Es wird vorausgesetzt, dass Organisationen über eine wirksame Methode zur Verwaltung aller Informationen über ihre Sicherheit verfügen und in der Lage sein sollten, auf Sicherheitsereignisse zu reagieren, sobald sie auftreten. Aus diesem Grund gilt das Safety Info and Occasion Administration (SIEM) seit seiner Einführung im Jahr 2005 als wichtiger Bestandteil von Internet-Sicherheit. Es hat eine wichtige Rolle bei der systematischen Bekämpfung von Cyber-Bedrohungen gespielt.
Die Zeiten haben sich jedoch geändert, und einige sind der Meinung, dass dies der Fall ist SIEM ist bereits tot. Im Zeitalter sich schnell entwickelnder und immer aggressiverer Cyber-Bedrohungen ist es verständlich, warum Zweifel an der Wirksamkeit der üblichen SIEM-Operationen bestehen. Die Angriffsflächen haben sich erheblich erweitert, da Unternehmen digitalisiert und neue Technologien eingeführt haben. Es ist nahezu unmöglich geworden, den aktuellen Fluss an Sicherheitsdaten und -ereignissen mit herkömmlichem SIEM effektiv zu bewältigen.
Die Idee, Sicherheitsinformations- und Ereignismanagement als Teil der Cybersicherheit durchzuführen, ist wohl nicht unbedingt tot. Unternehmen benötigen weiterhin eine Möglichkeit, die Erfassung und Analyse von Sicherheitsdaten ordnungsgemäß zu verwalten, um effiziente Reaktionen auf Sicherheitsereignisse zu ermöglichen. Es handelt sich jedoch möglicherweise nicht um das traditionelle SIEM. Da ist ein Bedarf an einer SIEM-Alternative als Reaktion auf die sich verändernde Cyber-Bedrohungslandschaft.
Angesichts der unbestreitbaren Präsenz künstlicher Intelligenz in der modernen IT ist es wichtig, diesen Bedarf an einem Improve oder einer Different zu SIEM zu diskutieren. KI warfare ein zweischneidiges Schwert. Es wurde in großem Umfang zum Nutzen der Menschheit genutzt, aber auch schlechte Akteure haben es ausgenutzt.
Im Arsenal traditioneller SIEM-Systeme sind Schwachstellen zutage getreten, und viele weitere tauchen weiterhin auf, während sich die Bedrohungen weiterentwickeln und ein beispielloses Maß an Aggressivität und Unerbittlichkeit erreichen. Mit der weit verbreiteten Verfügbarkeit von KI haben Bedrohungsakteure eine neue Waffe gefunden, die es ihnen ermöglicht, mehr Angriffsvektoren und -methoden zu entwickeln, neue Schwachstellen zu entdecken und auszunutzen und schnell neue Angriffsstrategien oder -techniken zu entwickeln.
Herkömmliches SIEM weist inhärente Schwächen auf, die zu bedeutend sind, als dass man sie im Kontext moderner Bedrohungen ignorieren könnte. Hier finden Sie eine Übersicht über die größten Probleme.
Anhaltende Abhängigkeit von einem regelbasierten Ansatz – Legacy-SIEM wurde stark von vordefinierten Bedrohungssignaturen und Richtlinien zum Umgang mit Bedrohungen und Angriffen dominiert. Daher ist es nicht in der Lage, Zero-Day-Angriffe und ausgefeilte Angriffstechniken zu bekämpfen, die noch nicht profiliert oder in Cybersicherheits-Frameworks definiert wurden. Zum Erstellen wurde KI verwendet ausgefeilte Cyberangriffe und Angriffsstrategien, die Sicherheitskontrollen umgehen.
Unzureichender Kontext bei der Auswertung von Sicherheitsdaten und -ereignissen – Herkömmliches SIEM ist nicht in der Lage, das größere Bedrohungsbild zu erkennen. Da es sich stark auf Regeln und Bedrohungsprofile verlässt, kann es Bedrohungen, die nicht mit vorhandenen Bedrohungsprofilen übereinstimmen, nicht genau erkennen. Außerdem ist es nicht in der Lage, Daten aus mehreren Quellen zu nutzen, um Aktionen und Vorfälle besser zu untersuchen. In anderen Fällen ist herkömmliches SIEM möglicherweise auch so empfindlich, dass es zu viele Fehlalarme erzeugt, wodurch möglicherweise dringendere Sicherheitswarnungen oder Vorfälle in der Sicherheitsantwortwarteschlange vergraben werden.
Begrenzte Skalierbarkeit — Herkömmliches SIEM ist skalierbar, aber diese Skalierbarkeit reicht möglicherweise nicht aus, um mit der enormen Datenmenge und der Komplexität der Umgebung Schritt zu halten, die mit dem Aufkommen der KI einhergehen. Es ist leicht, von der beispiellosen Menge an Protokollen und Ereignisinformationen, die beim Betrieb moderner Netzwerke anfallen, überwältigt zu sein. Kriminelle können diese Schwäche ausnutzen, indem sie verteilte Angriffe formulieren und starten, die über die Möglichkeiten herkömmlicher SIEM hinausgehen.
Langwierige Analyse — Bei seiner Einführung sollte SIEM den Umgang mit Sicherheitsdaten und -ereignissen effizienter und damit schneller machen. Allerdings wurde diese Geschwindigkeit inzwischen von der Aggressivität, Raffinesse und Geschwindigkeit neuer Angriffe überholt, insbesondere da herkömmliches SIEM weiterhin auf einem Großteil der manuellen Analyse durch menschliche Sicherheitsanalysten beruht. Es besteht kein Zweifel, dass KI die menschliche Geschwindigkeit bei der Untersuchung von Daten leicht übertreffen kann.
Angesichts der veralteten Methoden herkömmlicher SIEMs und der Einschränkungen hinsichtlich Umfang und Geschwindigkeit ist es für KI-fähige Bedrohungsakteure leicht, die Cybersicherheits-„Vorteile“ von SIEM zu nutzen – sofern es noch welche gibt. Cyberkriminelle nutzen KI-Instruments, um schnell Malware zu produzieren und Schwachstellen in Netzwerken und Systemen zu sondieren. Es ist nicht ungewöhnlich, dass Bedrohungsakteure bereits neue Angriffe entwickeln, bevor ein Unternehmen Schwachstellen in seinen Systemen entdeckt.
Nutzung von KI für eine bessere Cybersicherheit
KI ist ein wirksames Werkzeug für die Cybersicherheit und sollte beim Aufbau von Cyberabwehrmaßnahmen umfassend eingesetzt werden. SIEM der nächsten Generation, ein Improve für herkömmliches SIEM, nutzt KI, um der Informationsüberflutung entgegenzuwirken. Auch SIEM-Alternativen wie Open XDR (Prolonged Detection and Response) und NDR (Community Detection and Response) nutzen künstliche Intelligenz, um die Schwächen herkömmlicher Sicherheitstools zu beheben. Nachfolgend finden Sie Beispiele dafür, wie SIEM-Alternativen KI nutzen, um die Sicherheit zu verbessern.
Erweiterte Bedrohungserkennung — KI spielt eine Rolle bei der Ermöglichung einer erweiterten Bedrohungserkennung, insbesondere wenn es um die Analyse großer Mengen sicherheitsrelevanter Daten, Netzwerkverkehr, Benutzerverhalten und Systemprotokolle geht. KI-Algorithmen ermöglichen die gleichzeitige Durchführung einer vielschichtigen Bedrohungserkennung, die verschiedene Quellen abdeckt, einschließlich unterschiedlicher {Hardware} und Software program. Der Es wird erwartet, dass die Rolle der KI in der Cybersicherheit weiter zunehmen wird da Bedrohungen immer komplexer und überwältigender werden.
Automatisierte Reaktion auf Vorfälle — Die erweiterte Bedrohungserkennung wird durch die Automatisierung von Reaktionen auf Sicherheitsvorfälle ergänzt. Maschinelles Lernen ist für die Ermöglichung automatisierter Reaktionen von entscheidender Bedeutung, wie die Automatisierung bei Safety Orchestration, Automation and Response (SOAR) zeigt, bei der es sich nicht unbedingt um eine SIEM-Different handelt, sondern um ein weiteres Sicherheitstool, das Lücken im herkömmlichen Sicherheitsinformations- und Ereignismanagement schließen kann. SOAR kann maschinelles Lernen integrieren, um automatisierte Arbeitsabläufe zur Reaktion auf Vorfälle zu erstellen und Sicherheitsdaten zu korrelieren, um die Erkennungsgenauigkeit zu verbessern, Reaktionszeiten zu verkürzen und es menschlichen Sicherheitsanalysten zu ermöglichen, sich auf Aufgaben zu konzentrieren, die eine komplexere Prüfung und Entscheidungsfindung erfordern.
Prädiktive Analytik — Eine weitere Funktion, die KI nutzt, um bessere Ergebnisse zu erzielen (im Vergleich zu herkömmlichem SIEM), ist die prädiktive Analyse. Es sammelt riesige Datenmengen, um Tendencies und Muster zu erkennen und Prognosen über potenzielle Angriffsvektoren zu erstellen. Es hilft Unternehmen, Angriffe zu antizipieren und die erforderlichen Abwehr- und Sicherungsmaßnahmen vorzubereiten. KI-gestützte prädiktive Analysen dienen als proaktives Werkzeug gegen neue Bedrohungen, einschließlich Zero-Day-Bedrohungen, die dazu neigen, Regeln und identitätsbasierte Erkennungsmechanismen zu umgehen.
Verhaltensanalyse — Schließlich ist KI hilfreich bei der Analyse von Verhaltensweisen und Handlungsmustern, um potenzielle Anomalien oder böswillige Absichten zu erkennen. Ein Beispiel dafür ist der Einsatz von maschinellem Lernen in Consumer and Entity Conduct Analytics (UEBA), einer SIEM-Different, die normales/sicheres Verhalten bewertet und schädliches oder anomales Verhalten identifiziert, insbesondere solche im Zusammenhang mit Insider-Bedrohungen.
Einige werden wahrscheinlich argumentieren, dass „SIEM-Different“ eher eine Fehlbezeichnung ist, da die Grundlagen von SIEM nicht gerade aufgegeben werden, während Unternehmen nach Alternativen zu herkömmlichem SIEM suchen. Organisationen benötigen weiterhin ein wirksames Managementsystem für ihre Sicherheitsdaten und Ereignisreaktionen. Diese Alternativen haben zwar unterschiedliche Namen und beworbene Funktionen, beinhalten aber dennoch die Grundlagen von SIEM.
Der Weg zur besten SIEM-Different wird durch SIEM-Komponenten sowie neue Options und Funktionen geebnet, die künstliche Intelligenz nutzen, um die neuen Herausforderungen zu bewältigen, die mit neuen Bedrohungen und einfallsreicheren und gerisseneren Cyberkriminellen einhergehen. Cybersicherheit ist im Allgemeinen agglutinativ, das heißt, sie entwickelt sich durch das Hinzufügen weiterer Technologien und Funktionen weiter, anstatt alte vollständig zu ersetzen, es sei denn, sie sind bereits entschieden veraltet und nicht anwendbar.
Über den Autor — Tim Ferguson ist ein technischer Autor und Herausgeber von Advertising Digest. Er schreibt gerne über SaaS, KI, maschinelles Lernen, Analysen und Huge Knowledge. Seine Freizeit verbringt er damit, die neuesten Technologietrends zu erforschen. Sie können sich über ihn mit ihm verbinden LinkedIn.
