Sicherheitsanalysten im Wandel der Zeit
Künstliche Intelligenz ist das Thema der Stunde – auch im Kontext der Cybersicherheit. Die Technologie schlägt zwar bereits seit Langem als Herz in vielen Anwendungen aus diesem Bereich, doch die aktuellen Entwicklungen eröffnen viele neue Möglichkeiten. So viele, dass KI auch den Arbeitsalltag und das Anforderungsprofil von Sicherheitsanalysten nachhaltig verändern wird.
Wer die Medienlandschaft in den vergangenen Monaten beobachtet hat, könnte auf die Idee kommen, künstliche Intelligenz (KI) sei quasi wie der Phönix aus der Asche gestiegen. Doch gerade im Kontext der Cybersicherheit sind maschinelles Lernen und KI-Algorithmen seit Jahren fester Bestandteil von Cybersecurity-Tools – wenn auch nicht so prominent wie aktuell: Sie bilden beispielsweise die Grundlage für heuristische Verfahren, mit denen herkömmliche Anti-Viren-Software Malware entlarvt. Ohne diese Anwendungen stünden Sicherheitsanalysten auf verlorenem Posten. Dieses Beispiel zeigt, wofür KI bis vor Kurzem noch vorrangig eingesetzt wurde – nämlich die Threat-Detection, also das Aufspüren von Schwachstellen, Schadsoftware oder auch Phishing-Versuchen.
Einsatz über den Tellerrand der Threat-Detection hinaus
Sicherheitsanalysten und Managed-Detection-and-Response-( MXDR)-Experten, die ihren Nutzern ein Security-Operations-Center (SOC) zur Verfügung stellen, nutzen Künstliche Intelligenz heute allerdings deutlich breiter gefächerter. Jedoch beginnt der Lebenszyklus eines Security-Incidents bereits lange vor einer Intervention durch menschliche Analysten. Es kann durchaus vorkommen, dass ein Sicherheitsvorfall von einem KI-Tool bearbeitet oder einfach geschlossen wird, bevor ein Analyst eingreifen muss. Dieser Prozess setzt jedoch voraus, dass eine Cybersecurity-Anwendung überhaupt dazu in der Lage ist, Incidents anhand von Mustern zu erkennen. Dafür sorgen neben regelbasierten Detektoren oft auch Machine-Learning-Modelle. Gleichzeitig ist es aber auch wichtig, dass die eingesetzte KI einen echten Sicherheitsvorfall (True Positive) von einem scheinbaren (False Positive) oder einem echten, aber im bestimmten Kontext ungefährlichen Incident (Benign Positive) unterscheiden kann.
Damit die KI zu dieser Unterscheidung und dem automatisierten Abarbeiten von Security Incidents in der Lage ist, müssen ihre Entwickler sie mit Daten füttern. Die einfachste Methode dafür ist, sie mit Analyse-Tools zu koppeln, also etwa mit einer Security Information-and-Event-Management-(SIEM)-Plattform, in der sämtliche sicherheitsrelevante Informationen zusammenlaufen. Diese Daten stammen unter anderem von Endpoint-Detection-and-Response-(EDR)-Anwendungen, Anti-Viren-Software oder anderen Security-Apps und liefern den Kontext von Incidents. Sie enthalten zudem Informationen darüber, wie Security-Analysten vergangene Incidents bearbeitet haben, wodurch die KI Einblick in deren Arbeitsweise erhält. Durch jeden von Analysten manuell bearbeiteten und geschlossenen Incident wird die KI also mit trainiert und besser in der Entscheidungsfindung.
Priorisierung, Bewertung und Reporting
Die Unterscheidungsfähigkeit zwischen Benign beziehungsweise True Positives und False Positives ist auch für eine Priorisierung von Security-Incidents wichtig. Sollte die Sicherheitsanwendung die Notwendigkeit einer Intervention durch menschliche Fachkräfte erkennen, kann eine entsprechend trainierte KI die Vorfälle je nach individuellem Bedrohungspotenzial mit einem Ranking versehen. Dafür nutzen professionelle SOCs oder MXDR-Anbieter in der Regel interne KI-Tools, die sie für den eigenen Gebrauch entwickeln. Diese Anwendungen nutzen Daten aus vergangenen Incidents und vergleichen einen akuten Vorfall mit den bis zu diesem Zeitpunkt von der SIEM-Plattform erfassten Verhaltensweisen von Usern oder Devices. Aus den gesammelten Informationen berechnen sie einen Score, der die Wahrscheinlichkeit eines True Positive anzeigt.
Neben dem Score können die KI-Tools, sofern sie mit einer passenden Funktionalität ausgestattet sind, für True Positives automatisiert einen sogenannten Executive Summary anfertigen. Darunter verstehen Sicherheitsanalysten eine Zusammenfassung aller Informationen, die die KI des Cybersecurity-Tools aus der Untersuchung erhalten hat. Der Executive Summary enthält etwa Kommentare, die Cybersecurity-Experten während der Analyse schreiben, oder Logs der Aktionen, die sie im Zuge der Untersuchung durchführen. Vorteilhaft ist dieses Verfahren vor allem deshalb, weil es die Effizienz des gesamten Reporting-Prozesses steigert: Security-Analysten sind per se selten gute Verfasser von eingängigen und leicht verständlichen Berichten und viele tun sich damit schwer. Für die Prüfung der Berichte auf deren Qualität hin, also die klassische Quality Assurance, sind sie allerdings bestens ausgebildet. Der KI-Support ist an dieser Stelle insbesondere für MXDR-Dienstleister hervorragend geeignet, um die Nutzer konsistent über kritische Security-Incidents zu informieren, ohne zu viel Zeit auf diese Aufgabe verwenden zu müssen.
Eine weitere Möglichkeit, die Effizienz eines SOCs zu steigern, ist der Einsatz von KI für die Kritikalitätsbeurteilung. Werden Unternehmen von MXDR-Anbietern unterstützt, ist Kommunikation das A und O. Dennoch kann es vorkommen, dass Unternehmen kritische Assets beim initialen Onboarding oder bei deren Zukauf nicht klar benennen. Das ist der Tatsache geschuldet, dass IT-Infrastrukturen in der Regel komplex sind und sich gerade im Cloud-Zeitalter häufig dynamisch verändern. Tief in die Sicherheitsinfrastruktur integriert, können entsprechend trainierte KI-Tools aber auch diese Problematik einfach lösen. Dann erkennen sie zum Beispiel umgehend einen neuen Domänen-Controller oder Backup-Server und informieren das SOC des MXDR-Anbieters.
Die Zukunft heißt Prävention und GenAI
Neben den jeweiligen Einsatzmöglichkeiten für KI im Zuge der Threat-Detection und Response wird sich in Zukunft vieles um die Threat-Prevention drehen. Zu den sinnvollen Präventionsmaßnahmen, die KI-Tools bieten, gehört zum Beispiel die Verbesserung der sogenannten Security Posture. Gemeint ist, dass künstliche Intelligenz in Echtzeit sämtliche Endpunkte im Blick behält und Vorschläge zu deren Absicherung macht. In diesem Zusammenhang kann ein entsprechend trainiertes KI-Tool bei der Priorisierung potenzieller Schwachstellen helfen. So sind Security-Teams in der Lage, große Lücken schneller zu schließen und die Konfiguration der Systeme bei Bedarf on the fly anzupassen.
Und auch generative KI (GenAI), wie sie nun auf dem Vormarsch ist, verändert in Form von digitalen Assistenten wie dem Microsoft Copilot for Security die Sicherheitslandschaft. Als Teil von Security-Tools schlägt sie zum Beispiel automatisch verschiedene Response-Modelle bei Incidents vor, ohne auf spezielle Anwendungsfälle trainiert worden zu sein. Auch Chatbots, die – angebunden an die relevanten Datenquellen wie die EDR- und SIEM-Anwendungen – quasi wie ein geschulter Kollege agieren und Antworten auf Suchanfragen in natürlicher Sprache geben, sind heute bereits im Einsatz. Auf die Frage „Hatten wir in den letzten Wochen Log-ins von ungewöhnlichen Locations“ präsentiert die KI dann die gewünschten Informationen auf dem sprichwörtlichen Silbertablett – eine gute Sache und auch wertvoll im Hinblick auf manuelles Threat-Hunting.
KI verändert das Job-Profil von Sicherheitsanalysten
Praktisch alle genannten Möglichkeiten, die uns KI heute und in Zukunft bietet, haben neben dem primären Ziel, die Sicherheit zu erhöhen, ein weiteres, nämlich die Security-Teams zu entlasten. Sicherheitsanalysten und IT-Teams leiden schon heute durch leistungsstarke Anti-Viren-, EDR- und SIEM-Tools unter der „Alert Fatigue“: Ständig schlagen die Programme Alarm und verlangen den Security-Spezialisten alles ab. Der allgegenwärtige Fachkräftemangel macht überdies auch vor der IT-Branche nicht halt und verschärft die angespannte Lage noch weiter. Und auch die immer komplexeren Systeme im Bereich Cybersecurity und die sich allgemein zuspitzende Sicherheitslage machen es zukünftig obligatorisch, künstliche Intelligenz vermehrt zur Abwehr einzusetzen – es geht gar nicht anders.
Das führt in zweiter Instanz dazu, dass sich das Job-Profil von Sicherheitsanalysten mittel- bis langfristig verändern wird. In Zukunft wird ein gutes Verständnis von KI-Tools und gegebenenfalls sogar das Wissen, Machine-Learning- und KI-Anwendungen selbst zu schreiben, fest in das vorausgesetzte Portfolio an Fähigkeiten von Cybersecurity-Spezialisten eingehen. Oder in anderen Worten: Der Security-Analyst von morgen wird in jedem Fall ein hohes Maß an KI-Kompetenz benötigen, um seine Arbeit auf höchstem Niveau zu erledigen. Obsolet, wie einige vielleicht befürchten, wird der Beruf natürlich nicht: KI wird den Menschen auf absehbare Zeit nicht vollständig ersetzen können. Aber sie wird, wenn sie auf einer soliden Datenbasis beruht, den Bereich der Cybersicherheit in vielerlei Hinsicht verändern – und zwar zum Besseren.
Theus Hossmann ist CTO bei Ontinue.