Threat Intelligence: Der maßgeschneiderte Einsatz von Künstlicher Intelligenz

Das Buzzword KI wird in IT-Security-Szenarien vor allem als Gefahr durch sich rasant entwickelnde Angriffsvektoren verstanden. Dabei werden die Chancen und Möglichkeiten von Künstlicher Intelligenz als zusätzliche Abwehrlinie oft falsch eingeschätzt. KI ist kein pauschales Allheilmittel, kann aber bei strategischem und wissensbasiertem Einsatz ein Instrument zur Verbesserung der IT-Sicherheit sein. Die Lösung heißt „Threat Intelligence“ und steht für den Einsatz von maschinellem Lernen, um IT-Sicherheitsteams zu entlasten, zu unterstützen und in die Lage zu versetzen, schnell fundierte Entscheidungen zu treffen.

Intelligente Weiterentwicklung der Threat Detection

Pathlock Threat Intelligence ist eine Weiterentwicklung der etablierten Threat Detection-Lösungen: Die Erkennung von Bedrohungen wird durch maschinelles Lernen verfeinert und eine automatisierte Reaktion auf erkannte Risikosituationen ermöglicht. Bisher erfolgte die Reaktion auf ein erkanntes Risiko in zwei Schritten: erst die Situation bewerten, dann Maßnahmen ergreifen. Durch unterbesetzte Security Operations Centers, fehlendes Know-how oder komplexe Bewertungsprozesse verging wertvolle Zeit, bis Gegenmaßnahmen ergriffen werden konnten, obwohl gerade die Reaktionszeit entscheidend für die Schadensbegrenzung ist.

Echtzeitüberwachung rund um die Uhr

Die Einbindung automatisierter Prozesse als zusätzliche Sicherheitsschicht hilft, dieses Problem zu lösen. So lassen sich Zugriffe auf kritische Transaktionen kontextsensitiv einschränken oder sogar ganz blockieren, einzelne Datenfelder attributbasiert ausblenden, weitere Downloads verhindern oder Benutzer mit kritischem Verhalten vom System abmelden. Vollautomatisiert, in Echtzeit und 24 Stunden am Tag. Die sofortige Reaktion auf eine als risikoreich eingeschätzte Situation ermöglicht den unverzüglichen und gezielten Schutz hochsensibler Informationen. Unser zugrundeliegendes Regelwerk ist dabei vollständig konfigurierbar und anwendungsspezifisch adaptierbar.

💡 Bei der Threat Intelligence wird die Threat Detection durch den Einsatz von KI um einen strategischen Schritt erweitert, um schnellstmöglich Maßnahmen zur Schadensbegrenzung oder -vermeidung einleiten zu können.

Methoden des maschinellen Lernens zur Verbesserung der Bedrohungserkennung

Pathlock Threat Intelligence erhöht also die Fähigkeiten zur Bedrohungserkennung und lässt (teil-)automatisierte Reaktionen im Anwendungskontext zu. Dabei kommen innovative Ansätze wie Reinforcement Learning und User and Entity Behavioral Analytics (UEBA) zum Einsatz.

Reinforcement Learning unterstützt eine bessere Bewertung von Ereignissen durch die Integration von Informationen aus verschiedenen Quellen, wie beispielsweise regelmäßigen internen Audits, in die Echtzeit-Risikoanalyse. So werden z.B. Aufrufe von Programmen mit potenziellen Schwachstellen im Code oder Aktionen von privilegierten Benutzern automatisch mit einer höheren Kritikalität bewertet als andere. Auf diese Weise sind eine Identifizierung und detaillierte Analyse relevanter Ereignisse möglich. Eine Empfehlung, um wie viel die Kritikalität im Vergleich zu einer unkritischen Aktivität erhöht wird, wird anwendungsspezifisch vorgeschlagen, sie kann aber auch individuell nach Kundenanforderung neu definiert werden.

User and Entity Behavioral Analytics (UEBA) identifiziert Auffälligkeiten im Verhalten von Benutzern und Systemen. Es ist in der Lage, ein ungewöhnlich hohes Transaktionsvolumen oder das unerwartete Auftreten seltener Transaktionen zu erkennen. Wenn z. B. ein Benutzer, der sonst nur Bestellungen bearbeitet, plötzlich größere Finanztransaktionen ausführt, ist dies ein Hinweis auf eine potenzielle Bedrohung oder eine betrügerische Aktivität. UEBA erkennt solche auffälligen Verhaltensmuster und leitet umgehend risikominimierende Maßnahmen ein, um sicherzustellen, dass die Systemintegrität gewahrt bleibt.

Durch den kombinierten Einsatz beider Methoden ist nicht nur eine schnellere Bedrohungserkennung möglich, sondern auch eine genauere Bewertung der Bedrohungen, um effektiv darauf reagieren zu können. Und zwar unabhängig davon, ob die Reaktion auf das Sicherheitsereignis automatisiert, teilautomatisiert oder manuell abläuft.

Mit Threat Intelligence fundierte Entscheidungen treffen

Threat Intelligence ist nicht nur ein technisches Tool. Sie kann vielmehr auch ein integraler Bestandteil der strategischen Sicherheitsplanung im Unternehmen sein. Durch den Einsatz von KI-gestützter Bedrohungsanalyse sind CISOs und ihre Sicherheitsteams in der Lage, fundierte Entscheidungen zur Priorisierung von Sicherheitsmaßnahmen zu treffen. Dadurch können Ressourcen künftig besser verteilt und präventive Maßnahmen ermöglicht werden. Die strategische Einbindung von Threat Intelligence erhöht somit nicht nur die Reaktionsfähigkeit, sondern stärkt auch ein umfassendes Sicherheitsbewusstsein im Unternehmen.

Künstliche Intelligenz und der Mensch als Schlüsselfaktor

KI als strategisches Instrument entlastet Sicherheitsanalysten durch die automatische Analyse und Zusammenfassung von Sicherheitsvorfällen ohne manuellen Eingriff. Sie liefert qualifiziertere Ergebnisse, indem sie komplexe Zusammenhänge und Kontextinformationen herausfiltert und verarbeitet. Dadurch können manuelle Validierungsschritte reduziert werden. Zur individuellen Beurteilung jedes Einzelfalls haben die Analysten jederzeit die Möglichkeit, Automatismen auszuschalten und auf manuelle Tätigkeiten umzuschalten.

Der Einsatz von KI fungiert somit als unterstützendes Werkzeug, das eine fokussierte Bearbeitung relevanter Themen ermöglicht, Zeit spart und die Effizienz steigert. Hochqualifiziertes Personal kann so weiterhin dort sinnvoll eingesetzt werden, wo menschliche Expertise unverzichtbar bleibt.

Raphael Kelbert, Product Management (Pathlock Deutschland)

Dieser Fachartikel ist auch auf it-daily.net sowie im it security Print Magazin, Ausgabe 9-10/24, erschienen.

Unsere Webinar-Empfehlung für Sie: