Company

Mensch + Maschine: Im Kampf gegen Cyber-Threats

Geschrieben von Chris Morales am 27.02.2018 02:47:15

Finden Sie mich auf:

survey-respondentsZeit ist Geld im Kampf gegen Cyber-Attacken. Dem Ponemon-Institut zufolge liegen die mit einer Verletzung der Informationssicherheit verbundenen Kosten im Mittel bei 3,62 Millionen Dollar. Schafft man es, die Zeit bis zur Erkennung und Eindämmung eines Incidents zu reduzieren, lassen sich diese Aufwände signifikant verringern oder möglicherweise sogar verhindern. 

Der Reifegrad und die Effektivität sind zwei der wichtigsten Maßeinheiten für die Leistungsfähigkeit eines SOCs. Die Reife gibt dabei an, welches Entwicklungsniveau ein Unternehmen in Bezug auf seinen Ansatz zum Management von Cyber-Security-Risiken erreicht hat, wobei dies den Grad des Bewusstseins für Risiken und Bedrohungen, die Reproduzierbarkeit erprobter Prozesse und die Anpassungsfähigkeit an neue Bedrohungen einschließt. Der Faktor Effektivität bestimmt, wie gut ein SOC einen Incident erkennt und bekämpft, sobald er eintritt.

Unsere Umfrage

Um den Reifegrad und die Effektivität von Security-Operations-Teams besser einschätzen zu können, haben wir auf der Black-Hat-Konferenz eine Umfrage durchgeführt und dabei Daten zu Reaktionszeiten und Response-Fähigkeiten gesammelt. Die Erhebung enthält Informationen über die Zeit, die ein SOC benötigt, um eine Bedrohung oder einen Incident zu erkennen, die Triage durchzuführen, Berichte zu erstellen und die schädlichen Aktivitäten einzudämmen.

Wer hat an der Umfrage teilgenommen?

Die Black-Hat-Konferenz ist voller Besucher, die ihre Tage mit nichts anderem verbringen als mit der Jagd nach Bedrohungen oder mit dem Management und dem Aufbau von Security Operations Centern zur Abwehr von Bedrohungen und Angriffen – die perfekte Zielgruppe für eine Studie wie unsere. Wir konnten auf einen Querschnitt aus Chief-Information-Security-Officern (CISOs), Security-Architekten, Security-Research-Spezialisten und Fachleuten für den Betrieb von Netzwerken und Rechenzentren zugreifen, die uns allesamt ihre Zeit zur Verfügung stellten, um Erfahrungen mit uns zu teilen.

Wenn Sie zufällig selbst zu den 459 Teilnehmern gehören, die sich die Zeit genommen haben, um uns mit Informationen zu versorgen – hiermit möchten wir uns noch einmal ganz herzlich dafür bedanken!      

Was lässt sich daraus lernen?

Zeit ist der wichtigste Faktor, wenn es darum geht, Sicherheitsverletzungen in einem Netzwerk aufzudecken. Sollen zentrale Assets vor Diebstahl oder Schaden geschützt werden, ist es notwendig, den Cyber-Angreifern in Echtzeit auf die Spur zu kommen. Um nun die schnellsten und effizientesten Prozesse dafür umzusetzen, hat es Sinn, menschliche und maschinelle Kräfte zu kombinieren. So kann sich jede der beiden Seiten auf das konzentrieren, worin sie die besten Leistungen erbringt.

Untersuchungen im Bereich Cyber-Security erfordern zugleich breit gefächerte Fähigkeiten und eine hohe Spezialisierung in den Bereichen der Analyse von Malware, der forensischen Untersuchung von Paketen und Log-Daten sowie der Korrelation extrem hoher Mengen von Daten aus vielen unterschiedlichen Quellen.

Nachforschungen zu Security-Events können Stunden dauern, und für die komplette Analyse einer komplexen Bedrohung sind unter Umständen Tage, Wochen oder gar Monate zu veranschlagen. Selbst große SOC-Teams mit mehr als zehn fähigen Analysten sehen es als schwierig an, innerhalb einer Zeitspanne von Minuten oder Stunden Incidents zu erkennen, die Informationen dazu zu erhärten, die Angriffe abzuwehren und den Erfolg zu verifizieren. Teams dagegen, die ihren Analysten künstliche Intelligenz zur Seite stellen und einen höheren Automatisierungsgrad erzielen, arbeiten effektiver als ihre Kollegen und sogar effektiver als SOC-Teams mit mehr als zehn Mitarbeitern, aber ohne KI.

Unter den 459 Teilnehmern der Umfrage auf der Black-Hat-Konferenz fanden wir heraus, dass Teams, die KI zur Aufstockung ihrer Security-Programme einsetzen, Incidents schneller erkennen, bestätigen und eindämmen konnten als diejenigen, die alle Aufgaben manuell und ohne Hilfe künstlicher Intelligenz zu bewältigen versuchen.

Wer nutzt bereits künstliche Intelligenz im SOC?

Wir fanden heraus, dass 33 Prozent der SOC-Teams bereits irgendeine Form von künstlicher Intelligenz für Incident-Reponse-Zwecke nutzen. Unter den 33 Prozent, die KI im Security-Bereich anwenden, arbeitet die größte Gruppe, nämlich 44 Prozent, zugleich mit den personell am besten ausgestatteten Incident-Response-Teams (> 10 Mitarbeiter).

soc using ai

Eine logische Annahme wäre es sicherlich, dass große Teams noch am ehesten in der Lage sein müssten, das Arbeitsaufkommen im SOC zu bewältigen, auch ohne sich Unterstützung durch KI zu wünschen. Allerdings gilt in jedem Fall, dass sich mittels KI der mühsame und monotone Teil der SOC-Arbeit automatisieren lässt, so dass sich die gewieften Spezialisten dort auch auf ihnen gemäße Aufgaben konzentrieren können. In der Cyber-Sicherheit ist dies deshalb so wichtig, weil die Aufgaben des Arbeitsgebiets auf jedem Niveau große Herausforderungen mit sich bringen. Jeder im Team kann seinen Job besser erledigen, wenn die lästige Routinearbeit eliminiert ist.       

Zeitspanne bis zur Aufdeckung einer Attacke

Der erste Schritt einer erfolgreichen Abwehr ist es, die Existenz einer Bedrohung überhaupt zu entdecken. 37 Prozent der SOC-Teams mit mehr als 10 Team-Mitgliedern und ohne KI-Unterstützung erkennen eine Bedrohung innerhalb von Minuten. Allerdings gelingt dies auch 34 Prozent aller SOC-Teams beliebiger Größe, woraus sich ergibt, dass Personalstärke nicht der einzige Faktor sein kann, der die Zeitspanne bis zur Aufdeckung einer Attacke zu verkürzen hilft. Die eigentliche Chance besteht vielmehr darin, menschliche Arbeitskraft und KI zu kombinieren. Unter den SOC-Teams mit einer Stärke von mehr als 10 Personen, die auf KI-Unterstützung setzen, können nämlich 50 Prozent eine Bedrohung binnen Minutenfrist erkennen – dies bedeutet eine 35-prozentige Verbesserung gegenüber ähnlich großen Teams, die keine KI nutzen.

 time-to-detect

Zeitspanne bis zur Bestätigung und Einschätzung

Sobald eine Bedrohung erkannt ist, benötigt ein Analyst hinreichende Informationen für die weitere Einschätzung. Dabei geht es um die Bestätigung, dass die Bedrohung tatsächlich existiert, und darum, ob sie ein hohes Risiko mit sich bringt oder als kritisch für die Organisation gelten muss, sodass sie sofortige Aufmerksamkeit erfordert. 42 Prozent der Teams mit mehr als 10 Analysten und KI-Unterstützung konnten binnen Minuten feststellen, ob eine Bedrohung unter diese Kategorien fällt. Unter den ähnlich großen Teams ohne KI-Assistenz waren dazu nur 26 Prozent in der Lage. Blickt man auf die Gesamtheit der Teams aller Größen mit KI-Unterstützung, brachten es 29 Prozent auf die minutenschnelle Einschätzung.

time-to-confirm

Zeitspanne bis zur Eindämmung  

Die Eindämmung einer Bedrohung erfordert tendenziell mehr manuelle Arbeit, weil die Gegenwehr auf den jeweiligen Angriffstyp abgestimmt werden muss. Aber auch wenn es darum geht, eine Response-Strategie festzulegen, ist KI hilfreich. 23 Prozent der großen Teams mit KI-Unterstützung konnten Incidents in Minutenfrist unter ihre Kontrolle bringen, aber nur 7 Prozent der Teams ähnlicher Größe ohne KI-Assistenz. Wieder zeigte sich, dass Teams beliebiger Größe, die KI nutzten, höhere Leistungen erbrachten als große Teams, die auf KI verzichteten: 13 Prozent der KI-unterstützten Teams aller Größenordnungen gaben an, schädliche Vorfälle (Incidents) innerhalb von Minuten zu bewältigen.

time-to-remediate

Zeitspanne bis zur Erfolgskontrolle

Auch nach der Remediation-Phase, wenn eine Bedrohung bereits unter Kontrolle ist, haben Security-Analysten noch mit dem Vorfall zu tun: Sie müssen verifizieren, ob er tatsächlich eliminiert werden konnte, und daraus Lehren ziehen, um auf den nächsten Incident besser vorbereitet zu sein. Ohne eine gut ausgeführte Erfolgskontrolle und deren Auswertung besteht für eine Organisation immer die Gefahr einer erneuten Infektion. Dieser Teil der Analysten-Arbeit kann Stunden oder Tage andauern, und auch hier reduziert KI bei allen SOC-Teams den Zeitaufwand. Große Teams profitieren allerdings am stärksten.

time-to-verify

Wie geht es weiter?

Derzeit zeigt sich ein messbarer Trend: Organisationen implementieren KI und nutzen sie dazu, ermüdende Incident-Response-Tätigkeiten zu automatisieren. Dadurch erhalten sie die Chance, die Arbeitskraft im SOC aufzustocken, sich auf die dort vorhandenen hoch artifiziellen Fähigkeiten zu konzentrieren und bessere Entscheidungen zu treffen.

Wenn Menschen und Maschinen (KI) zusammenarbeiten, sind die Resultate immer besser als die, die eine der beiden Seiten allein erbringt. Das ist ja nicht zuletzt auch der Grund, warum Terminator 2 ein so viel besserer Kinofilm ist als der originale Terminator: „Mensch und Maschine im Team“ gibt einfach mehr her als „Mensch gegen Maschine“.

Lesen Sie mehr im Vectra Attacker Behavior Industrie Report 2017

Wenn Sie genauer erfahren möchten, wie künstliche Intelligenz den SOC-Teams in den Unternehmen die Chance gibt, Hürden bei der Erkennung, Eindämmung und Verifizierung von Cyber-Attacken in Echtzeit zu überwinden, lesen Sie unser Whitepaper zur KI-gestützten Automatisierung des SOC-Betriebs. 

Download the whitepaper

Themen: Cyber-Threats, Maschine, Kampf, Mensch