Verhaltensanalysen revolutionieren die Reaktion auf Sicherheitsvorfälle

MÜNCHEN (IT BOLTWISE) – Verhaltensanalysen, die lange Zeit mit der Bedrohungserkennung in Verbindung gebracht wurden, erleben eine Renaissance. Ursprünglich zur Identifizierung verdächtiger Aktivitäten eingesetzt, werden sie nun als leistungsstarke Technologie nach der Erkennung neu interpretiert, um die Prozesse der Reaktion auf Vorfälle zu verbessern.

Verhaltensanalysen, die lange Zeit mit der Bedrohungserkennung in Verbindung gebracht wurden, erleben eine Renaissance. Ursprünglich zur Identifizierung verdächtiger Aktivitäten eingesetzt, werden sie nun als leistungsstarke Technologie nach der Erkennung neu interpretiert, um die Prozesse der Reaktion auf Vorfälle zu verbessern. Durch die Nutzung von Verhaltensinformationen während der Alarmtriage und -untersuchung können SOCs ihre Arbeitsabläufe transformieren, um genauer, effizienter und wirkungsvoller zu werden. Glücklicherweise sind viele neue Cybersicherheitsprodukte wie KI-SOC-Analysten in der Lage, diese Techniken in ihre Untersuchungskapazitäten zu integrieren, sodass SOCs sie in ihre Reaktionsprozesse einbinden können.

Verhaltensanalysen waren 2015 ein heißes Thema und versprachen, statische SIEM- und SOC-Erkennungen mit dynamischer Anomalieerkennung zu revolutionieren, um die “unbekannten Unbekannten” aufzudecken. Innerhalb eines Jahres wurden Benutzerverhaltensplattformen schnell von SIEM-Anbietern übernommen, und bald verbreitete sich das Konzept einer Verhaltenslinse in Sicherheitsdaten über viele andere Erkennungsproduktkategorien. Warum macht es also keine Wellen mehr? Verhaltensanalysen sind ein bisschen wie die Mikrowelle, in dem Sinne, dass manchmal die erste Anwendung einer Technologie nicht die beste ist.

Ähnlich wie die Mikrowelle, die ursprünglich nicht zum Kochen gedacht war, aber im Laufe der Zeit ihre Praktikabilität für das Erwärmen von Lebensmitteln offensichtlich wurde, wurde Verhaltensanalyse ursprünglich als Erkennungstool in der Cybersicherheit entwickelt, um Bedrohungen in Echtzeit zu erkennen. Diese frühe Nutzung erforderte jedoch umfangreiche Einrichtung und Wartung und überwältigte Sicherheitsteams oft mit Fehlalarmen. Jetzt hat die Verhaltensanalyse eine weitaus effektivere Rolle in der Analyse nach der Erkennung gefunden. Indem der Analyseumfang eingegrenzt wird, um Einblicke in spezifische Sicherheitsalarme zu liefern, liefert sie wertvolle Informationen mit weniger Fehlalarmen und wird so zu einem unverzichtbaren Bestandteil des Reaktionsprozesses auf Vorfälle anstatt zu einer ständigen Lärmquelle.

Eine der größten Herausforderungen bei der Reaktion auf Vorfälle besteht darin, Fehlalarme zu durchforsten, um echte Bedrohungen zu identifizieren. Mit Verhaltensanalysen nach der Erkennung können Analysten wichtige kontextuelle Fragen beantworten, die Klarheit in Vorfalluntersuchungen bringen. Ohne zu verstehen, wie sich ein Benutzer, eine Entität oder ein System normalerweise verhält, ist es schwierig zu erkennen, ob ein Alarm legitime Aktivitäten oder eine potenzielle Bedrohung anzeigt. Zum Beispiel erzeugt ein “unmöglicher Reise”-Alarm, der oft Fehlalarme erzeugt, Anmeldungen von Orten, die menschlich unmöglich in kurzer Zeit zu erreichen sind.

Einige Alarme, insbesondere solche, die mit dem Benutzerverhalten zusammenhängen, erfordern, dass SOC-Analysten sich an Endbenutzer wenden, um zusätzliche Informationen zu erhalten. Diese Interaktionen können langsam, frustrierend und manchmal fruchtlos sein, wenn Benutzer zögerlich sind zu antworten oder nicht verstehen, was gefragt wird. Durch die Verwendung von Verhaltensmodellen, die typische Muster erfassen, können KI-gestützte SOC-Tools viele dieser kontextuellen Fragen automatisch beantworten.

Die Geschwindigkeit einer Reaktion auf Vorfälle wird durch die langsamste Aufgabe im Prozess bestimmt. Traditionelle Arbeitsabläufe beinhalten oft sich wiederholende, manuelle Aufgaben für jeden Alarm, wie das Durchsuchen historischer Daten, das Überprüfen normaler Muster oder die Kommunikation mit Endbenutzern. Mit KI-Tools, die in der Lage sind, Verhaltensanalysen nach der Erkennung durchzuführen, werden diese Abfragen und Überprüfungen automatisiert, sodass Analysten keine langsamen, manuellen Abfragen mehr durchführen müssen, um Verhaltensmuster zu verstehen.

Verhaltensanalysen ermöglichen es SOCs, eine Vielzahl von Einblicken zu erfassen, die sonst möglicherweise unerforscht bleiben würden. Zum Beispiel kann das Verständnis von Anwendungsverhalten, Prozessausführungsmustern oder Benutzerinteraktionen wertvollen Kontext während der Untersuchungen bieten. Während diese Einblicke oft schwierig oder zeitaufwändig manuell zu sammeln sind, können SOC-Tools mit eingebetteten Verhaltensanalysen nach der Erkennung diese Informationen automatisch analysieren und in Untersuchungen einfließen lassen.

Der Aufbau und die Pflege von Verhaltensmodellen ist ein ressourcenintensiver Prozess, der oft erheblichen Speicherplatz, Rechenleistung und Analystenzeit erfordert. Viele SOCs haben einfach nicht die Expertise, Ressourcen oder Kapazität, um Verhaltensinformationen für Aufgaben nach der Erkennung zu nutzen. KI-SOC-Lösungen mit automatisierten Verhaltensanalysen ermöglichen es Organisationen jedoch, diese Vorteile zu nutzen, ohne die Infrastrukturkosten oder die Arbeitsbelastung der Mitarbeiter zu erhöhen.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen