Security-Infrastruktur, Fachkräftemangel, Security-Know-how oder Betriebskosten – vieles spricht für ein Security-Operations-Center as a Service. Was genau und wie bereits die künstliche Intelligenz ein Security-Operations-Center unterstützt, darüber sprach Netzpalaver mit Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf.
Netzpalaver: Internes oder externes Security-Operations-Center?
Dr. Sebastian Schmerl: Ob ein Unternehmen ein internes SOC einrichten oder sich einen Partner ins Boot holen sollte, ist im Wesentlichen eine Frage der Größe der Organisation und des eigenen Organisationspotenzials. Ein internes SOC erfordert bei einer 24/7-Abdeckung eine Personaldecke von ungefähr neun Personen. Dabei ist jedoch zu bedenken, dass diese – je nach Unternehmensgröße – nicht die ganze Zeit etwas zu tun haben werden. Dies ist natürlich ein erheblicher Kostenfaktor. Zudem kommt der Konfigurations- und Betriebsaufwand für die SOC-Tools dazu, und die Mitarbeitenden müssen das nötige Security-Know-how mitbringen. Das in Zeiten des anhaltenden Fachkräftemangels – besonders im Bereich IT-Security.
Netzpalaver: Was sind die Vorteile eines externen SOC?
Dr. Sebastian Schmerl: Neben der Einsparung personeller Ressourcen bietet ein externes Security-Operations-Center einen erheblichen Kostenvorteil. Und obwohl ein externes naturgemäß nicht so perfekt auf das eigene Unternehmen zugeschnitten ist wie ein Inhouse-SOC, deckt es gut 80 Prozent der Sicherheitsfälle bereits standardmäßig ab. Hinzukommen die Konfigurationsmöglichkeiten, die solche SOCs bieten und so eine zusätzliche Absicherung ermöglichen. Daher würde ich vor allem dem gehobenen Mittelstand empfehlen: Bauen Sie kein eigenes SOC auf. Holen Sie sich einen Partner, der die nötigen Aufgaben übernimmt und Ihnen den Service anbietet!
Netzpalaver: Wie kann künstliche Intelligenz (KI) die Wirksamkeit von Sicherheitsmaßnahmen steigern?
Dr. Sebastian Schmerl: Der Vorteil bei künstlicher Intelligenz besteht darin, dass mit ihr schnell unheimlich große Datenmengen, die Sicherheitstools rund um die Uhr generieren, analysiert und verarbeitet werden können. Und das erst einmal ohne den Einsatz menschlicher Mitarbeitender. Menschen werden erst wieder bei der Analyse von „Abnormalitäten“ benötigt.
Netzpalaver: Wie sieht die Umsetzung von KI im SOC aus?
Dr. Sebastian Schmerl: Wir setzen hauptsächlich eine Unterform von künstlicher Intelligenz ein: Machine-Learning. Beim maschinellen Lernen geht es in der IT-Security z. B. darum, das Normalverhalten von Usern im Netzwerkverkehr zu identifizieren und Benachrichtigungen über Abweichungen vom Normalverhalten zu erhalten. Das heißt, Alarme, die darauf hinweisen: Da ist etwas nicht normal. Dann braucht es einen Menschen, der sich den Alarmfall genauer anschaut.
Netzpalaver: Was genau ist mit Abweichungen gemeint?
Dr. Sebastian Schmerl: Nutzerinnen und Nutzer haben ein „Normalverhalten“, das gelernt werden kann. Die KI wird im Prinzip darauf trainiert, wie das Verhalten des Users am Endsystem beziehungsweise den Services aussieht. Wenn sich ein User einer bestimmten Nutzergruppe dann „abnormal“ – also entgegen der üblichen Verhaltensweise – verhält, erhalten die Verantwortlichen einen Alarm, und der Fall kann dann genauer analysiert werden. Denn es wird davon ausgegangen, dass sich ein Inside-Täter, der am Werk ist und maliziöse Aktivitäten in einem System ausführt, anders als normal verhält. Genau heißt das: andere Services in Anspruch nimmt, andere Kommandos eingibt, andere Files anfasst als normalerweise. Um dieses ungewöhnliche Verhalten aufdecken zu können, wird üblicherweise ein Vergleich mit sogenannten Peer Groups angestellt.
Netzpalaver: Welche Rolle spielt das Verhalten bestimmter Nutzergruppen bei der Aufspürung maliziöser Aktivitäten?
Dr. Sebastian Schmerl: Ein Beispiel für eine Nutzergruppe oder auch Peer-Group ist eine Marketing-Gruppe: Die Mitglieder dieser Gruppe befassen sich alle mit denselben Systemen; sie arbeiten vielleicht mit Photoshop und so weiter. Wenn ein einzelner User dieser Gruppe aber auf einmal Zugriff auf die Kundendatenbank hat, ist das nicht normal, es gibt eine Abweichung von der Norm. Dasselbe Prinzip kann auch auf andere Gruppen angewandt werden, wie HR, Finance, Entwicklerinnen und Entwickler, Vertriebsmitarbeitende und so weiter. Jede Gruppe für sich hat ein eigenes Normalverhalten, genau wie jede individuelle Nutzerin und jeder Nutzer. Und wenn es eine Abweichung des üblichen Verhaltens gibt, können Inside-Täter identifiziert werden. Ab diesem Punkt braucht es dann jedoch wieder den Menschen. Das bedeutet: Die Prüfung, ob eine Abweichung legitim ist, muss noch immer von einem Sicherheitsexperten durchgeführt werden. Der kann entweder im eigenen SOC oder im SOC eines Sicherheitspartners sitzen.
Netzpalaver: Wie wird mit Trainingsdaten der KI umgegangen?
Dr. Sebastian Schmerl: Beim Training oder beim Erlernen von Normalverhalten wird normalerweise ein „sliding Window“ genutzt. Das heißt: Die KI lernt kontinuierlich über einen längeren Zeitraum. Denn Nutzerverhalten verändert sich über die Zeit. Es kommen neue Applikationen, Services oder auch ein neues System oder eine neue Datenbank dazu, auf die zugegriffen wird. Der Lernzeitraum beträgt oftmals 14 Tage oder auch einen Monat. Das Normalprofil wird also nach und nach angepasst. So wird nicht einmalig ein enormer Berg an Daten benötigt, sondern durch kontinuierliches Lernen immer nur ein Rückblick auf eine gewisse Zeitspanne.
Netzpalaver: Sind die Daten von Unternehmen, die ein SOC-as-a-Service-Modell nutzen, sicher?
Dr. Sebastian Schmerl: Ja, sind sie! Unternehmen, die die Zusammenarbeit mit einem SOCaaS-Anbieter in Betracht ziehen, sollten allerdings darauf achten, dass dieser die Daten in der EU hostet und sich dessen SOC im Idealfall in Deutschland befindet. So ist sichergestellt, dass die Einhaltung der Compliance gegeben ist und die Daten wirklich sicher sind.
Netzpalaver: Kann KI allein für einen besseren Schutz der IT-Sicherheit sorgen oder braucht es auch weiterhin den SOC-Mitarbeitenden?
Dr. Sebastian Schmerl: Wie ich bereits beschrieben habe, geht es ohne Menschen nicht. Denn ohne menschliche Mitarbeitende können die Alarme nicht analysiert und der eigentlichen Ursache, warum etwas abnormal ist, nicht auf den Grund gegangen werden. Dem Menschen obliegen die Analyse und Kontrolle der ungewöhnlichen Fälle. KI- und ML-Ansätze unterstützen hier. Aber ohne menschliches Personal funktioniert es nicht!
#ArcticWolf