ai course cyber reading real world examples of applied ai based threat intelligence
1.0.0
Wählen Sie die Registerkarten aus, um durch den Inhalt zu navigieren.
Einführung
Fallstudie: Google und Mandiant
Fallstudie: Microsoft
Fallstudie: IBM
Zusammenfassung
Ressourcen
Der Einsatz von KI in der Bedrohungsaufklärung hat sich in realen Szenarien zunehmend durchgesetzt, wobei mehrere namhafte Unternehmen eine Vorreiterrolle spielen. In dieser Lektion werden Fallstudien von Unternehmen, darunter Google, Microsoft und IBM, untersucht, um zu zeigen, wie sie KI nutzen, um ihre Fähigkeiten zur Bedrohungserkennung zu verbessern.
Am Ende dieser Lektion werden Sie dazu in der Lage sein
Entdecken Sie, wie Google, Microsoft und IBM KI für Bedrohungsinformationen nutzen
Google nutzt KI, um täglich Milliarden von Sicherheitssignalen zu analysieren, um potenzielle Bedrohungen zu identifizieren. Mithilfe der erweiterten Modellierung können Google-Kunden komplexe Arbeitsabläufe und zuverlässige, wiederholbare Antwortprozesse erstellen. Durch die Kombination der robusten Datenanalyse- und Rechenressourcen von Google mit jahrzehntelangem Sicherheitswissen, das durch die Übernahme von Mandiant im Jahr 2022 erworben wurde, können Kunden schnell Anzeichen einer Gefährdung erkennen, reagieren und Bedrohungen abschwächen.
Mandiant, bekannt für seine Fachkompetenz an vorderster Front und branchenführende Bedrohungsinformationen, steht seit 18 Jahren an vorderster Front bei der Bekämpfung von Sicherheitsverletzungen. Mit der Übernahme von Mandiant erwarb Google auch das Fachwissen und die Expertise von über 900 Beratern und Analysten. Die dynamischen Cyber-Verteidigungslösungen, die Mandiant Google bietet, bieten Schutz vor Cyber-Bedrohungen und ein hochqualifiziertes Team, das das Incident-Response-Management leitet, wenn Sicherheitsverletzungen und Cyber-Angriffe auftreten.
Die Popularität des Cloud Computing hat in den letzten Jahren zu unterschiedlichen Bedenken in der Cybersicherheitslandschaft geführt. Die Vernetzung von Cloud-Umgebungen erfordert robuste Cybersicherheitsmaßnahmen, um die Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu gewährleisten.
Organisationen wie Google Cloud müssen die Vertraulichkeit sensibler Informationen gewährleisten, vor unbefugtem Zugriff schützen, Datenschutzverletzungen verhindern und die Einhaltung gesetzlicher Anforderungen gewährleisten. Darüber hinaus müssen sie sich gegen neue Bedrohungen wie Malware, Ransomware, Phishing-Angriffe und Insider-Bedrohungen verteidigen, die auf Cloud-Systeme abzielen.
Die Folgen unzureichender Cybersicherheit in der Cloud können schwerwiegend sein. Verstöße können zu erheblichen finanziellen Verlusten, Reputationsschäden, rechtlichen Konsequenzen und dem Verlust des Kundenvertrauens führen. Da Cloud-Umgebungen darüber hinaus häufig kritische Infrastrukturen und Dienste hosten, können Störungen oder unbefugter Zugriff weitreichende Folgen für Unternehmen und ihre Kunden haben. Um diese Herausforderungen zu bewältigen, müssen Unternehmen Cybersicherheitsmaßnahmen Priorität einräumen, die auf die Cloud-Computing-Landschaft zugeschnitten sind. Dazu gehört die Implementierung strenger Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit und Bedrohungsüberwachungslösungen. Regelmäßige Sicherheitsbewertungen, Schwachstellenscans und Sensibilisierungsschulungen der Mitarbeiter sind ebenfalls von entscheidender Bedeutung, um Risiken effektiv zu erkennen und zu mindern.
Die Zusammenarbeit zwischen Google Cloud und Mandiant wird die Bereitstellung von Informationen und Fachwissen in großem Maßstab über die Mandiant Advantage Software-as-a-Service (SaaS)-Plattform ermöglichen und das bestehende Sicherheitsportfolio von Google Cloud ergänzen. Durch die Bündelung ihrer Kräfte wollen die beiden Organisationen einen wesentlichen Beitrag zur Sicherung der Cloud leisten, die Einführung von Cloud Computing fördern und eine sicherere digitale Umgebung fördern.
Security Copilot, das sich mit drei zentralen Problemen befasst, mit denen Sicherheitsanalysten konfrontiert sind:
Angriffskomplexität
Komplexe Systeme können bei einem Angriff schädlich sein. Durch die Konsolidierung von Daten aus verschiedenen Quellen und deren Umwandlung in unkomplizierte, praktische Erkenntnisse können Analysten innerhalb von Minuten auf Vorfälle reagieren, anstatt längere Angriffszeiten in Kauf nehmen zu müssen.
Subtile Ausweichtaktiken
Angesichts subtiler Umgehungstaktiken der Angreifer analysiert Copilot Signale mithilfe von maschinellem Lernen schnell und in hoher Geschwindigkeit. Es erkennt Bedrohungen frühzeitig und erhält proaktive Hinweise, um künftigen Aktionen eines Angreifers effektiv entgegenzuwirken.
Talentlücke
Der Fachkräftemangel stellt eine Herausforderung dar, da die Nachfrage nach qualifizierten Sicherheitsexperten das Angebot bei weitem übersteigt. Copilot kann Teams dabei unterstützen, ihre Effektivität zu maximieren und ihre Fähigkeiten durch detaillierte Schritt-für-Schritt-Anweisungen zur Risikominderung zu verbessern.
Copilot ist bestrebt, maschinelles Lernen und menschliche Intelligenz in einem zusammenhängenden System zu kombinieren, das Unternehmen jeder Größe mithilfe eines Softwaredienstes dabei hilft, Bedrohungen effektiv zu bewältigen. Microsoft nutzt KI, um die Aktivitäten von Bedrohungsakteuren zu verfolgen und das Risiko eines Angriffs einzuschätzen, indem Eingaben von Erkennungssystemen, Kundeneingaben und Reaktionsdaten überwacht und analysiert werden. Anschließend können die Analysten des Microsoft Security Research Center (MSRC) die Auswirkungen unabhängiger Forschungseinreichungen in ihrem Bug-Bounty-Portal mithilfe von KI- und ML-Tools effizient überprüfen und bewerten und so die Sicherheitslast für einzelne Organisationen reduzieren.
Mit Security Copilot ermöglicht Microsoft den Sicherheitsteams, Bedrohungsjägern und Malware-Analysten seiner Kunden, in Echtzeit zusammenzuarbeiten, Bedrohungen zu untersuchen und Reaktionszeiten zu verbessern, indem Playbooks und Verfahren auf der Grundlage früherer Vorfälle und Reaktionen erstellt werden.
IBM nutzt die Leistungsfähigkeit der Watson-KI-Technologie in seiner führenden SIEM-Plattform (Security Incident and Event Management) mit einer Lösung namens QRadar Advisor.
Wie funktioniert es also? QRadar Advisor ist ein KI-Assistent, der Security Operations Centers (SOCs) dabei hilft, mit einer Informationsflut Schritt zu halten, indem er verschiedene Vorfälle automatisch so verkettet, dass Analysten das Gesamtbild im Blick behalten und ein Ereignis nicht fälschlicherweise abtun.
Ein Security Operations Center (SOC), auch Information Security Operations Center (ISOC) genannt, ist ein Team von IT-Sicherheitsexperten, die intern oder extern arbeiten, um die gesamte IT-Infrastruktur eines Unternehmens rund um die Uhr zu überwachen. Ihr Hauptziel besteht darin, Cybersicherheitsvorfälle in Echtzeit zu erkennen und schnell und effizient darauf zu reagieren.
Durch die Automatisierung wichtiger Praktiken in ihrem SOC kann QRadar Unternehmen bei der Bewältigung dieser häufigen Herausforderungen unterstützen:
Mehr Bedrohungen und nicht genug Zeit, sie zu erkennen – Wertvolle Informationen bleiben oft unbemerkt, weil Analysten Schwierigkeiten haben, die Zusammenhänge zu verstehen. Dies macht es schwierig, umsetzbare Erkenntnisse abzuleiten, was dazu führt, dass sich Analysten nur auf Fälle konzentrieren, von denen sie überzeugt sind. Leider kann dieser Ansatz dazu führen, dass Untersuchungen versäumt werden und die Organisation Risiken ausgesetzt wird.
Informationsüberflutung – Die schiere Menge, Vielfalt und Geschwindigkeit der zu analysierenden Erkenntnisse machen es schwierig, Arbeit zu priorisieren und die Grundursache von Problemen zu identifizieren. Diese Herausforderung betrifft Unternehmen jeder Größe. Analysten haben Schwierigkeiten, den lokalen Kontext schnell zusammenzufassen, und sind daher mit sich wiederholenden Aufgaben überfordert.
Verweilzeiten – Die Verweilzeit, die sich auf die Dauer zwischen dem Auftreten eines Sicherheitsvorfalls und seiner Erkennung und Reaktion bezieht, ist eine wichtige Kennzahl, auf die sich Sicherheitsexperten verlassen, um ihre Wirksamkeit beim Schutz und der Verteidigung von Daten zu bewerten. Insbesondere zwei Schlüsselmessungen, nämlich MTTD (mittlere Erkennungszeit) und MTTR (mittlere Antwortzeit) , werden häufig zur Bewertung dieses Erfolgs herangezogen. Trotz der Verfügbarkeit von mehr Lösungen und Daten kann die durchschnittliche Verweildauer heute zwischen 50 und 200 Tagen liegen. Der Mangel an konsistenten, qualitativ hochwertigen Untersuchungen mit kontextbezogenen Informationen trägt zum Zusammenbruch bestehender Prozesse bei und erhöht das Risiko für Organisationen.
Mangel an Talenten im Bereich Cybersicherheit und Arbeitsmüdigkeit – Sicherheitsanalysten sind aufgrund der wachsenden Bedrohungslandschaft und der täglichen operativen Aufgaben oft überarbeitet, unterbesetzt und überfordert. Da die Daten weiterhin exponentiell wachsen, wird die Qualifikationslücke größer und auch das Problem wird größer.
Der Hauptvorteil der Automatisierung von Teilen Ihres SOC besteht darin, dass es die Sicherheitstools, -praktiken und die Reaktion auf Vorfälle eines Unternehmens zusammenführt und koordiniert. Diese Integration führt in der Regel zu verbesserten Präventivmaßnahmen, verbesserten Sicherheitsrichtlinien, einer schnelleren Erkennung von Bedrohungen und schnelleren, effektiveren und kosteneffizienteren Reaktionen auf Sicherheitsvorfälle. Darüber hinaus kann ein SOC das Vertrauen der Kunden stärken und die Einhaltung branchenspezifischer, nationaler und globaler Datenschutzbestimmungen vereinfachen. Die Lösung sorgt für eine konsistente Reaktion, priorisiert die schwerwiegendsten Warnungen und ordnet die Aktionen eines Angreifers dem MITRE ATT&CK-Framework zu.
Das von der MITRE Corporation entwickelte MITRE ATT&CK-Framework ist eine umfassende Wissensdatenbank, die reale Taktiken, Techniken und Verfahren katalogisiert, die Angreifer bei Cyberangriffen verwenden. Es bietet einen strukturierten und standardisierten Ansatz zur Analyse verschiedener Angriffsphasen und deckt verschiedene Bedrohungsvektoren wie Netzwerk, Endpunkt, Cloud und mobile Plattformen ab. ATT&CK besteht aus einer Matrix, die die Taktiken und Techniken der Angreifer organisiert und Einblicke in Ziele und Methoden bietet. Es wird häufig von Cybersicherheitsexperten eingesetzt und verbessert die Fähigkeiten zur Bedrohungserkennung und -reaktion und hilft Unternehmen dabei, die Taktiken von Gegnern zu verstehen, wirksame Abwehrmaßnahmen zu entwickeln und die allgemeine Cyber-Resilienz zu verbessern.
Die Implementierung von KI in der Bedrohungsanalyse hat erheblich an Bedeutung gewonnen, wie Fallstudien namhafter Unternehmen wie Google, Microsoft und IBM zeigen. Andere namhafte Sicherheitsanbieter wie Cisco, CrowdStrike und Palo Alto nutzen ebenfalls KI- und ML-Technologien, um die Erkennung zu verbessern und Angriffe gegen ihre Kunden zu stoppen. Diese Organisationen nutzen KI, um ihre Threat-Intelligence-Fähigkeiten zu verbessern und so große Mengen an Sicherheitssignalen zu analysieren, potenzielle Bedrohungen zu erkennen und schnell zu reagieren.
Die Zusammenarbeit zwischen Google und Mandiant vereint die Datenanalysefähigkeiten von Google mit der Expertise von Mandiant und bietet fortschrittliche Cyber-Abwehrlösungen und Anleitungen zur Reaktion auf Vorfälle. Das KI-gestützte Tool von Microsoft, Security Copilot, befasst sich mit Komplexitäten, Umgehungstaktiken und der Talentlücke, mit der Sicherheitsanalysten konfrontiert sind, und erleichtert so ein proaktives Bedrohungsmanagement. IBM nutzt die Watson-KI-Technologie in seiner QRadar-Advisor-Lösung und automatisiert wichtige Verfahren in Security Operations Centers (SOCs), um Herausforderungen wie Informationsüberflutung, Verweilzeiten und Fachkräftemangel im Bereich Cybersicherheit zu begegnen. Die Integration dieser KI-gesteuerten Ansätze in das MITRE ATT&CK-Framework verbessert die Fähigkeit von Unternehmen, Cyber-Bedrohungen zu erkennen, darauf zu reagieren und sich dagegen zu verteidigen, und fördert so letztendlich eine sicherere digitale Umgebung.
Berücksichtigen Sie beim Durcharbeiten der Übungen in diesem Kurs diese Fallstudien und wie KI-Tools dabei helfen können, einige dieser Herausforderungen für Ihr Unternehmen zu bewältigen.
Google Cloud AI Threat Intelligence
Microsoft Security Copilot IBM Security
Palo Alto Networks – Der Wert von KI/ML in Sicherheitsumgebungen: Den Hype überwinden
