Eine einheitliche Linie gegen Cyber-Bedrohungen ist gefragter denn je. Dabei können KI-gestützte Assistenten helfen, die in eine übergreifende Incident Response-Strategie sowie EDR- und E-Mail-Sicherheit integriert sind. Intelligente Systeme erlauben es einem Sicherheitsteam, im gesamten Spektrum der Cyber-Sicherheit schneller und effizienter zu arbeiten. Das gilt für die eigentliche Bedrohungsabwehr ebenso wie beim Thema Kostensenkung.
Heutzutage lauern hinter jeder digitalen Ecke Cyber-Bedrohungen. Da überrascht es kaum, dass der Schutz sensibler Unternehmensdaten auf der Prioritätenliste ganz oben steht. Die Reaktion auf Vorfälle, das Abschwächen der potenziellen Folgen und ein übergreifendes Cyber-Sicherheits-Management sind wichtige Eckpfeiler, um digitale Ressourcen zu schützen. Hier kommen KI-basierte Sicherheitswächter ins Spiel.
Bevor in die Welt der KI-basierten Assistenten vertieft wird, sollte man mehr über die unverzichtbare Rolle der Incident Responder wissen. Dabei handelt es sich um engagierte Fachleute und die erste Verteidigungslinie bei einem Sicherheitsvorfall. Sie untersuchen Warnhinweise, identifizieren Bedrohungen und ergreifen umgehend Maßnahmen zur Schadensbegrenzung.
Im Bereich der Cyber-Sicherheit kommt es fast ausnahmslos auf die Geschwindigkeit an. Je schneller Bedrohungen analysiert und entschärft werden, desto größer sind die Chancen, den Schaden gering(er) zu halten. Dies belegt einmal mehr der letztjährige IBM Cost of a Data Breach Report. Die Kosten einer Datenschutzverletzung hängen ganz erheblich davon ab, wieviel Zeit ein Unternehmen braucht, den Vorfall aufzudecken und einzudämmen.
Die durchschnittlichen Kosten einer Sicherheitsverletzung, die innerhalb von weniger als 200 Tagen aufgedeckt und eingedämmt wird, belaufen sich nach Angaben der Analysten auf 3,93 Millionen Dollar. Mit jedem weiteren Tag steigen die Kosten bis in eine Höhe von geschätzten 4,95 Millionen Dollar – ein Unterschied von 23 Prozent, aber auch eine potenzielle Kostenersparnis von 1,02 Millionen Dollar.
Incident Response Teams verlassen sich in erster Linie auf Tools wie Endpoint Detection and Response (EDR) und Schutzmaßnahmen gegen E-Mail-Bedrohungen. Zu den größten Herausforderungen für Cyber-Sicherheitsexperten zählt die Analyse von Sicherheitsvorfällen. Unabhängig davon, ob es darum geht, sie in den EDR-Protokollen eines Unternehmens zu finden oder die Legitimität einer verdächtigen E-Mail zu entschlüsseln, solche Untersuchungen sind ausnahmslos zeit- und ressourcenaufwändig. Denn herkömmliche Incident-Response-Prozesse beinhalten häufig eine Reihe manueller Aufgaben.
Schneller auf Sicherheitsvorfälle reagieren
KI-basierte Tools nutzen das Potenzial der natürlichen Sprachverarbeitung (Natural Language Processing, NLP) für die Cyber-Sicherheit. Um die Funktionsweise zu verstehen, sollte man sich das folgende Szenario vorstellen:
Es wird ein Sicherheitsalarm ausgelöst, der auf eine mögliche Verletzung der Systeme hinweist. Die Analyse und Reaktion auf einen Alarm können Stunden, wenn nicht Tage dauern. Mit einem KI-basierten Tool haben Incident Responder die Möglichkeit, auf Basis eines NLP-Modells mit den Alarminformationen zu interagieren. Und dies sowohl in Bezug auf die EDR als auch bei der E-Mail-Sicherheit. Sicherheitsexperten können Fragen stellen, Klarstellungen erbitten und sofort für beide Szenarien kontextbezogene Antworten bekommen. Generell versprechen NLP-basierte KI-Tools einige Vorteile:
- EDR-Untersuchungen verbessern: Wenn es um den Umgang mit EDR-Alerts geht, verspricht die Nutzung von KI-Technologie effizientere und gründlichere Analysen. Sie gestattet es, große Mengen von Endpunktdaten schnell zu analysieren und zu korrelieren sowie entsprechende Erkenntnisse daraus zu ziehen und datengestützte Entscheidungen zu treffen. KI-gestützte EDR-Untersuchungen helfen, Sicherheitsvorfälle zu erkennen, zu untersuchen und darauf zu reagieren. Letztendlich führt das zu einer grundlegenden Verbesserung der Sicherheitslage.
- Passwortsicherheit optimieren: Angesichts einer wachsenden Zahl von Cyberangriffen, sollte man dem Posteingang besondere Aufmerksamkeit widmen und E-Mails auf verdächtige Inhalte, Anhänge und Links hin überprüfen. KI-gesteuerte Assistenten zeichnen sich durch ihre Fähigkeit aus, Phishing-Versuche und bösartige Links zu identifizieren und schützen so vertrauliche Informationen.
- Informationen synthetisieren und zusammenfassen: KI-gestützte Sicherheitsassistenten sind in der Lage, große Datenmengen aus verschiedenen Quellen, wie EDR und E-Mail-Sicherheit, zusammenzufassen und einen Vorfall umfassend und detailliert darzustellen. Manuell würde dieser Prozess erheblich mehr Zeit und Mühe erfordern. Durch die Analyse und Zusammenstellung der Daten lassen sich die Ursachen eines Vorfalls zügig ermitteln, das Schadensausmaß eingrenzen und geeignete Vorkehrungen gegen zukünftige Bedrohungen ergreifen.
- Schnell und effizient reagieren: Einer der wichtigsten Vorteile einer automatisierten Vorfallsreaktion besteht darin, dass man den Wiederherstellungsprozess rationalisieren kann. Laufen bestimmte Aufgaben automatisiert ab, beschleunigt das den kompletten Prozess von der Bedrohungserkennung bis zur Beseitigung. Dies bedeutet, dass sich die mittlere Zeit bis zur Wiederherstellung (die sogenannte Mean Time To Repair (MTTR) verkürzt, die Gesamtkosten für die Untersuchung sinken und Schäden begrenzen lassen.
- Versteckte Bedrohungen aufdecken: KI ist zudem fähig, Erkenntnisse zu gewinnen und Zusammenhänge herzustellen, die sonst vielleicht verborgen geblieben wären. Das betrifft EDR-Daten wie E-Mail-Kommunikation.
- Personalisierte Sicherheitsschulung für Mitarbeiter: KI-Sicherheitsassistenten unterstützen Firmen dabei, Testszenarien zum Thema Phishing, Assessments und individuelle Inhalte zu entwickeln. Personalisierte Schulungen sind das Mittel der Wahl, die Belegschaft einzubeziehen und Mitarbeiter dauerhaft für das Thema Cyber-Sicherheit zu sensibilisieren. Die entsprechenden Tools ermitteln auf der Grundlage von Lernfortschritten, der jeweiligen Position im Unternehmen und der Sensibilität der zu verarbeitenden Daten, welche Schulungsinhalte, Assessments oder Prüfungen am besten geeignet sind. KI-gestützte Advisor helfen etwa dabei, einzuschätzen, welche Phishing-Vorlagen das beste Ergebnis (d. h. eine höhere Klick- und Melderate) erzielen. Aber auch Administratoren und Führungskräfte profitieren von KI. So lassen sich beispielsweise Branchenvergleiche bezüglich der Anfälligkeit für Phishing ermitteln.
Jörn Koch, VIPRE Security Group