Aufgrund der ständig wachsenden Cyber-Bedrohungslage, insbesondere durch Ransomware, spielen Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) eine zunehmend wichtige Rolle in der Cyber Security – auch in Security Operations Centers (SOC). Allerdings ist ihre Wirksamkeit ohne menschliche Expertise nicht vollständig gewährleistet. Wir zeigen Ihnen in diesem Blogbeitrag, welche Möglichkeiten, Limitationen und auch Risiken sich durch KI und ML ergeben.
Obwohl viele Unternehmen den Ernst der Lage erkannt haben und zunehmend in Cyber-Sicherheitsmassnahmen investieren, steigt die Anzahl Cyber-Angriffe konstant an. Ransomware stellt dabei eine besonders bedrohliche und häufige Angriffsform dar. Eine besorgniserregende Entwicklung ist das Aufkommen von Geschäftsmodellen wie Ransomware-as-a-Service, bei dem Cyber-Kriminelle Ransomware-Infrastrukturen und -Tools an Dritte vermieten oder verkaufen, um ihnen die Durchführung von Angriffen zu erleichtern. Cyber-Angriffe und Cybercrime sind zu einem wirtschaftlich hochlukrativen Geschäft geworden. Dahinter stecken professionelle Organisationen. Dies zeigt auch ein Blick in die von unserem CSIRT (Computer Security Incident Response Team) bearbeiteten Sicherheitsvorfälle: Während wir vor einigen Jahren rund 40 Cybervorfälle pro Jahr bearbeitet haben, waren es im Jahr 2023 mit 260 mehr als sechsmal so viel! Dies bedeutet eine Steigerung von 65% im Vergleich zum Jahr 2022.
Der Nutzen von Künstlicher Intelligenz und Maschinellem Lernen im Security Operations Center
Als Konsequenz der zunehmenden Vorfälle von Ransomware werden Incident Response (IR) Teams, wie unseres bei InfoGuard, immer häufiger benötigt. Sie fungieren als eine Art «Cyber-Feuerwehr», die in der digitalen Welt zur Stelle ist, wenn es brennt – und das geschieht nicht gerade selten. Fakt ist, dass Cyber-Angriffe kaum noch verhindert werden können und früher oder später jedes Unternehmen angegriffen wird. Ziel sollte daher sein, Angriffe frühzeitig erkennen und abwehren zu können. Das bedingt in der Regel eine Rund-um-die-Uhr-Überwachung in Form eines Security Operations Centers (SOC), was für viele Unternehmen jedoch aus Gründen wie hohen Kosten, Fachkräftemangel oder fehlendem Know-how schwer umsetzbar ist.
Hier bieten Managed Security Service Provider (MSSP), die entsprechende Services aus einem spezialisierten SOC anbieten, eine wertvolle Unterstützung. Sie nehmen nicht nur Zeit- und Ressourcen-aufwändige Aufgaben ab, sondern verfügen auch über umfangreiche Erfahrung, Kenntnisse und Tools um Angriffsmuster schneller zu erkennen und proaktiv handeln zu können. Doch was hat das mit Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) zu tun?
Intelligenz hoch zwei in Security Operations Centers
Ein grosser Vorteil von dedizierten Security Operations Centers: Die Mitarbeitenden sind nicht mit den operativen IT-Aufgaben eines Unternehmens beschäftigt, sondern kümmern sich mit vollem Fokus um die Erkennung, Abwehr und Analyse potenzieller Cyber-Angriffe – und darauf, ihre Verfahren und Techniken kontinuierlich zu verbessern. Daher beschäftigen sich SOCs wie das Cyber Defence Center von InfoGuard intensiv mit aktuellen Technologien wie Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML), testen diese auf «Bits und Bytes» und setzen sie gezielt bei ihrer Arbeit ein. Solche Tools sammeln umfangreiche Daten aus verschiedenen Fällen, was nicht nur die Erkennung und Einschätzung von Bedrohungen optimiert, sondern auch Handlungsempfehlungen und Hintergrundinformationen liefert. Darüber hinaus ist es möglich, Reaktionen auf Angriffe wie das Blockieren verdächtiger IP-Adressen zu automatisieren.
Angesichts der zunehmenden Cyber-Angriffe und des Fachkräftemangels sind KI und ML in Zukunft unverzichtbar. Allerdings ist auch Vorsicht geboten. So hat sich zum Beispiel gezeigt, dass ML-Algorithmen, wie im Fall des Sprachmodells ChatGPT, manchmal umgangen werden können. Daher können auch intelligente Tools den Menschen nicht vollumfänglich ersetzen – können aber gewisse Aufgaben viel schneller erledigen. Menschliche Fähigkeiten wie Erfahrung, kontextbezogenes Verständnis, Intuition, die Überwachung und Pflege von Tools sowie die Kommunikation und Zusammenarbeit mit anderen Teams sind unverzichtbare Stärken, die auch in Zukunft von grosser Bedeutung sind.
Menschliche und künstliche Expertise intelligent kombiniert
Die Entwicklungen sind insbesondere im Bereich Ransomware weiterhin besorgniserregend. Obwohl Unternehmen dank professioneller Hilfe seltener Lösegelder zahlen, setzen Cyber-Kriminelle ihre Geschäftsmodelle fort. Das CTI- Team der InfoGuard beobachtet seit einiger Zeit, dass Kriminelle sich verstärkt mit gestohlenen Daten beschäftigen. Dadurch können sie mehr Druck auf Unternehmen ausüben. Zusätzlich nehmen Angriffe auf Infrastrukturen über OT-Netze zu.
Darknet-Untersuchung durch das Threat-Intelligence-Team
Aktuelle Analysen unseres CSIRT zu gestohlenen Zugangsdaten sind besorgniserregend. Damit Ihrem Unternehmen ein solcher Angriff erspart bleibt, empfehlen wir Ihnen mittels einer Darknet-Überprüfung nach allfällig entwendeten und auf Darknet-Marktplätzen feilgebotenen Credentials zu suchen. Interessiert? Mehr Informationen finden Sie hier:
Cyber-Angriffe stellen eine ernsthafte Bedrohung dar: sowohl für Unternehmen als auch für die Gesellschaft. Dennoch gibt es Möglichkeiten Ihren Betrieb zu schützen – wie die genannte Unterstützung durch einen Managed Security Service Provider. Und weil Vorsorge besser als Nachsorge ist, lohnt es sich, entsprechende Massnahmen frühzeitig zu treffen. Ein kombinierter Ansatz, der menschliche Expertise mit Künstlicher Intelligenz sowie Maschinellem Lernen vereint, kann helfen, Angriffe in Zukunft schneller zu erkennen, um gezielt und unmittelbar darauf zu regaieren.
Wenn Sie mehr Beiträge rund um die neuesten Trends, Innovationen und Technologien aus der Cyber Security erfahren möchten, abonnieren Sie jetzt unsere Blog-Updates. So bleiben Sie stets up-to-date.