SICHERHEITSTECHNIK 12 DSD 3 | 2022 hang ins Netz gelangen. KI erkennt dann, dass ein menschlicher Angreifer sich im Netz zu schaffen macht. Die individuelle Taktik des Hackers bildet sich nicht durch statistische Indikatoren ab. Um die nächsten Schritte des Angreifers vorwegzunehmen, kann sich aber ein erfahrener Sicherheitsanalyst in den Hacker hineinversetzen und seine nächsten Schritte voraussehen. 4. Gesamtheitliche Tätermotivation erfassen: Eine Cyberabwehr muss die Motive eines Kriminellen berücksichtigen. Nicht jeder Angreifer will Daten entwenden, verschlüsseln und Lösegeld erhalten. Hacker haben verschieden Motive: das Kapern von Ressourcen, um Bitcoins zu schürfen, eine vielleicht politisch oder persönlich motivierte Sabotage oder einfach die Lust am Zerstören. Somit darf eine Abwehr nicht nur Daten sichern oder Informationslecks schließen. Eine nachhaltige Reaktion verlangt ein Verständnis der menschlichen Psychologie. 5. Relevante und priorisierte Sicherheit anstatt Abwehr-Automatismen: Ein IT-Sicherheitsanalyst priorisiert Risiken individuell für ein Unternehmen. Dabei erfolgt dieWahl der Abwehr je nach Kontext: Handelt es sich um wiederbeschaffbare Daten, die möglicherweise gar keinen Wert mehr für das Unternehmen haben oder um die vielzitierten Kronjuwelen? Daraus resultierende Fragen nach einer zur Situation passenden Abwehr angesichts der Relevanz von Daten oder Prozessen für den Geschäftserfolg kann eine KI nicht beantworten. Zudem hat der Analyst den Blick für branchentypische Angriffe. Greifen Hacker den e-tailer X aktuell mit einer Malware an, ist nicht ausgeschlossen, dass sie es danach bei Konkurrent Y und Z versuchen. Eine KI, die nur das eigene Netz im Blick hat, sieht ein solches Risiko nur, wenn eine hochaktuelle Threat Intelligence sie unterstützt. 6. Abwehr leiten und Kollateralschäden vermeiden: Eine KI hat große Stärken im Erkennen einer Gefahr und kann eine Abwehr automatisch starten. Jede Abwehr hat jedoch Nebenwirkungen und kann IT- oder Geschäftsabläufe beeinträchtigen. Die Abwehr ist unter Umständen nicht weniger komplex und folgenreich als die APT. Somit sind hier Sicherheitsanalysten gefragt, weil sie die Folgen des Handelns berücksichtigen und abwägen können. Nicht zu rechtfertigende Kollateralschäden, wie etwa das Blockieren eines IoT-gesteuerten Gebäudezugangs oder von IT-Systemen in der Krankenpflege, kann die menschliche Expertise vermeiden. Beim Nachbereiten eines Angriffes kommt einem Sicherheitsanalysten dann eine wichtige beratende Rolle zu. Er kann anhand einer gespiegelten Aufzeichnung des gesamten Netzwerkes forensisch nachvollziehen, was passiert ist und wie Angriffe in Zukunft verhindert werden können. KI und Mensch sind aufeinander angewiesen IT-Sicherheit ohne KI gehört der Vergangenheit an. Dennoch wird der Sicherheitsexperte nicht überflüssig. Er bleibt relevant als kontinuierlicher Interpret von Alarmen, als Betreuer in Krisensituationen und als Berater für eine zukunftssichere IT-Sicherheit. Jede „Detection and Response“ ist idealerweise von einer „Managed Detection and Response“ ergänzt. Abbildung 1: Network Detection and Response liefert einen 360-Grad-Blick über alle zentral verwalteten IT-Ressourcen hinweg. Eine Fülle an Informationen, die eine KI aufbereitet und analysiert. Abbildung 2: Arbeitsteilung für Cybersicherheit: KI und Sicherheitsanalysten arbeiten zusammen an einer zukunftssicheren Abwehr gegen gefährliche Angriffe. Bild: ForeNova Bild: ForeNova
RkJQdWJsaXNoZXIy Mjc4MQ==