und Sicherheit durch KI-Anwendungen"},"content":{"rendered":"\n

Autor\/Redakteur: Thomas Maxeiner, Regional Sales Executive bei Palo Alto Networks<\/a>\/gg<\/p>\n\n\n\n

Sicherheitsteams m\u00fcssen ihre Denkweise in Richtung umfassender Automatisierung umstellen. KI und Automatisierung beschleunigen die Erkennung, was letztendlich zu mehr Sicherheit f\u00fchrt. Das Security Operations Center (SOC) ist dabei der Ausgangspunkt f\u00fcr den effektiven Einsatz von KI, um die heutige Bedrohungslage bew\u00e4ltigen zu k\u00f6nnen.<\/p>\n\n\n\n

\"\"<\/a>
Quelle: Palo Alto Networks<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

F\u00fcr Unternehmen, die seit mehreren Jahren ein SOC betreiben, stellt sich die Frage: Wie k\u00f6nnen sie noch mehr Wert schaffen und von der Investition profitieren? Angesichts zunehmender Cyberbedrohungen werden SOCs immer ressourcenintensiver. Die Suche nach hochqualifizierten Sicherheitsanalysten wird durch den chronischen Fachkr\u00e4ftemangel in der IT \u2013 und speziell IT-Sicherheit \u2013 zugleich immer schwieriger. In der Zwischenzeit agieren die Angreifer immer versierter und anspruchsvoller. F\u00fcr Unternehmen bedeutet dies, dass sie verst\u00e4rkt auf Automatisierung setzen m\u00fcssen, um die Leistung ihrer SOCs zu verbessern. <\/p>\n\n\n\n

SOCs haben ihren Ursprung in Networking Operation Centers (NOCs), die auch f\u00fcr die IT-Sicherheits\u00fcberwachung im Unternehmen zust\u00e4ndig waren. Zeitgleich sind weitere funktionsspezifische Gruppen wie Computer Emergency Response Teams (CERTs) f\u00fcr die Reaktion auf Sicherheitsvorf\u00e4lle und forensische Untersuchungen sowie Cyber Defense Centers (CDCs) f\u00fcr die Analyse und Bewertung von Bedrohungen entstanden. In den heutigen SOCs verbringen Analysten viel Zeit mit der Behandlung bekannter Bedrohungen \u2013 und zu wenig mit der Suche nach neuen Bedrohungen und der Abwehr gezielter Angriffe. Mittels intelligenter Automatisierung der sich wiederholenden Aufgaben k\u00f6nnen SOC-Analysten Zeit gewinnen, um die Cybersicherheit auf intelligentere Weise anzugehen.<\/p>\n\n\n\n

Es gibt drei Stufen von Bedrohungen, denen SOCs typischerweise begegnen. Am einfachsten zu bew\u00e4ltigen sind die bekannten Bedrohungen wie Malware, W\u00fcrmer und Viren, f\u00fcr die es Patches gibt, um sie abzuwehren. Dann folgen die etwas anspruchsvolleren Malware- und Zero-Day-Angriffe, die immer h\u00e4ufiger werden. Das SOC kann diese ohne allzu gro\u00dfe Schwierigkeiten verhindern, indem es sich an Best-Practice-Richtlinien h\u00e4lt. Auf der anderen Seite des Spektrums befinden sich besonders ausgefeilte Bedrohungen. Dies sind gezielte Angriffe, bei denen kriminelle Gruppen oder von feindlich gesinnten Staaten engagierte Gruppen aufwendige Angriffe \u00fcber mehrere Wochen oder Monate durchf\u00fchren. Auf die Abwehr dieser gezielten Angriffe sollte der Schwerpunkt eines SOC liegen.<\/p>\n\n\n\n

Herausforderungen f\u00fcr SOCs<\/strong><\/p>\n\n\n\n

SOC-Analysten gehen mit Bedrohungen um, indem sie die in einem Playbook dargestellten Prozesse verfolgen. Sie werden dabei \u00fcber die Schritte informiert, die sie durchf\u00fchren m\u00fcssen, um einen Angriff zu stoppen. Dies kann ganz mechanisch erfolgen. Die Analysten durchlaufen dabei die gleichen vier oder f\u00fcnf Schritte, ohne zwischen einfachen und schweren Angriffen zu unterscheiden. Dies liegt an den gro\u00dfen Mengen an Bedrohungsinformationen aus automatisierten Pr\u00e4ventionsfunktionen wie Firewalls und Endpunktschutz-Programmen, die es zu verarbeiten gilt. Wenn diese Pr\u00e4ventionsprogramme laufen, produzieren sie eine Vielzahl von Bedrohungsdaten aus dem gesamten Netzwerk, die es manuell zu analysieren gilt. SOCs k\u00f6nnen sich daher schnell von der Vielzahl der zu verarbeitenden Warnmeldungen \u00fcberfordert sehen. <\/p>\n\n\n\n

Ein gezielter Angriff erfolgt oft in mehreren Phasen und k\u00f6nnte mit einer Speer-Phishing-Kampagne beginnen. Das bedeutet, dass die Angreifer Mails von einer bekannten Adresse senden, um einen Benutzer dazu zu bringen, auf einen Link zu klicken und Malware herunterzuladen. Diese E-Mails werden verwendet, um sich Zugang zu einem Netzwerk zu verschaffen und auszukundschaften, bevor ein l\u00e4nger anhaltender Angriff stattfindet. Ein SOC-Analyst befolgt typischerweise die gleichen Playbook-Regeln, um dies zu beheben, wie bei weniger anspruchsvollen Angriffen. Besser ist es, die einfachen Prozesse zu automatisieren und mehr Zeit mit den anspruchsvollen Aufgaben der gezielten Angriffe und der Bedrohungssuche zu verbringen.<\/p>\n\n\n\n

Die Kurzschlussreaktion der meisten Unternehmen besteht darin, immer mehr Analysten in das SOC aufzunehmen, um sich mit der wachsenden Anzahl von Warnungen auseinanderzusetzen. Eine effektivere M\u00f6glichkeit, mit dieser Daten\u00fcberlastung umzugehen, besteht jedoch darin, alle diese Pr\u00e4ventionsprogramme zusammenzufassen, sodass die Daten in einem zentralen Dashboard zusammenlaufen. Dadurch werden die Bedrohungen zentral in diejenigen eingeteilt, die einfach zu handhaben sind \u2013 und von automatisierten Systemen bew\u00e4ltigt werden k\u00f6nnen \u2013 und solche, die menschliche Eingriffe erfordern.<\/p>\n\n\n\n

SOC der n\u00e4chsten Generation<\/strong><\/p>\n\n\n\n

Low-Level-Bedrohungen lassen sich gut automatisieren durch die Abbildung der im SOC-Playbook beschriebenen Prozesse. Wenn ein Sicherheitsanbieter beispielsweise eine Cyberbedrohung f\u00fcr ein gro\u00dfes Finanzberatungsunternehmen entdeckt, sendet er in der Regel eine Warnmeldung an \u00e4hnlich gro\u00dfe Unternehmen der Branche. Nach Erhalt der Benachrichtigung durchsuchen deren SOC-Analysten ihre Netzwerke, um Dateien mit \u00e4hnlichen Merkmalen wie bei der Bedrohung zu finden. Wenn sie solche Dateien finden, k\u00f6nnen sie das Problem l\u00f6sen, wahrscheinlich mit einem Patch. <\/p>\n\n\n\n

Bei einem SOC der n\u00e4chsten Generation erfolgt diese Bedrohungsaufkl\u00e4rung automatisiert. Ein Sicherheitsanbieter, der eine m\u00f6gliche Bedrohung entdeckt, sendet die Informationen an das SOC des Kundenunternehmens. Das SOC scannt automatisch das Netzwerk des Unternehmens, um zu sehen, ob die betreffende Datei in das System gelangt ist. Wenn es eine Infektion mit der Datei identifiziert, nimmt es das betroffene Ger\u00e4t aus dem Netzwerk, benachrichtigt den SOC-Analysten und \u00f6ffnet ein Ticket, um diese Bedrohung zu bearbeiten. Dies alles sollte innerhalb von Sekunden nach der Entdeckung geschehen, und nicht erst in den Stunden, die ein herk\u00f6mmliches SOC hierf\u00fcr ben\u00f6tigt. Bei einem zeitgem\u00e4\u00dfen SOC sollte das Team von der Flie\u00dfbandarbeit auf niedriger Ebene befreit werden, um sich auf die \u00dcberwachung von Bedrohungen zu konzentrieren, bevor sie auftreten. So gelingt es, gezielte Angriffe schneller zu identifizieren und zu bew\u00e4ltigen.<\/p>\n\n\n\n

Ein modernes SOC nutzt Sicherheitsservices zur Bedrohungserkennung und Reaktion auf Bedrohungen (Incident Response). Sicherheitsfunktionen wie Bedrohungsanalyse (Threat Intelligence), Bedrohungsverfolgung (Threat Hunting), SIEM-Tools (Security Information and Event Management) und Tools zur Analyse von Aktivit\u00e4ten im Netzwerk. Unterst\u00fctzende L\u00f6sungen f\u00fcr Governance und Compliance sind ebenfalls im Einsatz.<\/p>\n\n\n\n

Gleichzeitig sehen sich Organisationen mit steigenden operativen Kosten konfrontiert. Palo Alto Networks Cortex XSIAM als technologisch integrierte und konsolidierte SOC-Plattform kann diese signifikant reduzieren und bessere Sicherheitsergebnisse erreichen.<\/p>\n\n\n\n

Dynamische Bedrohungslandschaft erfordert ganzheitlichen Ansatz<\/strong><\/p>\n\n\n\n

In der heutigen, dynamischen Bedrohungslandschaft kommen herk\u00f6mmliche Ans\u00e4tze der Cybersicherheit an ihre Grenzen. Die Angriffsvektoren in IT-, IoT-, OT- und mobilen Umgebungen sind kaum noch \u00fcberschaubar, dazu gesellen sich Insiderbedrohungen und gezielte Angriffe auf kritische Anlagen. Gefragt ist daher ein ganzheitlicher Ansatz, der alle sicherheitsrelevanten Teams und Umgebungen umfasst. Die bisherige Aufteilung der Sicherheitsaufgaben hat zu Silostrukturen gef\u00fchrt, mit schlecht oder gar nicht integrierten punktuellen Tools und L\u00f6sungen. Ebenso mangelte es an der Integration und Zusammenarbeit von Teams und Abteilungen. Die Datenflut aus verschiedenen Quellen macht Sicherheitsanalysten zu schaffen, w\u00e4hrend sie nach verwertbaren Informationen suchen. <\/p>\n\n\n\n

Eine zeitgem\u00e4\u00dfe integrierte SOC-Plattform macht sich maschinelle Intelligenz und Automatisierung zunutze, um die Sicherheit deutlich zu verbessern und das manuelle SecOps-Modell zu modernisieren. Eine solche L\u00f6sung verwandelt die Telemetrie einer weit verbreiteten Infrastruktur in eine intelligente Datengrundlage, um mithilfe von KI-basierter Analyse die Reaktion auf Bedrohungen erheblich zu beschleunigen. So gelingt es Unternehmen, der heutigen Bedrohungslandschaft einen Schritt voraus zu sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsteams m\u00fcssen ihre Denkweise in Richtung umfassender Automatisierung umstellen. KI und Automatisierung beschleunigen die Erkennung, was letztendlich zu mehr Sicherheit f\u00fchrt. Das Security Operations Center (SOC) ist dabei der Ausgangspunkt f\u00fcr den effektiven Einsatz von KI, um die heutige Bedrohungslage bew\u00e4ltigen zu k\u00f6nnen.<\/p>\n","protected":false},"author":81,"featured_media":25276,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,10036],"tags":[2206,12976,13515,8843,2735,1426,1411],"class_list":["post-25274","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-kuenstliche-intelligenz","tag-automatisierung","tag-cdc","tag-cert","tag-noc","tag-palo-alto-networks","tag-siem","tag-soc"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=25274"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25274\/revisions"}],"predecessor-version":[{"id":25277,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25274\/revisions\/25277"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/25276"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=25274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=25274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=25274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}