
sabida - stock.adobe.com
Der Einfluss von KI auf die Bedrohungsanalyse
So vielversprechend die KI-Technologie für die Bedrohungsaufklärung auch sein mag: Organisationen haben mit einer langen Lernkurve und weiteren Herausforderungen zu kämpfen.
Künstliche Intelligenz spielt in Sachen Cybersicherheit seit Jahren eine wichtige Rolle. Viele Organisationen haben sich die leistungsstarke Technologie zunutze gemacht, um die Erkennung von Bedrohungen, die Eindämmungsmaßnahmen und die Reaktion auf Vorfälle in einer immer schwieriger werdenden Bedrohungslandschaft zu beschleunigen und zu verbessern.
Fortschritte in generativen, synthetischen und anderen Arten von KI werden besonders wichtig für die Erfassung und Unterscheidung von Bedrohungsdaten, wie im Folgenden erläutert. Es gibt jedoch einen Haken – oder besser gesagt, mehrere Haken. KI ist nicht unbedingt die Wunderwaffe für alle Fragen rund um Bedrohungsinformationen und Sicherheit.
Grund genug, zu betrachten, wie KI die Bedrohungsaufklärung verbessert und einige Warnhinweise zur Nutzung der Technologie zu nennen.
Wie KI bei der Bedrohungsanalyse hilft
KI verändert die Vorgehensweise von Sicherheitsteams bei der Erfassung, Analyse und Nutzung von Bedrohungsdaten auf folgende Weise:
- Weniger Fehlalarme. Die Technologie des maschinellen Lernens wird seit einiger Zeit für Prozesse zur Bedrohungsanalyse eingesetzt. Sie kann echte Cybersicherheitsbedrohungen von harmlosen Anomalien unterscheiden und so die Anzahl der Fehlalarme reduzieren, die die Sicherheitssysteme überfluten.
- Schnellere Identifizierung von Bedrohungen. Automatisierte Tools können Daten schneller analysieren als Menschen und in Echtzeit Warnmeldungen zu Sicherheitsereignissen ausgeben. Dadurch können Teams fundierte Entscheidungen treffen und schneller reagieren, wodurch Betriebsunterbrechungen und Verluste minimiert werden.
- Feed-Korrelation. KI kann Daten aus mehreren Bedrohungsdaten-Feeds vergleichen und analysieren, um Muster zu erkennen und Inhalte aus einer Vielzahl und großen Menge von Daten bereitzustellen.
- Taktiken, Techniken und Verfahren von Bedrohungsakteuren (TTPs) werden erfasst. Die Verarbeitung natürlicher Sprache (NLP, Natural Language Processing) ist eine Art maschineller Lerntechnologie, die die menschliche Sprache versteht. Angepasste NLP-Algorithmen können Bedrohungsdaten aus verschiedenen Quellen korrelieren, um die Taktiken, Techniken und Verfahren von Bedrohungsakteuren kontinuierlich zu verfolgen.
- Verbesserte Phishing-Erkennung. Systeme, die NLP einsetzen, können Malware, Ransomware und andere schädliche E-Mail-Inhalte erkennen und blockieren, bevor sie die Endbenutzer erreichen.
- Verbesserte Kundenerfahrung. KI kann das Vertrauen und die Zufriedenheit der Kunden verbessern. Finanzinstitute können beispielsweise KI-Algorithmen zur Nachverfolgung von Transaktionen verwenden. Die Anwendung erlernter Verhaltensmuster mit KI hilft dabei, betrügerische Aktivitäten zu erkennen, um Verluste einzudämmen und die Kundenerfahrung zu verbessern.
- Erkennung von Bedrohungen durch Insider. Durch die Anwendung von KI in Verbindung mit der Analyse des Verhaltens von Benutzern und Entitäten (UEBA) können Sicherheitsanalysten potenziell schädliches Verhalten von Endbenutzern erkennen.
- Zusätzlich zur Verbesserung der Bedrohungsinformationen kann KI bei anderen Cybersicherheitskontrollen helfen. Nehmen wir zum Beispiel das Identitäts- und Zugriffsmanagement (IAM, Identity and Access Management). Durch die Verwendung einer Kombination aus Biometrie, KI und UEBA (User Entity Behavior Analytics) können Organisationen die Aktivitäten der Endbenutzer im Kontext analysieren, um die Authentifizierung zu unterstützen und unbefugten Zugriff zu blockieren. Dies trägt auch zur Stärkung der Richtlinienkonformität bei.
Ist die KI bereit für Bedrohungsdaten?
So attraktiv KI als Möglichkeit zur Verbesserung der Bedrohungsaufklärung auch sein mag, es bleiben Herausforderungen bestehen:
- Bedrohungsakteure nutzen KI. Eine große Sorge ist, dass Bedrohungsakteure mehr von der Implementierung von KI profitieren könnten als die Security-Experten, die sie zum Schutz ihrer Organisationen einsetzen. Cyberkriminelle sind bekanntermaßen kreativ und fortschrittlich und bereit, schnell neue Technologien und Methoden zu übernehmen, um der Verteidigung ihrer Opfer einen Schritt voraus zu sein. So kann KI Bedrohungsakteuren beispielsweise dabei helfen, Phishing-Angriffe zu verbessern sowie Data Poisoning oder Prompt-Injection-Angriffe durchzuführen, um KI-Modelle zu manipulieren.
- Begrenzte Fachkenntnisse der Mitarbeiter. KI kann schwierig zu implementieren und zu verwalten sein, ganz zu schweigen von der Sicherheit. Mitarbeiter, die mit KI-Modellen arbeiten, benötigen die richtige Ausbildung und die entsprechenden Fähigkeiten, um Daten effektiv einzugeben und Modelle zu trainieren, Tools zu verwalten und zu bedienen und die Ergebnisse zu analysieren, während sie gleichzeitig sicheren Code erstellen und die Systeme vor Cyberangriffen und Schwachstellen schützen.
- Datenqualität. KI-Modelle müssen mit einer großen Menge hochwertiger Daten gefüttert werden, um Indikatoren für Kompromittierungen und potenzielle Bedrohungen genau erkennen zu können. Ohne die richtigen Daten oder eine ordnungsgemäße Validierung können Modelle falsche Informationen zurückgeben oder Sicherheitslücken verursachen. Dies kann zu falsch positiven und falsch negativen Ergebnissen sowie zu Halluzinationen führen. KI-Modelle sind auch dafür bekannt, dass sie Verzerrungen verursachen, eine weitere Herausforderung, die bei der Validierung von Daten zu beachten ist.
- Datenschutz und Compliance. KI und große Sprachmodelle (LLMs) sind mit Datenschutzproblemen konfrontiert, darunter die Entscheidung, wem die Daten gehören und welche Daten aus den Ergebnissen von LLMs abgeleitet werden können, sowie die Gewährleistung der Vertrauenswürdigkeit der ausgegebenen Daten. KI-gestützte Tools und Prozesse müssen über angemessene Datenschutzmaßnahmen verfügen, um die Sicherheit der Daten zu gewährleisten. Dies betrifft auch die Einhaltung von Vorschriften. Bestehende und zukünftige Vorschriften enthalten KI-Datenrichtlinien, die ordnungsgemäß befolgt und eingehalten werden müssen.
- Unterstützung von Fachkräften, nicht Ersatz. KI ist zwar ein äußerst nützliches Instrument, das Teams dabei unterstützt, Sicherheitslücken zu verstehen und diese Lücken durch Richtlinien, bewährte Verfahren und neue Investitionen zu schließen, aber Sicherheitsteams und Führungskräfte in Unternehmen müssen bedenken, dass KI-Bedrohungsinformationen qualifiziertes Personal ergänzen, nicht ersetzen. Um das Beste aus der Technologie herauszuholen, müssen Unternehmen und ihre Teams sorgfältig prüfen, wie KI am besten für ihre geschäftlichen Anforderungen eingesetzt werden kann. Ein ausgewogenes Verhältnis zwischen Mensch und KI ist der Schlüssel, um das Beste aus den Informationen herauszuholen, die KI-gestützte Bedrohungsdaten liefern.