Das Security Operation Center der Zukunft

KI bringt das SOC auf Trab

20. September 2022, 12:00 Uhr | Joshua Saxe/wg
Anwender und eine KI, die deren Absicht erkennt und kontinuierlich dazulernt, ergeben idealerweise einen sich selbst verstärkenden Kreislauf.
Anwender und eine KI, die deren Absicht erkennt und kontinuierlich dazulernt, ergeben idealerweise einen sich selbst verstärkenden Kreislauf.
© Sophos

Die IT-Branche setzt enorme Hoffnung auf künstliche Intelligenz (KI). Auch im Security Operations Center (SOC) sollen die lernfähigen Algorithmen künftig ihre Stärken ausspielen, um Prozesse zu beschleunigen und die Effizienz zu steigern. Dafür plädiert Joshua Saxe, Chief Scientist und KI-Experte bei Sophos, im nachfolgenden Gastkommentar.

Heutzutage gibt es zwei Arten von benutzerorientierten Softwareprodukten: Produkte, die maschinelles Lernen und Automatisierung verwenden, um sich an die Ziele der Benutzer anzupassen und diese zu verwirklichen, und Produkte, die von Unterbrechungen geprägt sind und sorgfältig auswendig gelernte und sich wiederholende Interaktionen erfordern. Google Search, Siri und Spotify zählen zur erstgenannten Produktkategorie. Die heutigen SOC-Plattformen hingegen gehören zur letzteren, nicht anpassungsfähigen und störungsanfälligen Kategorie.

In den nächsten fünf Jahren wird sich das ändern. Erfolgreiche Sicherheitsprodukte werden bei der Empfehlung relevanter Sicherheitsinformationen so versiert sein wie Google und die Absicht hinter sicherheitsorientierten Anfragen in natürlicher Sprache so präzise vorhersagen wie Alexa und Siri. Sie werden auch Technologien der künstlichen Intelligenz mit den Arten von Systemintegrationen kombinieren, die Smart-Home-Ökosysteme erreicht haben, und Sicherheitsrichtlinien aktualisieren – genau wie Smart Homes Sicherheitskameras einschalten und Türen auf Benutzerwunsch verriegeln.

Dieses neue „KI-unterstützte SOC“ wird sich den heutigen SOCs genauso dramatisch überlegen anfühlen, wie die heutige Google-Suche im Vergleich zu Altavista aus den 1990er-Jahren. Das Sicherheitspersonal wird erheblich effektiver sein: mit KI, die das Wissen einer globalen „Crowd“ von SOC-Analysten zu einer Art Copilot für Sicherheits-Workflows destilliert, SOC-Analysten-Workflows automatisch vervollständigt und die Absicht von SOC-Analysten vorab erkennt.

Natürlich wird diese Veränderung nicht aus einem Vakuum heraus entstehen, sondern das Ergebnis des Zusammenwachsens mehrerer aktueller Technologietrends sein. Der erste davon ist die zunehmende Integration aller relevanten Sicherheitsdaten über den gesamten Anwenderkreis hinweg durch XDR-Anbieter (Extended Detection and Response). Diese stellen erstmals die notwendigen Trainingsdaten für die ML-Modelle (maschinelles Lernen) bereits, auf denen die zukünftigen KI-gestützten SOC beruhen. Der zweite Trend ist die technikübergreifende KI-Innovation, bei der die Forschung immer bessere Algorithmen, Tools und Cloud-KI-Infrastrukturen für ML entwickelt, um die ML-Fähigkeiten eines KI-gestützten SOCs zu ermöglichen.

Der dritte Trend ist eine programmierbare Security Posture (Sicherheitslage oder -haltung), bei der IT-, Cloud- und Sicherheitsprodukte zunehmend robuste Management-APIs bereitstellen. Da ein immer größerer Teil der IT-Landschaft über APIs steuerbar wird, ergeben sich vermehrt Möglichkeiten, SOAR-Funktionen (Security Orchestration, Automation, and Response) für KI-gestützte SOCs bereitzustellen. Diese werden sich wie Smart-Home-Ökosysteme verhalten, die Sicherheitslage der Unternehmen aktualisieren und Vorfälle dank Automatisierung per Knopfdruck beheben.

Alles deutet zurzeit darauf hin, dass die Entwicklung von Benutzerschnittstellen hin zu einer nahtlosen und ausgeklügelten Integration von KI-Modellen, die die Nutzerabsicht erkennen können, immer wichtiger wird – und dass mehrere Technologiebereiche diesen Status bereits erreicht haben. Diese Entwicklung lässt sich in den nächsten Jahren auch bei Anbietern von SOC-Softwareprodukten erwarten – oder sie werden zunehmend irrelevant. Tatsächlich scheint eine „Recommendation Engine (Empfehlungsalgorithmen) für den Sicherheitsbetrieb“ sehr wahrscheinlich, deren Nutzerfreundlichkeit mit der von Services gleichzieht, die wir von Google, Amazon oder Netflix kennen.

Joshua Saxe ist Chief Scientist bei Sophos.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Verwandte Artikel

Sophos GmbH

Security-Management

künstliche Intelligenz