Wie Network Detection and Response durch KI profitiert

Die Auswirkungen der KI auf die Technologie und die Cybersicherheit haben in den letzten Monaten dank ChatGPT, Deep Learning und Co. eine enorme Beschleunigung erfahren.

Dies hat Sicherheitsverantwortliche dazu gezwungen, sich mit den Auswirkungen von künstlicher Intelligenz (KI) auf die Sicherheit ihrer Unternehmen auseinanderzusetzen. Jüngste Untersuchungen der Enterprise Strategy Group von TechTarget haben ergeben, dass Sicherheitsverantwortliche eine starke Präferenz für den Einsatz von KI als Teil von NDR-Tools (Network Detection and Response) entwickelt haben. So gaben 46 Prozent der Umfrageteilnehmer an, dass starke KI-Fähigkeiten ein wichtiges Attribut für NDR-Tools sind, während weitere 45 Prozent sagten, dass starke KI ein wichtiges Attribut ist.

Bislang lag der Schwerpunkt der KI im Bereich der Netzwerksicherheit vor allem auf der Verbesserung der Erkennung. Das trifft auch auf die Studie der Enterprise Strategy Group zu: 61 Prozent der Befragten erwarten, dass KI als Teil der NDR die Erkennungsgenauigkeit verbessert, und 59 Prozent erwarten eine höhere Erkennungsgeschwindigkeit.

Zusätzliche Vorteile von NDR mit KI-Attributen könnten sogar noch größere Auswirkungen haben, einschließlich der Verbesserung der Effizienz von SOC-Analysten Security Operations Center). Zu den Vorteilen, denen die Befragten am meisten zustimmten, gehören die folgenden:

• Genaue Priorisierung von Warnmeldungen (47 Prozent). Selbst wenn die Erkennungsgenauigkeit zunimmt, bleibt die Tatsache bestehen, dass viele Unternehmen nach wie vor zu wenig Personal haben. Sie müssen die relative Bedeutung jedes Alarms verstehen und die kritischsten Alarme abarbeiten, bevor sie sich um Probleme mit niedrigerer Priorität kümmern. KI hat das Potenzial, diese Priorisierung intelligenter zu gestalten, indem sie riesige Datenmengen auswertet, darunter Schwachstellen, Bedrohungsdaten sowie Taktiken, Techniken und Verfahren von Angreifern. KI ist auch in der Lage zu erkennen, welche Alarme das Potenzial haben, zu katastrophalen Schäden zu führen, wenn sie nicht behoben werden, und welche an SOC-Analysten weitergeleitet werden sollten, was die Alarmmüdigkeit (Alert Fatigue) verringern könnte.
• Informieren und Steuern der Arbeitsabläufe von Analysten (45 Prozent). Selbst wenn die Sicherheitsteams über genügend Personal verfügen, um die Aufgaben zu erfüllen, werden diese Mitarbeiter häufig mit mehr Aufgaben betraut, als sie eigentlich ausführen können. SOC-Analysten der Stufe 1 müssen beispielsweise Funktionen der Stufe 2 übernehmen, und Analysten der Stufe 2 füllen häufig Aufgaben der Stufe 3 aus. Während dies für einige eine Chance ist, zu lernen und sich weiterzuentwickeln, kann es für andere stressig sein und zu Burnout und Abwanderung der Mitarbeiter führen. Aufgrund der hohen Kosten für den Ersatz von Mitarbeitern, die das Unternehmen verlassen, ist dies alles andere als ideal. KI kann dazu beitragen, das Qualifikationsdefizit auszugleichen und die Gesamteffizienz zu verbessern, indem sie die Analysten während einer Untersuchung lenkt. Auf der Grundlage der Art der erkannten Bedrohung, der betroffenen Objekte, des Ortes, an dem sie auftrat, und einer Reihe anderer Faktoren kann ein KI-gestütztes NDR-Tool den Analysten helfen, von einem Untersuchungsschritt zum nächsten zu gelangen, um den Umfang des Vorfalls schnell zu erkennen und entsprechend zu reagieren.
• Unterstützung von automatisierten Reaktionsmöglichkeiten (42 Prozent). Einige Unternehmen haben Interesse daran gezeigt, mit KI den nächsten Schritt zu gehen und NDR-Tools in die Lage zu versetzen, ohne menschliches Eingreifen selbstständig auf einen Angriff zu reagieren. Dies könnte das Schließen eines offenen Ports, den Entzug des Zugriffs auf Anwendungen oder die vollständige Quarantäne von Geräten beinhalten. Die meisten Unternehmen sind jedoch nicht bereit für so viel KI-Autonomie. Die Unterbrechung des Geschäftsbetriebs und die mögliche Reaktion auf einen Fehlalarm sind für viele Unternehmen ein zu großes Risiko. Wahrscheinlich wird es eine Entwicklung hin zu KI-gestützten Tools geben, die Reaktionsoptionen identifizieren und empfehlen, die aber immer noch von den Analysten vor der Implementierung genehmigt werden müssen. Auf diese Weise könnten Unternehmen sehen, wie gut KI mit Reaktionsoptionen umgeht, und möglicherweise mit der Zeit eine breitere Nutzung von KI-Funktionen erreichen.

NDR-Anbieter werden ihre Lösungen mit KI-Unterstützung weiter ausbauen, wobei sie sich wahrscheinlich stärker auf die Unterstützung von Analysten und die Steigerung der Effizienz konzentrieren werden. Einige Anbieter haben bereits Integrationen mit KI-Angeboten eingeführt, um Natural-Language-Modelle unterstützen und Sicherheitsteams dabei zu helfen, besser mit Geschäftsführern in Begriffen zu kommunizieren, die letztere verstehen können. Angesichts der rasanten Entwicklung in diesem Bereich sollten Netzwerksicherheitsverantwortliche und -praktiker damit beginnen, ihre Ziele für KI-gestützte NDR festzulegen und die Anbieter zu identifizieren, die am besten in der Lage sind, diese zu erfüllen.

Anmerkung der Redaktion: Die Enterprise Strategy Group ist ein Geschäftsbereich von TechTarget. Ihre Analysten unterhalten Geschäftsbeziehungen zu Technologieanbietern.