T-Systems-Claim-Logo
Suchen
Mitarbeiter, der Cybersecurity am Computer nutzt

Warum Security Operations eine KI-Modernisierung braucht

Wie Unternehmen ihre Abhängigkeit von manuellen Prozessen bei Security Operations verringern und die Erkennung von Bedrohungen mit KI verbessern können

08. Mai 2024Dheeraj Rawal

Der Hintergrund

In diesem Blog erfahren Sie, wie sich Security Operations (SecOps) von reaktiv zu proaktiv entwickelt haben. Erfahren Sie mehr über die Herausforderungen manueller Prozesse und weshalb Sicherheitsexperten gefordert werden. Wie können diese Herausforderungen durch künstliche Intelligenz (KI) eliminiert werden? Nehmen Unternehmen künstliche Intelligenz an? Welche Vorteile verspricht und bringt künstliche Intelligenz für SecOps?

Die Geschichte von Security Operations

Lange Zeit war das Security Operations Center (SOC) ein riesiger Raum mit großen Bildschirmen, auf denen ständig Warnmeldungen aufleuchteten. Vor diesen Bildschirmen saßen Sicherheitsteams, die die Warnmeldungen laufend überwachten und analysierten. SOCs waren ursprünglich für Regierungs- und Verteidigungsorganisationen konzipiert worden und behandelten hauptsächlich Netzwerkwarnungen. Dann kamen Intrusion Detection Systems (IDS), Firewalls, Virenschutz usw. hinzu. Security Operations entwickelten sich konstant weiter, um mit den zunehmenden Bedrohungen mithalten zu können. So wurde beispielsweise im Jahr 2005 das Security Information and Event Management (SIEM) eingeführt, mit dem die Bedrohungserkennung und -reaktion optimiert wurde (Incident Detection and Response).

Nicht nur die Bedrohungen, sondern auch die Tools wurden immer ausgeklügelter ...

In dem Maße, wie sich die Cyberrisiken weiterentwickelten, insbesondere die Advanced Persistent Threats (APTs), wurden auch die Instrumente zu deren Bekämpfung besser. Ab 2016 erlebte der Markt den Aufschwung der Managed Detection and Response (MDR)-Dienste mit modernen Funktionen zur Bedrohungserkennung. Security Operations arbeiten heute nicht mehr reaktiv, sondern proaktiv.  Anfang des Jahres 2024 werden Technologien wie Automatisierung und künstliche Intelligenz vollständig in die SecOps integriert. Technologien, wie künstliche Intelligenz helfen Unternehmen, den Überblick zu behalten, Daten besser zu verarbeiten und Bedrohungen effizient zu beseitigen.

Steigende Erwartungen an Security Operations

Infografik zu den Herausforderungen für die operative Informationssicherheit

Hier sind einige Herausforderungen für herkömmliche Security Operations.1

Von einem modernen Security Operations Center (SOC) wird erwartet, dass es nicht nur die Sicherheit gewährleistet, sondern auch Compliance-, Berichts- und Schulungsanforderungen erfüllt. Bei veralteten Sicherheitssystemen stehen Sicherheitsanalysten vor zu vielen operativen Herausforderungen – Sie werden beispielsweise konstant mit Warnmeldungen überhäuft.

Bei Cybersicherheit ist immer der Kontext entscheidend. Security Operations beruhen grundsätzlich darauf, Bedrohungsintelligenz einzusetzen, die Risiken abwehren kann. Allerdings wirken eine Flut von Informationen, Fehlalarmen sowie fehlenden Kontext dem Zweck der Risikominimierung entgegen. 
Analysten erhalten jeden Tag Tausende Warnmeldungen – dazu einige Ergebnisse aus einer Studie2:

  • Anzahl der täglich eingegangenen Warnmeldungen: 4.484
  • Stunden, die für die manuelle Einstufung von Warnmeldungen aufgewendet werden: 3
  • Anteil der täglich bearbeiteten Warnmeldungen: 33 %
  • Anteil der Fehlalarme: 83 %
  • Zeitanteil für Warnmeldungen, die keine Bedrohung darstellen: 32 %

Angst, eine wichtige Warnmeldung zu verpassen

Eine solche Flut von Warnmeldungen bringt Sicherheitsanalysten zwangsläufig in Bedrängnis. So befürchten 97 % von ihnen, eine wichtige Warnmeldung zu verpassen, wenn es drauf ankommt. Das geschah bei der Target Corporation, einem riesigen Einzelhandelsunternehmen in den USA. 2013 war Target Opfer einer der größten Datenschutzverletzungen jemals, bei der die Kredit- und Debitkartendaten von rund 41 Millionen Kunden gestohlen wurden. Diese Datenpanne kostete das Unternehmen 18,5 Millionen Dollar für die Beilegung gerichtlicher Klagen und führte zudem zu einem schlechten Ruf und zum Einbruch der Aktienkurse.

Was aber wirklich nachdenklich stimmt, ist der Umstand, dass die Überwachungssoftware von Target (FireEye) zwar Warnmeldungen ausgab, die Sicherheitsexperten aber nicht darauf reagierten. Diese haben die Warnungen wahrscheinlich als Fehlalarme oder als zweitrangig betrachtet und ignoriert, da sie Hunderte dieser Meldungen täglich erhielten.3

Zu viel Last auf den Schultern der SecOps-Mitarbeiter

Infografik Warum operative Informationssicherheit komplex ist

Warum operative Informationssicherheit komplex ist

Zu viele Warnmeldungen und nur wenige Sicherheitsanalysten, die damit umgehen können, sind eine große Herausforderung. Die Wurzel dieses Problems liegt in der Abhängigkeit von manuellen Prozessen. Eine Studie aus dem Jahr 2023 hat gezeigt, dass 81 % der Fachleute im Bereich Security Operations der Meinung sind, dass manuelle Ermittlungen sie verlangsamen. Sie müssen Abhilfemaßnahmen manuell einleiten.4 Dieselbe Studie ergab auch, dass die durchschnittliche Zeit für die Erkennung und Reaktion in den letzten zwei Jahren gestiegen ist. Analysten verbringen etwa ein Drittel ihrer täglichen Arbeitszeit damit, Bedrohungen zu untersuchen, die nicht real sind.

Zunehmende Abhängigkeit von manuellen Prozessen, aber kein Ende des Fachkräftemangels

Der Kern des Problems ist der Mangel an Sicherheitsexperten, die in der Lage sind, umfangreiche Systeme zu verwalten. Der Einsatz von Digital- und Cloud-Technologien ist stark gestiegen, was die Angriffsfläche vergrößert. Allerdings ist die Zahl der qualifizierten Fachkräfte im Sicherheitsbereich in den letzten zwei Jahrzehnten nicht gestiegen. Forbes berichtet, dass allein im Jahr 2023 3,5 Millionen Arbeitsstellen im Bereich Cyber Security offen waren. Es dauert durchschnittlich 150 Tage, eine offene Stelle im Sicherheitsbereich zu besetzen.5 Sicherheitsexperten haben den Eindruck, dass ihre Arbeit schwieriger ist als noch vor zwei Jahren. Gründe dafür sind die zunehmende Komplexität, die immer größer werdende Angriffsfläche, der ständige Bedarf an Schulungen und Upgrades, der Budgetdruck sowie Stress bei der Einhaltung gesetzlicher Vorschriften.6

Die dringende Notwendigkeit, manuelle und aufwendige Prozesse aufzugeben

Da weniger Personal zur Verfügung steht, ist für den Einzelnen der Zeitaufwand für die Erkennung, Analyse und Reaktion höher. Es gibt noch weitere Herausforderungen wie das Skalieren der Abläufe, menschliche Fehler bei der Interpretation von Daten, Rund-um-die-Uhr-Überwachung, die Anpassungsfähigkeit an schnelle Veränderungen usw. Natürlich besteht ein Fachkräftemangel, doch wenn die Abhängigkeit von Menschen verringert wird, können die meisten Probleme im Zusammenhang mit Security Operations gelöst werden. Die Automatisierung von Abläufen und der Einsatz von KI können Teams entlasten.

KI und Automatisierung als Retter in Not

Angesichts des komplexen Umfelds, der zahlreichen Warnmeldungen und der Geschwindigkeit von Angriffen können sich Unternehmen nicht mehr ausschließlich auf herkömmliche Sicherheitsmaßnahmen verlassen. Moderne Security Operations sollten in der Lage sein, Muster zu erkennen, in Echtzeit zu reagieren, den richtigen Kontext abzuleiten und die Compliance sicherzustellen. Etwa 63 % der SOC-Mitarbeiter sind der Meinung, dass Technologien wie künstliche Intelligenz und Automatisierung (oder einfacher „intelligente Automatisierung“) die Reaktionszeit um ein Vielfaches verkürzen können.7

Wie KI die Bedrohungsintelligenz stärkt

Mitarbeiter, die Cybersecurity am Computer nutzen

Die herkömmliche signaturbasierte Erkennung reicht heute nicht mehr aus, da sie nicht in der Lage ist, neue Zero-Day-Angriffe zu erkennen und mit großen Malware-Volumen Schritt zu halten. Künstliche Intelligenz kann dem Team für Security Operations helfen, sowohl bekannte als auch unbekannte Cyberrisiken zu identifizieren, selbst wenn keine Signatur vorhanden ist. Künstliche Intelligenz nutzt maschinelle Lernalgorithmen (ML), um große Datenmengen zu analysieren sowie Anomalien und Muster zu erkennen. Auch die regelbasierte Phishing-Erkennung ist veraltet, da sie neuere und unbekannte Phishing-E-Mails nicht mehr erkennen kann. KI analysiert dagegen die E-Mail-Struktur, den Inhalt und die Benutzerinteraktion, um einen möglichen Phishing-Versuch zu erkennen.

Gleiches gilt für die Protokollanalyse: KI-basierte Analysen von Sicherheitsprotokollen können im Vergleich zu regelbasierten Systemen riesige Volumen in Echtzeit verarbeiten. KI kann nicht nur externe, sondern auch interne Bedrohungen wie unbefugten Zugriff oder verdächtige Datenübertragungen erkennen.

Verbesserte Bedrohungserkennung mit KI

KI sorgt zudem für eine sehr effektive Netzwerksicherheit, da ihre Algorithmen Netzwerke überwachen, ungewöhnliche Datenverkehrsmuster erkennen, nicht autorisierte oder verdächtige Geräte im Netzwerk identifizieren können usw. Unternehmen können mit künstlicher Intelligenz Datenverletzungen und Sicherheitsvorfälle wirksam verhindern. Ein wesentliches Merkmal von KI ist, dass sie mit der Zeit lernt und besser wird. Wenn neue Cyberbedrohungen aufkommen, können KI-Modelle aus den neuen Daten lernen, um eine noch stärkere Abwehr zu schaffen. In Unternehmen, die MDR-Dienste mit KI-basiertem Endpunktschutz nutzen, reagieren die Sicherheitsteams schneller und effektiver. Zusammenfassend kann man sagen, dass durch den Einsatz von KI im Bereich Security Operations unter anderem die Effizienz zunimmt, die Echtzeit-Erkennung besser wird, die Skalierbarkeit steigt und die Entscheidungsfindung präziser wird. 

Wie Security Operations von KI profitieren kann

Zeiteinsparung

KI entlastet die Sicherheitsteams von mühsamen Aufgaben. So können diese sich auf kritischere und komplexere Aufgaben konzentrieren. Mit intelligenter Automatisierung lassen sich wichtige Aufgaben wie Schwachstellen-Scans, Patch-Management, Bedrohungserkennung und Reaktion auf Vorfälle optimieren. KI empfiehlt auch Maßnahmen und unterstützt die Sicherheitsteams bei der Bedrohungsabwehr. Unternehmen, die KI einsetzen, profitieren von der schnellen Verarbeitung von Daten aus verschiedenen Quellen, der Mustererkennung und der Kennzeichnung von Cyberbedrohungen in Echtzeit. Sie haben im Vergleich zu Unternehmen, die nicht in KI investiert haben, etwa 108 Tage Reaktionszeit bei Datenschutzverletzungen eingespart.8

Kosteneinsparung

Durch die Optimierung sich wiederholender Aufgaben kann der Bedarf für häufige manuelle Eingriffe erheblich gesenkt werden. Der Bedarf an „zusätzlichen“ Personal für Routineaufgaben sinkt oder entfällt sogar komplett. Darüber hinaus müssen Sicherheitsanalysten dank präziser Bedrohungsintelligenz nicht zu viel Zeit für die Untersuchung von Fehlalarmen verschwenden. Durch die Verbesserung der Erkennungsraten können Ressourcen für wichtigere Aufgaben eingesetzt werden.

KI für Security Operations bedeutet höhere Umsätze und ROIs

Da die Reaktionszeit bei Vorfällen verkürzt wird, lassen sich unter anderem größere Angriffe, Datenschutzverletzungen oder Ransomware vermeiden, die andernfalls zu finanziellen Verlusten, Bußgeldern, Klagen, Rufschädigung usw. führen könnten.

  • Unternehmen, die in KI und Automatisierung investierten, sparten etwa 1,76 Millionen US-Dollar an Kosten für Datenschutzverletzungen im Vergleich zu Unternehmen, die dies nicht taten. 
  • Wenn diese Technologien in den Unternehmen ausgereift sind, können Sicherheitsinvestitionen um bis zu 40 % rentabler sein. 
  • 43 % mehr Umsatzwachstum über fünf Jahre für Unternehmen, die über ausgereifte Sicherheitsfunktionen verfügen.9

Um den Erfolg der Implementierung von KI-basierter Security Operations zu verstehen, müssen Unternehmen folgenden Metriken im Auge behalten:

  • Mittlere Erkennungszeit (MTTD): Wie KI die Zeit bis zur Erkennung einer Bedrohung verkürzt hat, sobald sie in das Netzwerk eingedrungen ist.
  • Mittlere Reaktionszeit (MTTR): Wie die Automatisierung der Reaktion auf Vorfälle die Zeit bis zur Reaktion auf eine Bedrohung verkürzt hat.
  • Rate von Fehlalarmen: Anzahl der durch KI reduzierten Fehlalarmen.
  • Abdeckung von Bedrohungen: Anzahl der bekannten und unbekannten Bedrohungen, die von der KI erfasst werden.
  • Produktivität des Security Operations Center: Anzahl der durch die Optimierung von SOC-Aufgaben und -Abläufen eingesparten Stunden.
  • Kosteneinsparungen: Durch intelligente Automatisierung eingespartes Geld.

Geschäftsrisiken minimieren mit KI-gestützter MDR für Unternehmen von T-Systems

Infografik zu den XSIAM-Funktionen von Palo Alto Networks

XSIAM-Funktionen von Palo Alto Networks

Mit unseren umfassenden MDR-Diensten helfen wir Unternehmen, Security Operations zu verbessern, Sicherheitsrisiken zu reduzieren und ihre zu erhöhen, ohne ihre digitale Transformation zu beeinträchtigen. Unsere -Dienste nutzen moderne KI-basierte Technologien wie Cortex XSIAM von Palo Alto Networks. Mithilfe von KI-Funktionen können wir Daten aus mehr Quellen erfassen, verschiedene Warnungen besser korrelieren und die Anzahl von Warnungen mit hoher Priorität verringern. Dies wiederum verkürzt die Lösungszeit von Tagen auf Minuten. Unnötiger Zeitaufwand für die Untersuchung von Warnungen mit niedriger Priorität oder Fehlalarmen entfällt.

XSIAM-Funktionen von Palo Alto Networks:

  • Kein Wechsel zwischen verschiedenen Konsolen mehr, alle Daten sind jetzt auf einer einzigen Konsole verfügbar, die Daten aus verschiedenen Quellen integriert.
  • Das Hinzufügen einer neuen Datenquelle ist im Vergleich zu herkömmlichem SIEM ebenfalls einfach – die Analyse der Daten startet sofort.
  • Verbinden Sie nach Bedarf verschiedene Produkte des Cortex-Marktes.
  • XSIAM beschleunigt die Ermittlungszeit durch Zuordnung mehrerer Warnungen zu einem einzigen Vorfall. Dies erspart den Analysten viel Zeit, da diese sich auf Warnmeldungen mit hohem Risiko konzentrieren können.
  • Mit Attack Surface Management (ASM) werden neue Schwachstellen schnell erkannt und sofort geschlossen.
  • XSIAM schlägt Reaktionsmaßnahmen für Analysten vor und spart dadurch Zeit.
  • Die Erkennung und Überwachung von Bedrohungen wird auch auf neue Cloud-Systeme ausgedehnt, die zu einem späteren Zeitpunkt hinzugefügt werden, um eine unternehmensweite Abdeckung zu gewährleisten.

T-Systems und Palo Alto Networks können Ihre bestehenden Security Operations optimieren, ohne dass Sie große Investitionen in Sicherheitstools tätigen und Ihr gesamtes SOC umgestalten müssen. Verbessern Sie die Sicherheit Ihres Unternehmens und erhöhen Sie die Cyber Resilience gegen moderne Angriffe.

Mit unseren KI-basierten MDR-Diensten:

  • reduzieren Sie manuelle Tätigkeiten.
  • skalieren Sie zur Vermeidung von Risiken.
  • reduzieren Sie Fehlalarme.
  • erhöhen Sie den Anteil wichtiger Warnmeldungen.
  • verkürzen Sie die Ermittlungszeit.
  • beschleunigen Sie die Reaktion auf Vorfälle.
  • verbessern Sie Compliance und Berichterstattung.
  • und ermöglichen Sie Transparenz in Echtzeit. 

Nehmen Sie jetzt Kontakt mit uns auf, wenn Sie Ihre SecOps optimieren oder unsere MDR-Dienste nutzen möchten, um die Sicherheit Ihres Unternehmens zu verbessern.

Lernen Sie unsere MDR-Angebote im Detail kennen

Das könnte Sie auch interessieren

Zur Person
IM-Rawal-Dheeraj

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Profil und alle Artikel ansehen

Wir freuen uns auf Ihre Kontaktanfrage!

Gern stellen wir Ihnen die passenden Expert*innen zur Seite und beantworten Ihre Fragen rund um Planung, Implementierung und Wartung Ihrer Digitalisierungsvorhaben.

1 SANS 2023 SOC Survey, 2023, Medium
2 Security Alert Article, Help Net, 2023, Security
3 Target Data Breach Case Study, 2023, Card Connect
4 Global SOC Study Results, 2023, IBM
5 Cybersecurity Skills Gap, 2023, Forbes
6 The Life and Times of Cybersecurity Professionals, 2023, Enterprise Strategy Group
7 Global SOC Study Results, 2023, IBM
8, 9 Costs of Data Breach Report, 2023, IBM

Besuchen Sie t-systems.com außerhalb von Switzerland? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.