Netzwerkdatenverkehr: Analyse durch KI und Sicherheitsexperten

Netzwerkdatenverkehr: Analyse durch KI und Sicherheitsexperten
Anzeige

Beitrag teilen

Es gibt zwei Arten von Cyberangriffen: Automatisierte opportunistische Versuche, in ein Netzwerk einzudringen und gezielte Advanced-Persistent-Threat (APT)-Attacken. Erstere sind in der Mehrzahl und Künstliche Intelligenz (KI) kann einen Großteil automatisiert abblocken. Hinter einer APT stehen aber oft Menschen. Wer sich gegen solche Angriffe auf Netzwerkebene verteidigen will, benötigt sowohl KI als auch Sicherheitsexperten.

Am frühesten zeigen sich die Hacker durch die Spuren ihrer Malware im Netzwerk. Diese anomalen Muster im Datenverkehr gehen in der Menge an Informationen aber leicht verloren. Auf sich allein gestellt ist der menschliche IT-Verantwortliche überfordert, wenn er sie erkennen soll.

Anzeige

Erkennen ist eine Sache, aber

Künstliche Intelligenz leistet einen wichtigen Abwehrbeitrag, erkennt Anomalien im Datenverkehr in Echtzeit anhand der Metadaten und schlägt dann Alarm, um Abwehrreaktionen auslösen zu lassen. KI und eine automatisierte Cyberabwehr können 90 Prozent der Sicherheitsvorfälle auf Tier-1-Level automatisch erkennen und die Abwehr initiieren – so das Urteil der Experten von Splunk.

Es bleibt die Frage: Was ist mit den verbleibenden zehn Prozent? Da hinter komplexen Angriffen oft noch menschliche Täter stehen, sind für eine zukunftssichere Abwehr sowohl die menschliche Logik als auch das menschliche Urteilsvermögen bei der Analyse von Informationen essenziell.

Anzeige
WatchGuard_Banner_0922

Mehrwert durch menschliche IT-Sicherheitsanalysten

Keine Cyberabwehr kommt mehr ohne KI aus. Aber die menschlichen Beobachter bieten immer noch ein wichtiges Plus:

1. AI und menschliche Intelligenz ergänzen sich

Eine mit Machine Learning (ML) und Threat Intelligence optimierte KI kann große Mengen an Informationen schnell und ohne Fehler analysieren. Der IT-Sicherheitsexperte baut darauf auf und interpretiert die Muster des Datenverkehrs. Zugleich leitet er anhand erprobter Abläufe die Abwehr. Er ist zudem durch seine Kenntnis des Unternehmens und der IT ein wichtiger Coach der AI. Hier beschleunigt er die Definition normaler und damit legitimer Datenübertragungen – unter anderem durch das Taggen IT-sicherheitskritischer Systeme. Er berücksichtigt zusätzlich solche Informationen, die im Netzverkehr nicht sichtbar sind: Wenn etwa Geräte vorhanden, aber nicht zentral verwaltet sind, oder wenn ein Unternehmen einen neuen Sitz aufbaut, was Anfragen mit bis dahin ungewöhnlichen IP-Adressen erklärt. Oder wenn es neue Technologien, Anwendungen und damit Systeme implementiert.

2. Informationen im Kontext bewerten

Künstliche Intelligenz ist ein statistischer Ansatz. Da es für das Erkennen, die Abwehr und die Prävention von Gefahren Zusammenhänge braucht, die über Einzeldaten hinausgehen, spielt der Mensch und seine Urteilsfähigkeit eine wichtige Rolle. Konkretes Unternehmenswissen hilft zum Beispiel dann, wenn ein von einem Unternehmen beauftragter IT-Dienstleister plötzlich in einem Subnetz agiert, für das er überhaupt keinen Auftrag hat. Selbst wenn das Datenverkehrsmuster zunächst unauffällig erscheint, so weist das Überschreiten der Kompetenzen eventuell auf einen kompromittierten IT-Dienstleister hin und ist zu überprüfen.

3. Die nächsten Schritte des Hackers vorwegnehmen

Komplexe Advanced Persistent Threats (APT) sind immer noch Menschenwerk. Hinter Phishing-Angriffen auf wichtige Personen im Unternehmen stehen oft keine Spambots, sondern menschliche Social-Engineering-Profis, die durch einen gezielt gesendeten Mail-Anhang ins Netz gelangen. KI erkennt dann, dass ein menschlicher Angreifer sich im Netz zu schaffen macht. Die individuelle Taktik des Hackers bildet sich nicht durch statistische Indikatoren ab. Um die nächsten Schritte des Angreifers vorwegzunehmen, kann sich ein erfahrener Sicherheitsanalyst in den Hacker hineinversetzen und seine nächsten Schritte voraussehen.

4. Gesamtheitliche Tätermotivation erfassen

Eine Cyberabwehr muss die Motive eines Kriminellen berücksichtigen. Nicht jeder Angreifer will Daten entwenden, verschlüsseln und Lösegeld erhalten. Hacker haben verschieden Motive: Das Kapern von Ressourcen, um Bitcoins zu schürfen, eine vielleicht politisch oder persönlich motivierte Sabotage oder einfach die Lust am Zerstören. Somit darf eine Abwehr nicht nur Daten sichern oder Informationslecks schließen. Eine nachhaltige Reaktion verlangt ein Verständnis der menschlichen Psychologie.

5. Relevante und priorisierte Sicherheit anstatt Abwehr-Automatismen

Ein IT-Sicherheitsanalyst priorisiert Risiken individuell für ein Unternehmen. Dabei erfolgt die Wahl der Abwehr je nach Kontext: Handelt es sich um wiederbeschaffbare Daten, die möglicherweise gar keinen Wert mehr für das Unternehmen haben oder um die vielzitierten Kronjuwelen? Daraus resultierende Fragen nach einer zur Situation passenden Abwehr angesichts der Relevanz von Daten oder Prozessen für den Geschäftserfolg kann eine KI nicht beantworten.

Zudem hat der Analyst den Blick für branchentypische Angriffe. Greifen Hacker den e-tailer X aktuell mit einer Malware an, ist nicht ausgeschlossen, dass sie es danach bei Konkurrent Y und Z versuchen. Eine KI, die nur das eigene Netz im Blick hat, sieht ein solches Risiko nur, wenn eine hochaktuelle Threat Intelligence sie unterstützt.

6. Abwehr leiten und Kollateralschäden vermeiden

🔎 KI und Sicherheitsanalysten arbeiten zusammen an einer zukunftssicheren Abwehr gegen gefährliche Angriffe (Bild: ForeNova).

Eine KI hat große Stärken im Erkennen einer Gefahr und kann eine Abwehr automatisch starten. Jede Abwehr hat jedoch Nebenwirkungen und kann IT- oder Geschäftsabläufe beeinträchtigen. Die Abwehr ist unter Umständen nicht weniger komplex und folgenreich als die APT. Somit sind hier Sicherheitsanalysten gefragt, weil sie die Folgen des Handelns berücksichtigen und abwägen können. Nicht zu rechtfertigende Kollateralschäden, wie etwa das Blockieren eines IoT-gesteuerten Gebäudezugangs oder von IT-Systemen in der Krankenpflege, kann die menschliche Expertise vermeiden.
Beim Nachbereiten eines Angriffes kommt einem Sicherheitsanalysten dann eine wichtige beratende Rolle zu. Er kann anhand einer gespiegelten Aufzeichnung des gesamten Netzwerkes forensisch nachvollziehen, was passiert ist und wie Angriffe in Zukunft verhindert werden können.

KI und Sicherheitsexperten sind aufeinander angewiesen

IT-Sicherheit ohne KI gehört der Vergangenheit an. Dennoch wird der Sicherheitsexperte nicht überflüssig. Er bleibt relevant als kontinuierlicher Interpret von Alarmen, als Betreuer in Krisensituationen und als Berater für eine zukunftssichere IT-Sicherheit. Jede „Detection and Response“ ist idealerweise von einer „Managed Detection and Response“ ergänzt.

Mehr bei ForeNova.com

 


Über ForeNova

ForeNova ist ein US-amerikanischer Cybersicherheitsspezialist, der mittelständischen Unternehmen preiswerte und umfassende Network Detection and Response (NDR) anbietet, um Schäden durch Cyberbedrohungen effizient zu mindern und Geschäftsrisiken zu minimieren. ForeNova betreibt das Rechenzentrum für europäische Kunden in Frankfurt a. M. und konzipiert alle Lösungen DSGVO-konform. Die europäische Zentrale befindet sich in Amsterdam.


 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen