5 Möglichkeiten, wie KI für mehr Sicherheit eingesetzt wird: Bedrohungserkennung und -aufklärung
Wir haben kürzlich unsere Serie darüber abgeschlossen, wie Bedrohungsakteure Technologien der künstlichen Intelligenz (KI) einsetzen, um ihre Angriffe zu verbessern und zu beschleunigen. Dieser Beitrag ist der erste einer Begleitserie zum Einsatz von KI in der Cybersicherheit. Wir beginnen diese Reihe mit Bedrohungserkennung und -aufklärung.
Bedrohungserkennung und -aufklärung arbeiten zwar eng zusammen, haben jedoch unterschiedliche Aufgaben. Sehen wir uns zunächst an, welche diese sind und wie sie funktionieren.
Bedrohungserkennung
Die Erkennung von Bedrohungen ist ein automatisierter Prozess, der Netzwerke, Anwendungen und andere Geschäftssysteme kontinuierlich auf verdächtige oder ungewöhnliche Aktivitäten überwacht, die als Bedrohung erscheinen. Hier sind einige Beispiele für Bedrohungen und Indikatoren, auf die sich die Bedrohungserkennung konzentriert:
Bedrohung: Unbefugter Zugriff
Indikatoren:
Ungewöhnliche Anmeldemuster oder Versuche, sich von einem ungewöhnlichen Ort aus anzumelden. Dies kann als Credential Stuffing, Passwort-Spraying oder ein anderer auf Anmeldeinformationen basierender Angriff erkannt werden.
Versuche, Rechte zu erweitern, auf eingeschränkte Ressourcen zuzugreifen oder sich seitlich durch ein Netzwerk zu bewegen, um auf Systeme und Server zuzugreifen. Systemeindringlinge setzen häufig sogenannte „Living off the Land“-Techniken (LotL) ein, indem sie legitime Systemtools und Hilfsprogramme verwenden, um diese Manöver durchzuführen.
Bedrohung: Malware, Ransomware und andere bösartige Software
Indikatoren:
Ausführung von unbekannter oder nicht genehmigter Software oder plötzliche Änderungen an Netzwerkdateien. Massenänderungen der Dateiintegrität können die Folge eines Systemausfalls oder eines Cyberangriffs sein, weshalb Bedrohungserkennungssysteme bei dieser Art von Aktivität wahrscheinlich Alarm schlagen. Nicht zugelassene oder unbekannte Software stellt ein unbekanntes Risiko dar, da es sich um eine Malware-Binärdatei oder einen Freeware-Media-Player handeln kann. Mithilfe des Bedrohungserkennungssystems können Sie besser verstehen, was in Ihrem Netzwerk vor sich geht, sodass Sie Sicherheitsrichtlinien oder -konfigurationen nach Bedarf anpassen können.
Plötzliche Änderungen in der Sicherheitskonfiguration von Netzwerkendpunkten, z. B. das Deaktivieren von Firewalls und das Löschen des Virenschutzes. Viele Ransomware-Varianten enthalten Mechanismen, um die Systemsicherheit zu deaktivieren und die Entfernung der Ransomware vom System zu verhindern.
Bedrohung: Verdächtiges Netzwerkverhalten in Verbindung mit vielen Arten von Bedrohungen
Indikatoren:
Unbefugtes Suchen und Zuweisen von Netzwerken sind oft Vorläufer eines Angriffs. Dies wird als Netzwerkaufklärung bezeichnet und bedeutet in der Regel, dass versucht wird, offene Ports, Schwachstellen oder andere potenzielle Einstiegspunkte zu finden. Systeme zur Erkennung von Bedrohungen merken in der Regel jeden umfassenden Netzwerk-Scan, egal ob es sich um einen internen oder internetbasierten Scan des Netzwerkrandes handelt.
Große Datenübertragungen oder ungewöhnliche Spitzen im Netzwerkverkehr deuten in der Regel auf Datendiebstahl hin. Spitzen im Datenverkehr und bei der Ressourcennutzung können auch auf Botnet-Aktivitäten hinweisen, wie etwa Kryptomining oder Denial-of-Service-Angriffe.
Funktionen zur Erkennung von Bedrohungen sind in Endpoint Detection and Response (EDR), Intrusion Detection Systems (IDS) und ähnlichen Technologien enthalten. Der effektive Einsatz dieser Systeme hilft IT-Teams, Sicherheitsvorfälle frühzeitig zu erkennen und einzudämmen.
Threat Intelligence
Threat-Intelligence-Systeme erfassen und analysieren Informationen zu Bedrohungen und geben diese in einem zugänglichen und umsetzbaren Format aus. Die Informationen aus Threat-Intelligence-Systemen können proprietär für einen Anbieter sein oder in einem offenen Format für alle Systeme und Stakeholder freigegeben werden. Die gewonnen Bedrohungsdaten helfen, die Bedrohungslandschaft zu verstehen und aufkommende Bedrohungen zu erkennen. Dies wiederum kann als Grundlage für Sicherheitsbudgets, Kaufentscheidungen, Personalplanung, Business-Continuity-Planung und andere von Cyberbedrohungen betroffene Strategien dienen.
Intelligence-Systeme erfassen Daten aus verschiedenen Quellen:
Open-Source-Intelligence (OSINT) bezieht sich auf öffentlich verfügbare Daten. Quellen dafür können Social-Media-Plattformen, Nachrichtenagenturen, öffentliche Aufzeichnungen und Regierungswebsites, Foren, Blogs und alles andere sein, was als Open Source definiert ist.
Überwachung des Dark-Web: Das Dark-Web ist ein Teil des Internets, auf den Sie nur mit spezieller Software wie The Onion Router zugreifen können, um versteckte Websites zu erreichen. Das Dark-Web ist besonders für seine Anonymität und Privatsphäre bekannt und es beherbergt viele kriminelle Websites wie Ransomware-Leakseiten und Verbrechensforen.
Technische Daten (TECHINT): Diese Art von Erkenntnissen konzentriert sich auf technische Aspekte wie Kompromittierungsindikatoren (Indicators of Compromise, IoC), bösartige IP-Adressen und Taktiken, Techniken und Verfahren (TTPs). Technische Daten stammen aus Malware-Analysen, Sandboxes, Bedrohungsmeldungen und -berichten sowie anderen technischen Datenquellen. IDS, IPS und andere Systeme zur Erkennung von Bedrohungen liefern manchmal diese Art von Bedrohungsdaten.
Human Intelligence (HUMINT): Menschliche Quellen liefern Kontext und Erkenntnisse, die über technische Quellen möglicherweise nicht zugänglich sind. Diese Informationen können von Informanten, durch Überwachung, durch verdeckte Ermittlungen der Strafverfolgungsbehörden oder durch die Zusammenarbeit mit anderen Geheimdienstquellen stammen. Globale Bemühungen wie die Operation Cronos sind Beispiele für den Austausch menschlicher Informationen zwischen Strafverfolgungsbehörden.
Signalaustausch: Hiermit ist der Austausch von Bedrohungsinformationen zwischen Sicherheitsanbietern, Regierungsbehörden und anderen Branchenbeteiligten gemeint. Das „Signal“ kann jede menschliche oder technische Erkenntnis sein. Berichte zur Incident Response und Veröffentlichungen von Forschern und Analysten werden zusammen mit Daten zu Telemetrie und Schwachstellen ausgetauscht. Die gemeinsame Nutzung von Signalen erhöht die Tiefe, Genauigkeit und Aktualität von Bedrohungsinformationen erheblich.
Bei der Bedrohungsanalyse geht es darum, aus Rohdaten Informationen zum Schutz zu gewinnen. Die KI hat diesen Prozess sehr viel leistungsfähiger gemacht.
Die Rolle der KI bei der Erkennung und Aufklärung von Bedrohungen
Aus den obigen Ausführungen geht hervor, dass sich die Erkennung von Bedrohungen und die Aufklärungsarbeit zwar überschneiden und gegenseitig befruchten, aber dennoch zwei getrennte Einheiten mit unterschiedlichen Funktionen sind. Beachten Sie, dass keiner von beiden eine Incident Response (IR) ausführt, eine separate Funktion, die wir später in dieser Serie untersuchen werden. Viele Sicherheitslösungen umfassen all diese Funktionen mit einem zentralen Verwaltungs-Dashboard, das sie wie ein einziges Sicherheitsprodukt erscheinen lässt. Das ist auch die Funktionsweise von Barracuda Cloud Control und einer der Gründe, warum diese speziellen Technologien für Unternehmen jeder Größe und jedes Budgets zugänglich sind. Sie sind einfacher zu bedienen und budgetfreundlich, weil viel Automatisierung und Orchestrierung im Hintergrund abläuft. Der Anbieter kann diese Vorgänge kosteneffizient skalieren und die Einsparungen an den Kunden weitergeben.
Werfen wir nun einen Blick darauf, in welchen Bereichen die KI am leistungsfähigsten ist. Sie erinnern sich vielleicht, dass es mehrere Teilbereiche der künstlichen Intelligenz gibt, darunter maschinelles Lernen (ML) und generative KI (GenAI). So werden ML und GenAI den Funktionen zugeordnet, die wir bei der Bedrohungserkennung identifiziert haben:
Bedrohung |
Maschinelles Lernen |
Generative KI |
Unbefugter Zugriff |
Anomalieerkennung: Erkennt Abweichungen vom normalen Anmeldeverhalten. Verhaltensanalyse: Überwacht das Benutzer- und Systemverhalten, um ungewöhnliche Aktivitäten zu erkennen.
|
Simulation und Tests: Generiert synthetische Angriffsszenarien, um das Sicherheitssystem zu testen. Szenariengenerierung: Erstellt hypothetische Angriffsszenarien unter Einbeziehung von LotL-Techniken. |
Malware, Ransomware und andere Schadsoftware |
Überwachung der Dateiintegrität: Verfolgt Änderungen an der Dateiintegrität und der Softwareausführung, um Anomalien zu erkennen. Konfigurationsüberwachung: Überwacht kontinuierlich die Sicherheitskonfigurationen auf plötzliche Veränderungen, die auf Ransomware hinweisen.
|
Malware-Simulation: Simuliert die Ausführung von Malware und nicht zugelassener Software, um Systeme zu trainieren. Simulation eines Ransomware-Angriffs: Simuliert Ransomware-Angriffe, um Systeme auf deren Erkennung zu trainieren. |
Verdächtiges Netzwerkverhalten im Zusammenhang mit vielen Arten von Bedrohungen |
Analyse des Netzwerkverkehrs: Analysiert den Netzwerkverkehr, um nicht autorisierte Scan- und Mapping-Aktivitäten zu erkennen. Verkehrsanalyse: Überwacht den Netzwerkverkehr, um ungewöhnliche Spitzen zu identifizieren, die auf bösartige Aktivitäten hinweisen. |
Aufklärungssimulation: Simuliert das Scannen und Zuordnen von Netzwerken, um die Erkennungsfunktionen zu testen. Generierung synthetischer Daten: Erstellt Szenarien für große Datenübertragungen an Testerkennungssysteme. |
Und hier etwas Ähnliches für die Erfassung und Analyse von Daten tun:
Methode |
Maschinelles Lernen |
Generative KI |
Open-Source-Intelligence (OSINT) |
Datenaggregation und -filterung: Verarbeitung riesiger Datenmengen zur Identifizierung relevanter Bedrohungsdaten. Stimmungsanalyse: Analyse der Stimmung in sozialen Medien und Foren. Mustererkennung: Identifizieren von Mustern und Anomalien in großen Datensätzen. |
Inhaltsgenerierung: Simulation potenzieller Bedrohungsszenarien. Datenerweiterung: Generieren synthetischer Daten für das Training. Automatisierte Zusammenfassung: Erstellen Sie prägnante Zusammenfassungen von Berichten und Artikeln. |
Überwachung des Dark Web |
Anomalieerkennung: Identifizierung ungewöhnlicher Aktivitäten oder Trends. Erkennung von Entitäten: Extrahieren und kategorisieren von Entitäten aus Dark Web Foren und Marktplätzen. Verhaltensanalyse: Verfolgen und Analysieren des Verhaltens von Bedrohungsakteuren. |
Bedrohungsemulation: Simulation des Verhaltens von Bedrohungsakteuren. Inhaltssynthese: Erstellen detaillierter Berichte und Warnmeldungen. Übersetzung und Interpretation: Übersetzen und Kontextualisieren von Informationen aus dem Dark Web. |
Technische Aufklärung (TECHINT) |
Malware-Analyse: Klassifizierung und Analyse von Malware-Proben. Bedrohungserkennung: Verbesserung der Bedrohungserkennung und -reaktion in Echtzeit. Predictive Analytics: Vorhersage neuer Bedrohungen. |
Automatisierte Berichterstellung: Erstellen detaillierter technischer Berichte. Simulation von Angriffen: Modellierung und Simulation von Cyberangriffen. Tool-Entwicklung: Unterstützung bei der Entwicklung neuer Analysetools. |
Human Intelligence (HUMINT) |
Datenkorrelation: Korrelation von Daten aus menschlichen Quellen mit anderen Geheimdienstquellen. Mustererkennung: Identifizierung von Mustern in von Menschen bereitgestellten Daten. Vorhersagende Einblicke: Nutzung historischer HUMINT-Daten zur Vorhersage zukünftiger Bedrohungen. |
Szenariengenerierung: Erstellen potenzieller Bedrohungsszenarien. Sprachverarbeitung: Interpretation und Zusammenfassung von Geheimdienstberichten. Interaktive Assistenten: Unterstützung der Analysten bei der Verarbeitung und Analyse. |
Signalfreigabe |
Datenintegration: Integration und Korrelation von Bedrohungsdaten aus verschiedenen Quellen. Analytik in Echtzeit: Verarbeitung gemeinsamer Signale in Echtzeit. Risikobewertung: Bewertung des Risikoniveaus gemeinsam genutzter Signale. |
Berichterstellung: Automatisierte Erstellung von Vorfallberichten und -bewertungen. Kollaborative Plattformen: Verbesserung von kollaborativen Plattformen mit Echtzeit-Zusammenfassungen. Verbesserung der Kommunikation: Verbessern Sie die Kommunikation mit aussagekräftigen Informationsberichten. |
Als Nächstes wollen wir uns ansehen, wie das alles zusammenhängt.
So schützt KI-gestützte Bedrohungserkennung und -aufklärung Ihr Unternehmen
In Ihren Bedrohungserkennungs- und Informationssystemen passieren vier wichtige Dinge:
Prädiktive Analyse: Dieser Vorgang versucht, zukünftige Bedrohungen durch die Analyse historischer Bedrohungsdaten vorherzusagen. Dabei wird ML verwendet, um aus großen Datensätzen zu lernen und komplexe Muster zu erkennen. GenAI trägt zur vorausschauenden Analyse bei, indem es historische und synthetische (gefälschte) Daten verwendet, um zukünftige Angriffsszenarien zu simulieren. Dies ist nützlich für die Vorhersage zukünftiger Bedrohungsvektoren und die Antizipation von Angriffstrends.
Verhaltensanalytik: Dies ist wie die prädiktive Analyse, konzentriert sich aber auf das Nutzerverhalten. Ungewöhnliches Benutzerverhalten kann potenzielle Bedrohungen aufdecken, die Standard-Sicherheitsprotokolle übersehen. Maschinelles Lernen automatisiert die Datenanalyse und identifiziert Anomalien, die auf eine Sicherheitsbedrohung hinweisen könnten. Diese Anomalien können sehr subtil sein und bei manuellen Überprüfungen leicht übersehen werden. GenAI modelliert normales und abnormales Verhalten, um die Analyse zu verbessern und besser zwischen harmlosen und böswilligen Aktivitäten zu unterscheiden. Verhaltensanalysen helfen Erkennungssystemen, Insider-Bedrohungen zu identifizieren und kompromittierte Konten zu identifizieren.
Anomalie-Erkennung: Diese Komponente überwacht das Netzwerk auf ungewöhnliche Muster oder Verhaltensweisen, die von der Norm abweichen. ML verbessert das System, indem es aus bekannten Daten lernt und sich im Laufe der Zeit an neue Arten von Anomalien anpasst. GenAI erstellt synthetische Anomalien, um Erkennungsmodelle zu verbessern und das System widerstandsfähiger gegen neue Bedrohungen zu machen. Hier können Zero-Day-Angriffe und ungewöhnliche Anmeldemuster erkannt werden.
Mustererkennung: Wie zu erwarten, werden hierdurch regelmäßige Muster oder Strukturen in Daten identifiziert, was bei der Klassifizierung und Erkennung bekannter Arten von Cyberbedrohungen hilft. Maschinelles Lernen automatisiert diesen Prozess und verbessert die Genauigkeit der Erkennung. GenAI erstellt neue Muster für Angriffssimulationen, um das Lernen zu verbessern. Dies kann verwendet werden, um Malware-Typen zu klassifizieren, Beziehungen zwischen Bedrohungsakteuren zu ermitteln oder Spear-Phishing-Kampagnen zu erkennen.
Ein Sicherheitssystem, das automatische Bedrohungserkennung und -intelligenz nutzt, kann die Sicherheit Ihres Unternehmens erheblich verbessern. So wird das System nachhaltig intelligenter. Die Bedrohungserkennung sucht ständig nach aktuellen oder potenziellen Bedrohungen, und die Automatisierung sorgt dafür, dass die Sicherheitsprozesse unternehmensweit konsistent bleiben. Leider setzen Cyberkriminelle bereits KI gegen Sie ein, und Sie müssen KI-gestützte Systeme verwenden, um sich zu verteidigen.
Barracuda kann helfen
Barracuda bietet eine umfassende Cybersecurity-Plattform an, die mithilfe von KI-gestützter Sicherheit alle wichtigen Angriffsvektoren abwehrt, die in den heutigen komplexen Bedrohungen vorkommen. Besuchen Sie www.barracuda.com , um mehr über unsere preisgekrönten Sicherheits- und Datenschutzprodukte zu erfahren.
Schon gewusst?
Barracuda hat ein neues E-Book mit dem Titel „Die Sicherheit von morgen: ein CISO-Leitfaden zur Rolle von KI in der Cybersicherheit“ veröffentlicht. Dieses E-Book untersucht Sicherheitsrisiken und zeigt die Schwachstellen auf, die Cyberkriminelle mit Hilfe von KI ausnutzen, um ihre Angriffe auszuweiten und ihre Erfolgsquoten zu verbessern. Holen Sie sich jetzt Ihr kostenloses E-Book und überzeugen Sie sich selbst von den neuesten Bedrohungen, Daten, Analysen und Lösungen.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
