Anzeige

KI Hacker

Die KI-basierte Erkennung und Reaktion auf Bedrohungen im Netzwerk ist die zeitgemäße Antwort auf die heutige Cyberbedrohungslage. Der Kreativität der Angreifer bei einer gleichzeitig wachsenden Angriffsfläche und einem Mangel an IT-Fachkräften ist nur mit hochgradiger Automatisierung beizukommen.

Durch die massiv vorangetriebene Digitalisierung und Konnektivität in Form der Cloud, mobiler Geräte und des Internets der Dinge vergrößert sich die potenzielle Angriffsfläche zusehends. Cyberbedrohungen werden zunehmend ausgefeilter und nehmen quantitativ zu, sodass eine Flut von Alarmmeldungen bewältigt werden muss. Angesichts des sich verschärfenden Fachkräftemangels in der IT wird KI-gestützte Cybersicherheit künftig unverzichtbar sein, um den digitalen Alltag auch mit knapper Personalbesetzung zuverlässig vor Bedrohungen zu schützen.

Trotz präventiver Netzwerksicherheit verschaffen sich Angreifer immer wieder irgendwie Zugang in Unternehmensumgebungen. Cybersicherheit wird mehr denn je zum Wettlauf mit der Zeit, den viele Unternehmen bereits verloren haben. Laut M-Trends Report 2019 vergeht in Europa ein Median von 177 Tagen, bis ein bereits stattfindender Cyberangriff im Netzwerk entdeckt wird. In 44 Prozent dieser Vorfälle erfolgte eine Entdeckung erst, nachdem eine externe Partei das betroffene Unternehmen informiert hatte. Um das Schadenpotenzial zu begrenzen, müssten bösartige Aktivitäten jedoch in Echtzeit erkannt werden. Sie müssen schnell abgewehrt werden, bevor sie sich zu massiven Sicherheitsverletzungen entwickeln können.

Was KI in der Cybersicherheit heute bereits leistet

Eine moderne KI-basierte Plattform ermöglicht eine automatisierte Erkennung und Priorisierung von Bedrohungen – schnell und in einer Größenordnung, wie es selbst versierteste Fachkräfte niemals leisten könnten. Mittels KI-gestützter Analysemethoden ist es möglich, jene versteckten Angreifer zu erkennen, die sonst ungestört weiter agieren könnten. Die Funktionsweise einer KI-basierten NDR-Plattform (Network Detection and Response) beruht darauf, unveränderliche Angreiferverhaltensweisen im Verlauf des Angriffslebenszyklus zu erkennen. Hierzu zählen Command-and-Control, interne Aufklärung, seitliche Bewegung im Netzwerk und Datenexfiltration, Ransomware oder auch das Abschöpfen von Rechenressourcen für Botnets. 

Auf der KI-Plattform laufen große Mengen an reichhaltigen sicherheitsbezogenen Netzwerk- und Metadaten zusammen. Diese werden angereichert mit Sicherheitsinformationen, die mittels maschinellem Lernen generiert werden, und stehen dann verschiedenen Tools für die Erkennung und Reaktion zur Verfügung. Sensoren in der Cloud, im Rechenzentrum und in Unternehmensumgebungen extrahieren relevante Metadaten aus dem Datenverkehr, externe

Bedrohungsinformationen sowie Active Directory- (AD) und DHCP-Protokolle, die bessere Einblicke in die kompromittierten Konten liefern können.Der Datenverkehr wird dedupliziert und eine benutzerdefinierte Flow-Engine extrahiert weitere Metadaten, um das Verhalten von Angreifern zu erkennen. Für jeden Datenfluss werden die relevanten Merkmale aufgezeichnet, einschließlich Intensität, zeitlicher Abfolge, Verkehrsrichtung und Paketgröße. Jeder Datenfluss wird dann einem Host zugeordnet, anstatt durch eine IP-Adresse identifiziert zu werden. Zu den wichtigen Sicherheitselementen, die die Quelldaten anreichern, gehören Sicherheitsmuster (z.B. Beacons), Seltenheit, Verschlüsselungs-Session-Fingerabdruck-IDs, Host-IDs und jede errechnete Bedrohung, die mit Sicherheit eine gewisse Bewertung erreicht. Mehrere Angreiferverhaltensmodelle, jeweils dediziert für bestimmte Verhaltensweisen von Angreifern, ermöglichen es, Bedrohungen automatisch und in Echtzeit zu erkennen, bevor die Angriffsaktivität mehr Schaden anrichtet. Die erkannten Bedrohungen werden automatisch überprüft, nach Risikograd priorisiert und mit den gefährdeten Host-Geräten korreliert, so dass der Sicherheitsanalytiker schnell die Clients identifizieren kann, die die dringendsten Untersuchungen und Abhilfemaßnahmen erfordern.

Umfassende Automatisierung reduziert den Arbeitsaufwand erheblich

Bei einer KI-basierten NDR-Plattform reduziert die umfassende Automatisierung den Arbeitsaufwand von Sicherheitsfachkräften deutlich. Mit KI-Unterstützung können Prozesse bei der Bedrohungssuche in Minuten erledigt werden, die auf manuelle Weise Wochen oder sogar Monate in Anspruch nehmen würden. Da alle Erkennungen bereits mit verwertbarem Kontext angereichert wurden, können schlüssige Untersuchungen verdächtiger Ereignisse durchgeführt werden. Die wertvollen Zusatzinformationen sind entscheidend, um die Bedrohungsjagd erheblich zu beschleunigen. 

Mehr denn je ist es heute entscheidend, Bedrohungen in Echtzeit zu erkennen und darauf gezielt zu reagieren. Die Diskussion, ob künstliche Intelligenz und hochgradige Automatisierung Fachkräfte bald entbehrlich macht, findet auch im Umfeld der IT generell und speziell der Cybersicherheit statt. Der Einsatz einer KI-basierten Plattform macht erfahrene Sicherheitsanalysten sicherlich nicht überflüssig, sondern befreit sie von langwieriger und mühsamer Arbeit und erweitert so deren Fähigkeiten. Der Einsatz von künstlicher Intelligenz ist eine zeitgemäße und effektive Antwort auf die heutige Cyberbedrohungslage.

 

 

Andreas Müller, Regional Sales Director DACH
Andreas Müller
Regional Sales Director DACH, Vectra
Andreas Müller ist Regional Sales Director für die DACH-Region bei Vectra. Er verfügt über mehr als 15 Jahre Vertriebserfahrung im Cybersicherheitsmarkt. In früheren Funktionen leitete er den Vertrieb bei Check Point Software und zuvor bei Ivanti, ehemals Lumension, in der DACH Region. 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!