Die Zukunft der Cybersicherheit: KI, Automation und der menschliche Faktor

Im vergangenen Jahrzehnt ist die dunkle Realität der Cybersicherheitsbedrohungen im Zuge des explosiven Wachstums der Informationstechnologie dramatisch evolviert. Cyberangriffe, die einst hauptsächlich von schädlichen Hackern getrieben wurden, die nach Bekanntheit oder finanziellen Gewinn strebten, sind nun wesentlich komplexer und gezielter geworden. Von staatlich gesponserten Spionageaktionen bis hin zu Corporate- und Identitätsdiebstahl sind die Motive hinter Cyberkriminalität zunehmend sinistrier und gefährlicher. Selbst wenn finanzieller Gewinn immer noch ein wichtiger Grund für Cyberkriminalität ist, wurde er von noch schädlicheren Zielen wie dem Diebstahl kritischer Daten und Vermögenswerten überlagert. Cyberangreifer nutzen umfassend cutting-edge-Technologien, einschließlich künstlicher Intelligenz, um Systeme zu infiltrieren und schädliche Aktivitäten durchzuführen. In den USA hat das Federal Bureau of Investigation (FBI) über 800.000 cyberkriminelle Beschwerden im Jahr 2022 gemeldet, mit Gesamtschäden von über 10 Milliarden Dollar, was den Gesamtbetrag von 6,9 Milliarden Dollar im Jahr 2021 übertrifft, laut dem Internet Crime Complaint Center des Bureau.

Mit der sich schnell verändernden Bedrohungslandschaft ist es Zeit für Organisationen, einen mehrschichtigen Ansatz zur Cybersicherheit zu adoptieren. Der Ansatz sollte darauf abzielen, wie Angreifer Zugang erhalten; den initialen Kompromiss verhindern; schnellen Eindringen erkennen; und eine schnelle Reaktion und Sanierung ermöglichen. Der Schutz digitaler Vermögenswerte erfordert die Nutzung der Kraft von KI und Automation, während sichergestellt wird, dass qualifizierte menschliche Analysten integraler Bestandteil der Sicherheitspostur bleiben.

Der Schutz einer Organisation erfordert eine mehrschichtige Strategie, die die vielfältigen Einstiegspunkte und Angriffsvectoren berücksichtigt, die von Gegnern eingesetzt werden. Im Großen und Ganzen können diese in vier Hauptkategorien unterteilt werden: 1) Web- und Netzwerkangriffe; 2) Angriffe auf Benutzerverhalten und Identität; 3) Angriffe auf Entitäten, die Cloud- und Hybridumgebungen zielen; und 4) Malware, einschließlich Ransomware, fortschrittlicher anhaltender Bedrohungen und anderer schädlicher Code.

Nutzung von KI und Automation

Die Bereitstellung von KI- und Machine-Learning-Modellen, die auf jede dieser Angriffsklassen zugeschnitten sind, ist für die proaktive Bedrohungserkennung und -verhinderung von entscheidender Bedeutung. Für Web- und Netzwerkangriffe müssen Modelle Bedrohungen wie Phishing, Browser-Ausnutzung und Distributed Denial-of-Service (DDoS)-Angriffe in Echtzeit erkennen. Benutzer- und Entitätsverhaltensanalysen, die KI nutzen, können anomale Aktivitäten erkennen, die auf Konto-Kompromittierung oder Missbrauch von Systemressourcen und -daten hinweisen. Schließlich kann die KI-gesteuerte Malware-Analyse neue Stämme schnell triagieren, schädliches Verhalten identifizieren und die Auswirkungen von dateibasierten Bedrohungen mildern. Durch die Implementierung von KI- und ML-Modellen über das gesamte Spektrum von Angriffsoberflächen können Organisationen ihre Fähigkeit erheblich verbessern, Angriffe autonom in den frühesten Stadien zu erkennen, bevor sie zu vollständigen Vorfällen eskalieren.

Sobald KI/ML-Modelle potenzielle Bedrohungstätigkeit über verschiedene Angriffsvectoren identifiziert haben, stehen Organisationen vor einer weiteren wichtigen Herausforderung – dem Verständnis der häufigen Warnungen und der Trennung kritischer Vorfälle vom Rauschen. Mit so vielen Datenpunkten und Erkennungen, die generiert werden, wird die Anwendung einer weiteren Schicht von KI/ML, um die wichtigsten Warnungen zu korrelieren und zu priorisieren, die einer weiteren Untersuchung und Reaktion bedürfen, von entscheidender Bedeutung. Warnmüdigkeit ist ein zunehmend kritischer Punkt, der gelöst werden muss.

KI kann eine entscheidende Rolle in diesem Warn-Triager-Prozess spielen, indem sie große Mengen an Sicherheitstelemetrie verarbeitet, Erkenntnisse aus mehreren Erkennungsquellen einschließlich Bedrohungsintelligenz fusioniert und nur die hochwertigsten Vorfälle für die Reaktion an die Oberfläche bringt. Dies reduziert die Belastung für menschliche Analysten, die ansonsten von weit verbreiteten Falschpositiven und niedrigwertigen Warnungen überflutet würden, die nicht genügend Kontext haben, um die Schwere und die nächsten Schritte zu bestimmen.

Obwohl Bedrohungsakteure aktiv KI eingesetzt haben, um Angriffe wie DDoS, gezieltes Phishing und Ransomware zu betreiben, hat die Verteidigungsseite bei der KI-Adoption zurückgesteckt. Dies ändert sich jedoch schnell, da Sicherheitsanbieter um die Entwicklung fortschrittlicher KI/ML-Modelle wetteifern, die in der Lage sind, diese KI-gesteuerten Bedrohungen zu erkennen und zu blockieren.

Die Zukunft der defensiven KI liegt in der Bereitstellung spezialisierter kleiner Sprachmodelle, die auf bestimmte Angriffstypen und Einsatzfälle zugeschnitten sind, anstatt sich allein auf große, generative KI-Modelle zu verlassen. Große Sprachmodelle zeigen mehr Versprechen für Cybersicherheitsoperationen wie die Automatisierung von Help-Desk-Funktionen, das Abrufen von Standardbetriebsverfahren und die Unterstützung menschlicher Analysten. Die harte Arbeit der genauen Bedrohungserkennung und -verhinderung wird am besten von den hochspezialisierten kleinen KI/ML-Modellen gehandhabt.

Die Rolle der menschlichen Expertise

Es ist von entscheidender Bedeutung, KI/ML neben Prozessautomatisierung zu nutzen, um eine schnelle Sanierung und Eindämmung von verifizierten Bedrohungen zu ermöglichen. Auf diesem Stadium, ausgestattet mit hochwertigen Vorfällen, können KI-Systeme automatisierte Playbook-Antworten auslösen, die auf jeden spezifischen Angriffstyp zugeschnitten sind – schädliche IPs [Internet-Protokoll] blockieren, kompromittierte Hosts isolieren, adaptive Richtlinien durchsetzen und mehr. Menschliche Expertise bleibt jedoch integraler Bestandteil, validiert die KI-Ausgaben, wendet kritisches Denken an und überwacht die autonome Reaktionsmaßnahmen, um den Schutz ohne Geschäftsausfall sicherzustellen.

Ein differenziertes Verständnis ist das, was Menschen an den Tisch bringen. Auch die Analyse neuer und komplexer Malware-Bedrohungen erfordert Kreativität und Problemlösungsfähigkeiten, die möglicherweise über die Reichweite von Maschinen hinausgehen.

Menschliche Expertise ist in mehreren Schlüsselbereichen von entscheidender Bedeutung:

• Validierung und Kontextualisierung: KI-Systeme, trotz ihrer Komplexität, können manchmal Falschpositiven generieren oder Daten falsch interpretieren. Menschliche Analysten sind erforderlich, um KI-Ausgaben zu validieren und den notwendigen Kontext zu liefern, den KI möglicherweise übersehen könnte. Dies stellt sicher, dass die Reaktionen angemessen und proportioniert zur tatsächlichen Bedrohung sind.
• Komplexe Bedrohungsuntersuchung: Einige Bedrohungen sind zu komplex für KI, um sie allein zu handhaben. Menschliche Experten können tiefer in diese Vorfälle eindringen, ihre Erfahrung und Intuition nutzen, um verborgene Aspekte der Bedrohung zu entdecken, die KI möglicherweise übersehen könnte. Diese menschliche Einsicht ist von entscheidender Bedeutung, um den vollen Umfang von komplexen Angriffen zu verstehen und wirksame Gegenmaßnahmen zu entwickeln.
• Strategische Entscheidungsfindung: Während KI Routineaufgaben und Datenverarbeitung handhaben kann, erfordern strategische Entscheidungen über die Gesamtsicherheitspostur und langfristige Verteidigungsstrategien menschliches Urteilsvermögen. Experten können KI-generierte Erkenntnisse interpretieren, um informierte Entscheidungen über Ressourcenzuweisung, Richtlinienänderungen und strategische Initiativen zu treffen.
• Ständige Verbesserung: Menschliche Analysten tragen zur ständigen Verbesserung von KI-Systemen bei, indem sie Feedback und Trainingsdaten liefern. Ihre Erkenntnisse helfen, KI-Algorithmen zu verfeinern, was sie über die Zeit hinweg genauer und effektiver macht, um aufkommende Bedrohungen zu bekämpfen.

Optimiertes Mensch-Maschine-Teaming

Zu Grunde dieses Übergangs liegt die Notwendigkeit von KI-Systemen, die aus historischen Daten lernen können (überwachtes Lernen) und sich kontinuierlich anpassen können, um neue Angriffe durch unsupervisierte/Verstärkungslernalgorithmen zu erkennen. Die Kombination dieser Methoden wird entscheidend sein, um den sich entwickelnden KI-Fähigkeiten der Angreifer einen Schritt voraus zu sein.

Insgesamt wird KI für Verteidiger von entscheidender Bedeutung sein, um ihre Erkennungs- und Reaktionsfähigkeiten zu skalieren. Menschliche Expertise muss eng in die Untersuchung komplexer Bedrohungen, die Überprüfung von KI-Systemausgaben und die Führung strategischer Verteidigungsstrategien integriert bleiben. Ein optimiertes Mensch-Maschine-Teaming-Modell ist ideal für die Zukunft.

Wenn massive Sicherheitsdatenvolumina über die Zeit hinweg anfallen, können Organisationen KI-Analytics auf diesen Schatz an Telemetrie anwenden, um Erkenntnisse für proaktives Bedrohungsjagen und die Verstärkung von Verteidigungen abzuleiten. Das kontinuierliche Lernen aus vorherigen Vorfällen ermöglicht die vorherige Modellierung neuer Angriffsmuster. Wenn KI-Fähigkeiten voranschreiten, wird die Rolle kleiner und spezialisierter Sprachmodelle, die auf bestimmte Sicherheitsanwendungsfälle zugeschnitten sind, wachsen. Diese Modelle können helfen, “Warnmüdigkeit” weiter zu reduzieren, indem sie genau die wichtigsten Warnungen für die menschliche Analyse triagieren. Autonome Reaktion, gesteuert durch KI, kann auch auf mehr Tier-1-Sicherheitsaufgaben ausgeweitet werden.

Menschliches Urteilsvermögen und kritisches Denken werden jedoch unersetzlich bleiben, insbesondere für Vorfälle mit hoher Schwere. Zweifellos ist die Zukunft eine von optimiertem Mensch-Maschine-Teaming, in der KI das umfangreiche Datenverarbeitung und Routineaufgaben handhabt, menschliche Experten ermöglicht, sich auf die Untersuchung komplexer Bedrohungen und hohe Sicherheitsstrategie zu konzentrieren.