Mehr Produktivität fürs Security-Team durch AI und Automatisierung

Mit der Digitalisierung (DX) nehmen auch die Cyber-Risiken zu. Clouds, mobile Endgeräte und IoT weichen die ehemals geschlossenen Grenzen der Unternehmensinfrastruktur auf.

Die Zahl der Angriffe steigt – in einem Jahr wurden in 65 Ländern 2.216 erfolgreiche Angriffe auf Datenbestände und 53.000 seriöse Cyber-Sicherheits-Zwischenfälle öffentlich. Sie werden immer intelligenter, schneller, individualisiert und wandelbar, Angriffstechnologien sind auch technisch Unbedarften als MaaS (Malware as a Service) zugänglich. Zudem steigt der Schaden: Pro Angriff liegt er mittlerweile im Durchschnitt bei vier Millionen Dollar. Angreifbar sind jetzt auch für die Gesellschaft lebenswichtige Infrastrukturen wie Elektrizitäts-, Wasser- oder Bahnnetze.

Dazu kommt: Security-Teams sind notorisch unterbesetzt. 56 Prozent der Cyber-Analysten sagen, dass sie sich vom anfallenden Arbeitsvolumen überwältigt fühlen. Sie ertrinken in einer Flut von Warnungen aus den oft unverbundenen Security-Systemen. Sie haben kaum eine Chance, ihre Organisation dauerhaft vor Schäden durch Angriffe zu bewahren. Das beeinträchtigt auch die Compliance ihrer Organisationen mit Gesetzen wie der Europäischen Datenschutzrichtlinie (DSGVO).

Hier helfen zwei Technologien: Automatisierung und AI (Artificial Intelligence). Beide tragen dazu bei, dass die IT-Security-Teams von Routineaufgaben befreit werden und sich gezielt der Neutralisierung der wichtigsten Bedrohungen widmen können.

Die drei Realisierungslevel einer umfassenden Sicherheitsarchitektur, die Menschen, Prozesse und Produkte einschließt (Bild: Fortinet).

Schrittweise zum automatisierten SOC

Die übergreifende Orchestrierung und Automatisierung aller an der IT-Sicherheit beteiligten Systeme steigert insgesamt die IT-Sicherheit. Allerdings lässt sich das nicht in einem Schritt erreichen, sondern nur stufenweise realisieren.

Wer noch keinerlei Automatisierung im Security Operations Center (SOC) verwendet, beginnt daher am besten damit, die gesamte Infrastruktur einschließlich externer Cloud-Komponenten zusammenzuführen. DieFortinet Security Fabric bildet ein übergreifendes Framework für die einzelnen Security-Lösungen. Die Bedrohungsdetektion und-analyse lässt sich intelligent und übergreifend mit FortiAnalyzer durchführen. Damit ist eine Basis für weitere Automatisierung gelegt.

Neueste AI-Technologien wie tiefe neuronale Netze (DNN) und Deep Learning stecken im FortiAI Virtual Security Analyst. Das Tool lernt mit jedem Angriff in Echtzeit dazu. Es analysiert sekundenschnell auch komplexe oder neuartige Angriffe anhand einer stetig aktualisierten Datenbank von derzeit rund drei Milliarden Malware-Funktionen, klassifiziert den Angriff, erkennt die wahrscheinliche Quelle und das Stadium, sodass Gegenmaßnahmen schnellstmöglich und treffsicher eingeleitet werden können.

Einheitliche Sicht und Reaktion

Der zweite Automatisierungsschritt lässt sich mit FortiSIEM realisieren. Er besteht darin, die von den zahlreichen Tools auch von Drittherstellern detektierten Sicherheitsereignisse unter einer Oberfläche zusammenzuführen und zu priorisieren.

Die dritte Automatisierungsstufe des SOC, die auf den beiden vorgelagerten Stufen aufbaut, ist die Orchestrierung und Automatisierung der Reaktion auf Angriffe. FortiSOAR speichert mehrschrittige Routinen, etwa in Reaktion auf bestimmte kritische Situationen, in sogenannten Playbooks, die automatisiert ablaufen. Dadurch sinkt die Reaktionszeit bei Angriffen von Stunden auf wenige Minuten.

Nach diesem Modell können Unternehmen ihr SOC Schritt für Schritt automatisieren und mit Intelligenz ausrüsten. So wird das Security-Team trotz begrenzter Mittel und Personalressourcen mit Cyber-Angriffen besser und schneller fertig. Und zwar auch dann, wenn die Angreifer sich modernster Malware-Services und ebenfalls intelligenter Technologien bedienen.