Netzwerkdatenverkehr: Analyse durch KI und Sicherheitsexperten

Netzwerkdatenverkehr: Analyse durch KI und Sicherheitsexperten
Anzeige

Beitrag teilen

Es gibt zwei Arten von Cyberangriffen: Automatisierte opportunistische Versuche, in ein Netzwerk einzudringen und gezielte Advanced-Persistent-Threat (APT)-Attacken. Erstere sind in der Mehrzahl und Künstliche Intelligenz (KI) kann einen Großteil automatisiert abblocken. Hinter einer APT stehen aber oft Menschen. Wer sich gegen solche Angriffe auf Netzwerkebene verteidigen will, benötigt sowohl KI als auch Sicherheitsexperten.

Am frühesten zeigen sich die Hacker durch die Spuren ihrer Malware im Netzwerk. Diese anomalen Muster im Datenverkehr gehen in der Menge an Informationen aber leicht verloren. Auf sich allein gestellt ist der menschliche IT-Verantwortliche überfordert, wenn er sie erkennen soll.

Anzeige

Erkennen ist eine Sache, aber

Künstliche Intelligenz leistet einen wichtigen Abwehrbeitrag, erkennt Anomalien im Datenverkehr in Echtzeit anhand der Metadaten und schlägt dann Alarm, um Abwehrreaktionen auslösen zu lassen. KI und eine automatisierte Cyberabwehr können 90 Prozent der Sicherheitsvorfälle auf Tier-1-Level automatisch erkennen und die Abwehr initiieren – so das Urteil der Experten von Splunk.

Es bleibt die Frage: Was ist mit den verbleibenden zehn Prozent? Da hinter komplexen Angriffen oft noch menschliche Täter stehen, sind für eine zukunftssichere Abwehr sowohl die menschliche Logik als auch das menschliche Urteilsvermögen bei der Analyse von Informationen essenziell.

Anzeige

Mehrwert durch menschliche IT-Sicherheitsanalysten

Keine Cyberabwehr kommt mehr ohne KI aus. Aber die menschlichen Beobachter bieten immer noch ein wichtiges Plus:

1. AI und menschliche Intelligenz ergänzen sich

Eine mit Machine Learning (ML) und Threat Intelligence optimierte KI kann große Mengen an Informationen schnell und ohne Fehler analysieren. Der IT-Sicherheitsexperte baut darauf auf und interpretiert die Muster des Datenverkehrs. Zugleich leitet er anhand erprobter Abläufe die Abwehr. Er ist zudem durch seine Kenntnis des Unternehmens und der IT ein wichtiger Coach der AI. Hier beschleunigt er die Definition normaler und damit legitimer Datenübertragungen – unter anderem durch das Taggen IT-sicherheitskritischer Systeme. Er berücksichtigt zusätzlich solche Informationen, die im Netzverkehr nicht sichtbar sind: Wenn etwa Geräte vorhanden, aber nicht zentral verwaltet sind, oder wenn ein Unternehmen einen neuen Sitz aufbaut, was Anfragen mit bis dahin ungewöhnlichen IP-Adressen erklärt. Oder wenn es neue Technologien, Anwendungen und damit Systeme implementiert.

2. Informationen im Kontext bewerten

Künstliche Intelligenz ist ein statistischer Ansatz. Da es für das Erkennen, die Abwehr und die Prävention von Gefahren Zusammenhänge braucht, die über Einzeldaten hinausgehen, spielt der Mensch und seine Urteilsfähigkeit eine wichtige Rolle. Konkretes Unternehmenswissen hilft zum Beispiel dann, wenn ein von einem Unternehmen beauftragter IT-Dienstleister plötzlich in einem Subnetz agiert, für das er überhaupt keinen Auftrag hat. Selbst wenn das Datenverkehrsmuster zunächst unauffällig erscheint, so weist das Überschreiten der Kompetenzen eventuell auf einen kompromittierten IT-Dienstleister hin und ist zu überprüfen.

3. Die nächsten Schritte des Hackers vorwegnehmen

Komplexe Advanced Persistent Threats (APT) sind immer noch Menschenwerk. Hinter Phishing-Angriffen auf wichtige Personen im Unternehmen stehen oft keine Spambots, sondern menschliche Social-Engineering-Profis, die durch einen gezielt gesendeten Mail-Anhang ins Netz gelangen. KI erkennt dann, dass ein menschlicher Angreifer sich im Netz zu schaffen macht. Die individuelle Taktik des Hackers bildet sich nicht durch statistische Indikatoren ab. Um die nächsten Schritte des Angreifers vorwegzunehmen, kann sich ein erfahrener Sicherheitsanalyst in den Hacker hineinversetzen und seine nächsten Schritte voraussehen.

4. Gesamtheitliche Tätermotivation erfassen

Eine Cyberabwehr muss die Motive eines Kriminellen berücksichtigen. Nicht jeder Angreifer will Daten entwenden, verschlüsseln und Lösegeld erhalten. Hacker haben verschieden Motive: Das Kapern von Ressourcen, um Bitcoins zu schürfen, eine vielleicht politisch oder persönlich motivierte Sabotage oder einfach die Lust am Zerstören. Somit darf eine Abwehr nicht nur Daten sichern oder Informationslecks schließen. Eine nachhaltige Reaktion verlangt ein Verständnis der menschlichen Psychologie.

5. Relevante und priorisierte Sicherheit anstatt Abwehr-Automatismen

Ein IT-Sicherheitsanalyst priorisiert Risiken individuell für ein Unternehmen. Dabei erfolgt die Wahl der Abwehr je nach Kontext: Handelt es sich um wiederbeschaffbare Daten, die möglicherweise gar keinen Wert mehr für das Unternehmen haben oder um die vielzitierten Kronjuwelen? Daraus resultierende Fragen nach einer zur Situation passenden Abwehr angesichts der Relevanz von Daten oder Prozessen für den Geschäftserfolg kann eine KI nicht beantworten.

Zudem hat der Analyst den Blick für branchentypische Angriffe. Greifen Hacker den e-tailer X aktuell mit einer Malware an, ist nicht ausgeschlossen, dass sie es danach bei Konkurrent Y und Z versuchen. Eine KI, die nur das eigene Netz im Blick hat, sieht ein solches Risiko nur, wenn eine hochaktuelle Threat Intelligence sie unterstützt.

6. Abwehr leiten und Kollateralschäden vermeiden

🔎 KI und Sicherheitsanalysten arbeiten zusammen an einer zukunftssicheren Abwehr gegen gefährliche Angriffe (Bild: ForeNova).

Eine KI hat große Stärken im Erkennen einer Gefahr und kann eine Abwehr automatisch starten. Jede Abwehr hat jedoch Nebenwirkungen und kann IT- oder Geschäftsabläufe beeinträchtigen. Die Abwehr ist unter Umständen nicht weniger komplex und folgenreich als die APT. Somit sind hier Sicherheitsanalysten gefragt, weil sie die Folgen des Handelns berücksichtigen und abwägen können. Nicht zu rechtfertigende Kollateralschäden, wie etwa das Blockieren eines IoT-gesteuerten Gebäudezugangs oder von IT-Systemen in der Krankenpflege, kann die menschliche Expertise vermeiden.
Beim Nachbereiten eines Angriffes kommt einem Sicherheitsanalysten dann eine wichtige beratende Rolle zu. Er kann anhand einer gespiegelten Aufzeichnung des gesamten Netzwerkes forensisch nachvollziehen, was passiert ist und wie Angriffe in Zukunft verhindert werden können.

KI und Sicherheitsexperten sind aufeinander angewiesen

IT-Sicherheit ohne KI gehört der Vergangenheit an. Dennoch wird der Sicherheitsexperte nicht überflüssig. Er bleibt relevant als kontinuierlicher Interpret von Alarmen, als Betreuer in Krisensituationen und als Berater für eine zukunftssichere IT-Sicherheit. Jede „Detection and Response“ ist idealerweise von einer „Managed Detection and Response“ ergänzt.

Mehr bei ForeNova.com

 


Über ForeNova

ForeNova ist ein US-amerikanischer Cybersicherheitsspezialist, der mittelständischen Unternehmen preiswerte und umfassende Network Detection and Response (NDR) anbietet, um Schäden durch Cyberbedrohungen effizient zu mindern und Geschäftsrisiken zu minimieren. ForeNova betreibt das Rechenzentrum für europäische Kunden in Frankfurt a. M. und konzipiert alle Lösungen DSGVO-konform. Die europäische Zentrale befindet sich in Amsterdam.


 

Passende Artikel zum Thema

Praxisorientierte Threat Intelligence

Die heutige Bedrohungslandschaft ist geprägt von immer ausgefeilteren und schwerer erkennbaren Angriffen, die sich in rasantem Tempo weiterentwickeln. Es braucht ➡ Weiterlesen

Schwachstellendatenbank EUVD ist ein wichtiger Schritt

Die Einführung der Europäischen Schwachstellendatenbank (EUVD) durch die Agentur der Europäischen Union für Cybersicherheit (ENISA European Network and Information Security ➡ Weiterlesen

Social-Media-Anzeigen: Direktkontakt zur bösartigen KI

Recherche-Ergebnisse über die Angriffe einer vietnamesischen Hackergruppe zeigen ein neues Vorgehen: sie schalten Social-Media-Anzeigen für KI-Videogeneratoren, die allerdings zu gefährlichen ➡ Weiterlesen

Security Trends Report: Fehlende Expertise in Unternehmen

Die Cyber Security befindet sich in vielen Unternehmen in der Effizienz- und Expertise-Krise. Es wird zwar massiv investiert, aber die Infrastruktur ➡ Weiterlesen

Hacker & Spionage: Zulieferer der Bundeswehr im Fokus

Wie einige Medien und die Tagesschau berichten, steht die Bundeswehr und seine Zulieferer immer mehr im Fadenkreuz von Cyberattacken. Jüngst ➡ Weiterlesen

Risiko Identitäten: Wenn Unternehmen den Überblick verlieren

In Unternehmen kommen mehr als 80 Maschinenidentitäten auf eine menschliche Identität. Das bedeutet, dass zwei Drittel der deutschen Unternehmen ihre ➡ Weiterlesen

Forschung im Darknet: KI als Fahnder in Foren

In einem gemeinsamen, internationalen Forschungsprojekt identifizierten Sophos, die Université de Montréal und das Unternehmen Flare mit Hilfe künstlicher Intelligenz (KI) ➡ Weiterlesen

Cyberabwehr mit KI: 3 von 4 Unternehmen setzen bereits darauf 

Bei der Cyberabwehr steht KI bereits an vorderster Front: 74 Prozent der deutschen Unternehmen setzen KI bereits in der Cyberabwehr ➡ Weiterlesen