AI SecOps: Implementierung und Best Practices
Security Operations oder SecOps ist die Gesamtheit einzelner Prozesse, die Schwachstellen und das Eindringen von Risiken in sensible Unternehmensressourcen verhindern. Dies unterscheidet sich geringfügig vom Security Operations Center (SOC) – der organisatorischen Einheit von Personen, die Sicherheitsvorfälle überwacht und verhindert.
Diese Unterscheidung ist wichtig, da SecOps darauf abzielt, Sicherheitsprozesse in die Betriebspipeline zu integrieren, während traditionelle SOCs die Sicherheit von der IT trennen und Sicherheitsprozesse im Wesentlichen isolieren. Aus diesem Grund implementieren moderne SOCs häufig SecOps, um Bedrohungsprävention mit dedizierten Incident-Response-Funktionen in Einklang zu bringen.
Da SecOps neben den alltäglichen IT- und OT-Workflows stattfinden muss und ihnen nicht im Weg stehen darf, ist die SecOps-Automatisierung ein wesentlicher Bestandteil der Strategie. Dieser Artikel befasst sich mit der Entwicklung von AI SecOps, Anwendungsfällen für KI in SecOps und Best Practices für die Implementierung von KI in SecOps.
SIEM der nächsten Generation
Stellar Cyber SIEM der nächsten Generation als kritische Komponente innerhalb der Stellar Cyber Open XDR-Plattform ...
Erleben Sie KI-gestützte Sicherheit in Aktion!
Entdecken Sie Stellar Cybers hochmoderne KI zur sofortigen Erkennung und Reaktion auf Bedrohungen. Planen Sie noch heute Ihre Demo!
Einführung in AI SecOps
SecOps ist ein Ansatz, der in sicherheitsbewussten Organisationen beträchtliche Unterstützung gefunden hat. Die SecOps jeder Organisation müssen sich an die individuelle Struktur der digitalen Assets, der Infrastruktur und der vertraulichen Daten der Organisation anpassen – so wie das Unternehmen wächst und sich im Laufe der Zeit an Marktveränderungen anpasst. Da SecOps Sicherheitsmaßnahmen in den gesamten Lebenszyklus des IT-Betriebs integriert, muss es Sicherheit auch in jede Entwicklungs- und Betriebsphase einbetten.
Um dies zu erreichen, benötigt das SOC kontinuierliche, detaillierte Einblicke in die Geräte, Netzwerke und Endpunkte praktisch aller Benutzer – das ist eine unglaubliche Datenmenge. Ein Grund dafür, dass SOC-Teams traditionell von ihren Entwickler- und IT-Kollegen getrennt waren, war die Verwaltung all dieser Daten. Auf den Analystenebenen benötigten SOC-Teams außerdem eine große Anzahl von Tools, um die Daten zu extrahieren und zu gruppieren. Tools für Security Information and Event Management (SIEM), Firewalls und Endpoint Detection and Response (EDR) halfen dabei, diese Daten zu verarbeiten und in aussagekräftige Informationen umzuwandeln.
KI in Sicherheitsoperationen kann Sicherheitsdaten jetzt in derselben Geschwindigkeit aufnehmen, in der sie erstellt werden. Daher ist maschinelles Lernen – und seine neuere generative KI – dafür verantwortlich, SecOps in einen kontinuierlichen Prozess zu verwandeln, sodass Sicherheitsoperationen mit IT- und Entwicklungsänderungen Schritt halten können. Da KI-gesteuerte Plattformen außerdem mehr Automatisierungsoptionen als je zuvor bieten, wird die Entwicklung von SecOps in Richtung optimierter Tech-Stacks, reduzierter Komplexität und höherem ROI vorangetrieben.
Anwendungsfälle von KI in SecOps
Bedrohungserkennung mit weniger Fehlalarmen
KI-Modelle profitieren von großen Datensätzen: Mit KI können die Mengen an Warnmeldungen, die früher ein Sicherheitsteam überfordern konnten, jetzt aufgenommen, abgeglichen und zur Erkennung anderer verwendet werden. Dies steht im drastischen Gegensatz zum traditionellen Ansatz zur Bedrohungserkennung, bei dem Sicherheitstools einfach übereinander gestapelt wurden.
Dies ist die Situation ein in den USA ansässiges Finanzunternehmen in der sich befand: SOC-Analysten mussten jede Sicherheitsoperation damit beginnen, die riesigen Datenmengen zu durchforsten, die mit jeder Warnung verknüpft waren. Und da das Unternehmen über mehrere Sicherheitstool-Software verfügte, mussten sie dieselbe Warnung auf jeder Konsole manuell identifizieren und jeder Spur einzeln nachgehen, um die Gültigkeit einer Warnung und den potenziellen Schaden zu ermitteln.
Da KI alle Rohdaten von Protokollen, Netzwerken und Geräten verarbeiten kann, die in den Alarmauslöser eines Tools einfließen, kann sie diesen Alarm mit entsprechenden Aktionen im betreffenden Netzwerk, Gerät oder Konto korrelieren. Das Ergebnis sind deutlich weniger Fehlalarme – und im Falle eines echten Sicherheitsvorfalls kann KI Alarme in den Kontext einer breiteren Angriffskette stellen.
Automatisierte Reaktion auf Vorfälle
Playbooks sind die Grundlage für automatisierte Reaktionsfunktionen. Sie ermöglichen schlanken Teams wie denen bei Informatikabteilung der Universität Zürich um schnell bestimmte Überwachungs- und Reaktionsfunktionen als Reaktion auf bestimmte Warnmeldungen zu implementieren. So kann beispielsweise im Falle eines Vorfalls, der die Endpunkte einer Abteilung betrifft, der entsprechende IT-Manager benachrichtigt werden.
Durch Automatisierung können schlanke Teams eine 24/7-Abdeckung gewährleisten, selbst wenn sie nicht über die Arbeitskräfte verfügen, um ständig Analysten auf Abruf bereitzustellen. Die Automatisierung wird über Playbooks zugänglich gemacht, die genau angeben, welche Abhilfemaßnahmen das KI-Tool als Reaktion auf bestimmte Alarmtypen und Vorfälle ergreifen soll.
Priorisierte Warnmeldungen und KI-gestützte Bedrohungserkennung
Da KI-Modelle anhand von Angriffen aus der Vergangenheit trainiert werden können und über aktuelle Informationen zum gesamten Asset-Stack eines Unternehmens verfügen, können sie Warnmeldungen nach dem potenziellen Explosionsradius kategorisieren. Dies reduziert den Aufwand für manuelle SecOps-Prozesse, deren Einrichtung andernfalls viele, mühsame Arbeitsstunden erfordern würde, drastisch.
Die Kategorisierung der Alarme nahm einen großen Teil der Zeit in Anspruch. die Zeit einer Stadtregierung – In diesem Fall wurde von jedem Analysten erwartet, dass er sein eigenes Sicherheitstool bedient. Dies hinterließ erhebliche Lücken, die potenziell von komplexen Angriffsvektoren ausgenutzt werden konnten. Durch KI-gestützte Triage konnte der manuelle Arbeitsaufwand jedes Analysten drastisch reduziert werden, sodass ein Analyst einem Vorfall innerhalb von 10 Minuten auf den Grund gehen konnte, statt erst nach mehreren Tagen.
Allerdings stellt das Wissen, wo und wie KI in SecOps implementiert werden kann, häufig die erste Hürde bei der Umsetzung dar.
Best Practices für die Implementierung von KI in SecOps
Definieren Sie messbare Ziele für Ihren KI-Einsatz
SMART-Ziele sind das A und O – und der Fokus auf Messbarkeit ist der Schlüssel zur Definition und erfolgreichen Implementierung eines neuen KI-Tools. Um den bestmöglichen ROI zu erzielen, sollten Sie zunächst ermitteln, welche SecOps-Prozesse die meiste Zeit Ihrer Analysten in Anspruch nehmen.
Dies könnte ein bestimmtes Tool sein – wie ein SIEM – oder eine umfassendere Kennzahl wie die mittlere Reaktionszeit (MTTR). Es könnte ein Schritt im Workflow sein, den Analysten oder IT-Mitarbeiter befolgen müssen, nachdem eine Warnung ihren Posteingang erreicht hat. Wichtig ist, genau zu identifizieren, welche Komponente die größte Verlangsamung verursacht. Dieser Prozess zeichnet ein Bild davon, welche Rolle ein KI-Tool genau erfüllen muss: Wenn ein großer Schwachpunkt die Asset-Erkennung ist, dann ist die Integration einer KI-Firewall vielleicht nicht die höchste Priorität.
Am besten ist es auch, dies zu einer gemeinsamen Anstrengung zu machen. Die Einbeziehung der Führungsebene und anderer Entscheidungsträger ist für die Erreichung nachhaltiger Veränderungen von entscheidender Bedeutung und kann der IT und der Sicherheit dabei helfen, sich die erforderlichen organisatorischen Änderungen vorzustellen.
Integrieren Sie KI in Ihre vorhandenen Tools und Workflows
KI-Technologien gedeihen in datenreichen Umgebungen – aber sie müssen in der Lage sein, diese Daten von irgendwoher zu beziehen. Benutzerdefinierte Integrationen können schwierig und zeitaufwändig sein. Prüfen Sie daher bei der Betrachtung von KI-basierten Lösungen deren Integrationsfähigkeit in Ihre aktuellen Tools. Es kommt äußerst selten vor, dass ein Unternehmen jemals bei Null anfangen muss. Wenn Ihr SIEM, EDR oder Ihre Firewall bereits einwandfrei läuft – und die Verlangsamungen auf die begrenzten Ressourcen der Analysten zurückzuführen sind – ist es manchmal am besten, Ihr SIEM durch KI zu ergänzen, anstatt es zu ersetzen.
Vergessen Sie dabei nicht, dass KI viele Sicherheitsdaten erfordert. Wenn Sie einen Datensatz von Grund auf neu erstellen, müssen Sie in den Aufbau einer robusten und widerstandsfähigen Dateninfrastruktur investieren, gepaart mit strengen Governance-Protokollen. Eine starke Infrastruktur erfordert die Implementierung sicherer Speicherlösungen, die Optimierung der Datenverarbeitungsfunktionen und die Einrichtung effizienter Datenübertragungssysteme zur Unterstützung der Bedrohungserkennung und -reaktion in Echtzeit. Andererseits verwaltet ein Produkt eines Drittanbieters all diese Daten für Sie – aber stellen Sie sicher, dass Sie dem Anbieter vertrauen.
Passen Sie das SecOps-Team an die Verwendung eines KI-gesteuerten Systems an
Das KI-Tool muss zwar flexibel sein, muss aber auch einige Änderungen an der täglichen Arbeit der Analysten vornehmen – dafür ist es ja da. Die betroffenen Teams müssen wissen, welche Änderungen dies mit sich bringt und wie ihre eigenen Arbeitsabläufe aussehen sollten. Da SecOps bereits eine umfassende Schulung zu Sicherheitsoperationen erfordert, sollten sie bereits mit den Richtlinien und Verfahrensrahmen vertraut sein. In gleicher Weise muss das KI-Update Prozesse in messbare Aktionen und klare Anleitungen aufteilen.
Berücksichtigen Sie dabei die Fähigkeiten und Erfahrungen der aktuellen SecOps-Mitglieder. Wenn es einige neuere Teammitglieder gibt, die sich noch ihre Sporen verdienen, sollten Sie KI-Tools auswählen, die zugänglich sind und sie durch die automatisierten Aktionen oder Warnprozesse führen, die sie durchgeführt haben. Auf diese Weise können sie ihr eigenes Vertrauen im Umgang mit Bedrohungen aufbauen. Transparenz schafft auch mehr Vertrauen zwischen dem menschlichen Team und der KI-Analyse-Engine und ermöglicht es gleichzeitig, das Urteil der KI im Laufe der Zeit zu verfeinern.
Erstellen von Playbooks
Playbooks bilden die Grundlage für die Implementierung von KI-Sicherheit. Ein KI-Tool kann zwar mit einigen vordefinierten Playbooks ausgestattet sein, es empfiehlt sich jedoch, je nach Ihrem spezifischen Anwendungsfall eigene Playbooks zu erstellen oder zu modifizieren.
Wenn ein Team beispielsweise viel externe E-Mail-Kommunikation bearbeitet, ist es wichtig, einige Playbooks zu erstellen, die speziell auf die Bedrohung durch E-Mail-Phishing zugeschnitten sind. In diesem Fall erkennt eine zentrale KI-Plattform die verdächtige Grammatik oder Metadaten einer Phishing-E-Mail und löst dann das zugehörige Playbook aus. In diesem Fall isoliert das Playbook automatisch die E-Mail – oder den Endpunkt selbst, wenn es Hinweise auf eine Kompromittierung gibt – und löst dann eine Kennwortzurücksetzung aus. Eine Nachricht wird an den entsprechenden Sicherheitsadministrator gesendet, der alle diese Informationen in einer einzigen Warnung verpackt erhält. Die Playbooks, die Ihr KI-Modell benötigt, hängen von der Einrichtung und den Verantwortlichkeiten Ihres Unternehmens ab.
Zusammen gewährleisten diese KI-gesteuerten SecOps-Best Practices einen reibungslosen Übergang zu KI-gesteuerten SecOps und erzielen gleichzeitig einen maximalen ROI.
Wie Stellar Cyber AI SecOps verbessert
Automatisierte Vorfallerkennung
Stellar Cyber macht die manuelle Bedrohungserkennung überflüssig und bietet stattdessen regelbasierte Bedrohungsidentifikation mit mehrere Ebenen der KI.
Die erste dieser KIs konzentriert sich auf die Erkennung: Das Sicherheitsforschungsteam von Stellar Cyber erstellt und trainiert überwachte Modelle mithilfe einer Mischung aus öffentlich verfügbaren und intern generierten Datensätzen. Zero-Day- und unbekannte Bedrohungen sind über parallele, unbeaufsichtigte Modelle des maschinellen Lernens erkennbar. Diese Modelle legen über mehrere Wochen hinweg eine Basislinie des Netzwerk- und Benutzerverhaltens fest. Sobald Datensignale aufgenommen wurden, korreliert eine GraphML-basierte KI Erkennungen und andere Datensignale und verknüpft automatisch verwandte Datenpunkte, um Analysten zu unterstützen. Sie bewertet die Verbindungsstärke zwischen verschiedenen Ereignissen, indem sie Eigenschaften, Zeitpunkt und Verhaltensmuster analysiert.
Andere Formen der KI basieren auf diesen grundlegenden Erkennungsfunktionen. Sie bieten Organisationen mit Stellar Cyber-Technologie mehr Zugänglichkeit und Reaktionsmöglichkeiten.
Machen Sie SecOps zugänglich
Alle Echtzeit-Sicherheitsdaten einer Organisation werden in zwei Hauptformaten dargestellt: das erste in der Kill Chain auf dem Dashboard und das zweite über den Copilot.
Das XDR Kill Chain-Dashboard dient als Standard-Homepage für Stellar Cyber und bietet eine zentrale Ansicht des Gesamtrisikos und der erkannten Bedrohungen. Es ermöglicht schnelle Bewertungen, indem es Drilldowns zu aktiven Vorfällen, risikoreichen Assets und Angriffstaktiken bereitstellt. Dieser optimierte Ansatz hilft Sicherheitsteams dabei, kritische Probleme zu priorisieren, unabhängig von ihren individuellen Schwerpunkten, die dann weiter vertieft werden können.
Copilot AI hingegen ist ein LLM-basierter Ermittler, der die Bedrohungsanalyseprojekte der Analysten beschleunigt, indem er sofortige Antworten auf Anfragen liefert. Dies macht es perfekt für den schnellen Datenabruf und die Erklärung und integriert das Tool weiter in SecOps-Projekte.
Sichtbarkeit auf allen Oberflächen
Stellar Cyber nimmt Protokolle und Sicherheitsdaten über mehrere Sensortypen auf. Die Netzwerk- und Sicherheitssensoren sammeln Metadaten von physischen und virtuellen Switches und aggregieren Protokolle für umfassende Transparenz. Seine Deep Packet Inspection (DPI) analysiert Payloads in Echtzeit. Serversensoren hingegen können Daten von Linux- und Windows-Servern sammeln und Netzwerkverkehr, Befehle, Prozesse, Dateien und Anwendungsaktivitäten erfassen. Erwarten Sie vollständige Kompatibilität ab Windows 98 und höher sowie Linux-Distributionen wie Ubuntu, CoreOS und Debian.
Die Plattform ist überall dort installiert, wo Transparenz erforderlich ist: Ob Cloud-basiert, hybrid oder vollständig vor Ort – oder mandantenbasiert – Stellar Cyber integriert Daten von überall.
Erweiterte Reaktions-KI
Die Reaktionsfunktionen von Stellar Cyber erweitern die Integration des Tools mit vorhandenen Sicherheitstools: Anstatt Daten einfach nur aufzunehmen, kann Stellar über dieselben Tools auch automatisch Maßnahmen ergreifen.
Da bei Stellar der Schwerpunkt auf einer schnellen Implementierung liegt, wird es mit 40 vorgefertigten Playbooks zur Bedrohungssuche ausgeliefert, die die gesamte Angriffsfläche abdecken – beispielsweise fehlgeschlagene Windows-Anmeldevorgänge, DNS-Analysen und Microsoft 365. Dadurch wird die Bedrohungserkennung und -reaktion selbst für Teams ohne umfassende Sicherheitskenntnisse leichter zugänglich.
Stellar Cyber lässt sich nahtlos in Firewalls, Endpunktsicherheit, Identitäts- und Zugriffsverwaltungstools, Ticketsysteme und Messaging-Apps integrieren, um Sicherheitsoperationen zu skalieren. Für erweiterte Orchestrierungsanforderungen unterstützt es die Integration mit führenden SOAR-Plattformen für eine optimierte und effiziente Reaktion auf Bedrohungen. Unternehmen, die Stellar Cyber einsetzen, genießen detaillierte Kontrolle über die Auslöser, Bedingungen und Ergebnisse jedes Playbooks – so können sie die Best Practices von SecOps genau und genau befolgen. Playbooks können global oder auf Mandantenbasis bereitgestellt werden.
Entdecken Sie Stellar Cyber AI SecOps
Die Plattform von Stellar Cyber vereinfacht die Einführung von KI in SecOps, indem es sich auf eine schnelle Implementierung konzentriert. Es ermöglicht Unternehmen, effektivere und effizientere Sicherheitsabläufe ohne einen langwierigen oder vom Anbieter blockierten Implementierungsprozess zu erreichen. Seine Automatisierungsfunktionen sind sofort einsatzbereit – um die Umgebung und Funktionen von Stellar Cyber zu erkunden, Demo anfordern.
