Von reaktiver zu proaktiver Cybersecurity

Von Richard Werner, Trend Micro

Cyberkriminalität ist ein globales Geschäft und die Angreifer sind heute keine Einzeltäter mehr, sondern in einer hochprofessionellen Schattenindustrie organisiert. Sie nutzen Cloud-Ressourcen und As-a-Service-Angebote, was sie zu effizienten und weltweit vernetzten Akteuren macht. Neben monetär motivierten Cybercrime-Organisationen sehen wir – bedingt durch die angespannte geopolitische Lage  – verstärkt auch staatlich gesponserte Gruppierungen, die das Ziel verfolgen, die Gesellschaft zu destabilisieren. IT- oder IT-Security-Teams sind mit einer wachsenden Angriffsfläche und einer Flut an Warnmeldungen konfrontiert, die es erschwert, kritische Indikatoren zu erkennen. Dazu kommen neue regulatorische Anforderungen. Künstliche Intelligenz (KI) bietet ihnen verschiedene Unterstützungs- und Automatisierungsmöglichkeiten.

LLMs als Übersetzer

In der Praxis kommen in der Cybersicherheit zwei Arten von KI-Modellen zum Einsatz. Zum einen gibt es die traditionelle, kategorisierende KI, die überall dort benutzt wird, wo es um Datenanalyse und die Auswertung von Sicherheitsinformationen geht. Zum anderen gibt es generative KI, die aus bestehenden Informationen beziehungsweise Daten Neues erstellt. Hierunter fallen Large Language Models (LLMs), die sich in der Cybersicherheit besonders dafür eignen, technische Informationen in natürliche Sprache und verständliche Anweisungen zu übersetzen.

Insgesamt unterstützen beide Kategorien dabei, komplexe Angriffsflächen im Blick zu behalten, Risiken zu bewerten, Schwachstellen proaktiv zu schließen und im Ernstfall schnell zu reagieren. In Trend Micro XDR korreliert und analysiert KI etwa die Warnmeldungen sämtlicher angeschlossener Security-Systeme. So werden False Positives minimiert und Mitarbeiter sehen in einer zentralen Konsole auf einen Blick, ob die IT-Umgebung angegriffen wird und welche Systeme betroffen sind.

Maschinelles Lernen kann Anzeichen für Cyberangriffe verhaltensbasiert erkennen und auch bisher unbekannte Bedrohungen aufdecken – im Gegensatz zu traditionellen, patternbasierten Verfahren. Außerdem kommen Machine Learning, Deep Learning und Computer Vision beispielsweise zum Einsatz, um Phishing-Mails herauszufiltern oder Deepfakes als ungebetene Gäste in Videokonferenzen zu identifizieren. LLMs übernehmen währenddessen die Rolle des Übersetzers und helfen Mitarbeitern dabei, komplexe technische Informationen leichter zu verstehen und schnell die richtigen Handlungsempfehlungen zu finden.

Spezialisierte KI-Agenten

Aktuell geht die Branche den nächsten Entwicklungsschritt hin zu spezialisierten KI-Agenten, die wie virtuelle Security-Mitarbeiter selbstständig Aufgaben übernehmen und sich ins Team integrieren. Die Integration einer proaktiven Cybersecurity-KI bedeutet dabei wesentlich mehr als ein Chatbot-Interface. Konkret beinhaltet sie die Sammlung spezialisierter LLM-Modelle, Datensätze, Machine Learning, Sprachverarbeitung sowie KI-Agenten, die mit umfassender Sicherheitsexpertise in den Feldern Bedrohungsanalyse und Schwachstellenforschung trainiert wurden.

Es gibt dabei einen wichtigen Unterschied zwischen rohen LLMs und den um sie herum aufgebauten KI-Agenten: Basismodelle wie GPT-4o von OpenAI oder Sonnet, Opus und Haiku von Anthropic sind rohe LLMs, die in der Lage sind, Benutzeranfragen zu beantworten. Im Gegensatz dazu bauen LLM-gesteuerte KI-Agenten wie ChatGPT und Claude auf diesen Basismodellen auf, um komplexere Systeme mit Funktionen wie Codeausführung, Speichererhaltung und Internet-Browsing-Fähigkeiten zu schaff en. Teamarbeit beinhaltet in diesem Kontext also einen LLM-gesteuerten KI-Agenten, der ein System aus vielen miteinander verbundenen Modulen ist.

Ein Beispiel für spezialisierte Cybersecurity-KI-Agenten sind sogenannte „Cybersecurity Digital Twins“. Solche KI-Agenten erstellen eine virtuelle Simulation der individuellen IT-Umgebung, die kontinuierlich mit Daten des Originalobjekts oder -systems aktualisiert wird. In dieser können die Aktivitäten realer Angreifer imitiert und die Risikoexposition in Echtzeit berechnet werden. Dabei lernen die Agenten dynamisch dazu. Auf diese Weise können Sicherheitsverantwortliche ihre Verteidigungsstrategie durch eine unbegrenzte Anzahl von Tests an einer Simulation kontinuierlich validieren und optimieren  – ganz ohne Ressourcen des aktiven Security-Systems zu verbrauchen oder Störungen zu verursachen. Dank der durch KI-Agenten gewonnenen Fähigkeit, Aktionen von Angreifern vorherzusehen, können Unternehmen mit einem proaktiven Security-Ansatz schneller sein als ihre Gegner.

KI-Architekturen erfordern eine dynamische Absicherung

KI-Workloads sind nicht mehr CPU-zentriert, sondern GPU-basiert. Sie führen neue Architekturschichten ein, sind datengetrieben und verändern sich kontinuierlich. Auch die Cybersicherheit muss sich daher dynamisch ausrichten und KI-Modelle, den Datenfluss sowie deren Infrastrukturen laufend überwachen. So lassen sich neue, KI-spezifische Risiken wie Data Poisoning oder Adversarial Attacks mindern, die darauf abzielen, KI-Modelle zu kompromittieren oder sensible Daten zu extrahieren. Wichtig ist, Sicherheit in alle Ebenen der KIInfrastruktur zu integrieren und die gesamte Lieferkette zu berücksichtigen – von der Hardware über die Cloud-Umgebung und Schnittstellen zu Drittsystemen bis zum Foundation-Modell und Nutzerinterface. Die Voraussetzung dafür schaff t eine integrierte, KI-gestützte Cybersecurity-Plattform wie Trend Vision One.

Die intelligente Security-Schaltzentrale

Ein Plattformansatz stellt sicher, dass sämtliche Security-Systeme und KI-Agenten nahtlos interagieren und auf die bestmögliche und aktuelle Datenbasis zugreifen können. Alle sicherheitsrelevanten Informationen laufen einheitlich auf einer Plattform zusammen und Sicherheitsprozesse werden zentral gemanagt. Das reduziert die Komplexität in der Administration erheblich und schaff t umfassende Transparenz über Aktivitäten, Risiken und Bedrohungen in der gesamten IT-Umgebung. Trend Vision One basiert auf einer agentischen KI-Architektur, die als eine der Kernkomponenten einen Cybersecurity Digital Twin bereitstellt.

Das intelligente Cyber-Gehirn hinter der Plattform ist Trend Cybertron, ein speziell für die Cybersecurity entwickeltes LLM. Dieser Ansatz in Kombination mit der umfassenden Abdeckung von E-Mail-, Netzwerk-, Endpunkt und KI-Sicherheitsdomänen macht eine einheitliche Security-Plattform zu einem unverzichtbaren Bestandteil moderner Sicherheitsarchitektur in Unternehmen.

Trend Cybertron wird auch als Open-Source-Lösung bereitgestellt, sodass Sicherheitsforscher auf der ganzen Welt von dem spezialisierten KI-Modell profitieren und daran mitwirken können. Typische Anwendungsfälle für die Open-Source-Lösung sind unter anderem die Verbesserung bestehender Security-Tools mit fortschrittlichen KI-Funktionen, die Entwicklung zugeschnittener Sicherheitsanwendungen mit spezifischen Cybersecurity-Modellen und die Integration in DevSecOps-Pipelines zur automatischen Sicherheitsbewertung.

Die Zukunft ist proaktiv und KI-gestützt

Die goldene Regel der Cybersicherheit bleibt: Während sich Bedrohungslandschaften, IT-Infrastrukturen und Software-Architekturen weiterentwickeln, muss auch die Security Schritt halten. Reaktive Cybersicherheit ist schon lange nicht mehr zeitgemäß. Mit einer proaktiven Sicherheitsstrategie, die das Potenzial von KI-Agenten ausschöpft, können Unternehmen Risiken vorausschauend mindern und auch künftige Herausforderungen meistern.

Entscheidend für die Wirksamkeit ist ein einheitlicher Plattformansatz, der Security-Daten, -Systeme und -KI-Modelle zusammenführt und zentral steuert. So lassen sich die nötige Transparenz, Effizienz und Voraussicht erzielen, um mit der Verteidigung proaktiv den wachsenden Anforderungen zuvorzukommen.