Startseite > Security > Cyberabwehr ist Team-Arbeit

Vieraugenprinzip für den Netzwerkdatenverkehr

Cyberabwehr ist Team-Arbeit

1. August 2022, 12:00 Uhr | Paul Smit/am

Fortsetzung des Artikels von Teil 1

KI und Mensch sind aufeinander angewiesen

3. Die nächsten Schritte des Hackers vorwegnehmen: Komplexe APT-Attacken sind immer noch Menschenwerk. Hinter Phishing-Angriffen auf wichtige Personen im Unternehmen stehen oft keine Spambots, sondern menschliche Social-Engineering-Profis, die durch einen gezielt gesendeten Mail-Anhang ins Netz gelangen. KI erkennt dann, dass sich ein menschlicher Angreifer im Netz zu schaffen macht. Die individuelle Taktik des Hackers bildet sich nicht durch statistische Indikatoren ab. Um die nächsten Schritte des Angreifers vorwegzunehmen, kann sich ein erfahrener Sicherheitsanalyst in den Hacker hineinversetzen und seine nächsten Schritte voraussehen.

4. Gesamtheitliche Tätermotivation erfassen: Eine Cyberabwehr muss die Motive eines Kriminellen berücksichtigen. Nicht jeder Angreifer will Daten entwenden, verschlüsseln und Lösegeld erhalten. Hacker haben verschieden Motive: Das Kapern von Ressourcen, um Bitcoins zu schürfen, eine vielleicht politisch oder persönlich motivierte Sabotage oder einfach die Lust am Zerstören. Somit darf eine Abwehr nicht nur Daten sichern oder Informationslecks schließen. Eine nachhaltige Reaktion verlangt ein Verständnis der menschlichen Psychologie.

5. Relevante und priorisierte Sicherheit anstatt Abwehrautomatismen: Ein IT-Sicherheitsanalyst priorisiert Risiken individuell für ein Unternehmen. Dabei erfolgt die Wahl der Abwehr je nach Kontext. Handelt es sich um wiederbeschaffbare Daten, die möglicherweise gar keinen Wert mehr für das Unternehmen haben oder um die vielzitierten Kronjuwelen? Daraus resultierende Fragen nach einer zur Situation passenden Abwehr angesichts der Relevanz von Daten oder Prozessen für den Geschäftserfolg kann eine KI nicht beantworten. Zudem hat der Analyst den Blick für branchentypische Angriffe. Eine KI, die nur das eigene Netz im Blick hat, sieht ein solches Risiko nur, wenn eine hochaktuelle Threat Intelligence sie unterstützt.

6. Abwehr leiten und Kollateralschäden vermeiden: Eine KI hat große Stärken im Erkennen einer Gefahr und kann eine Abwehr automatisch starten. Jede Abwehr hat jedoch Nebenwirkungen und kann IT- oder Geschäftsabläufe beeinträchtigen. Die Abwehr ist unter Umständen nicht weniger komplex und folgenreich als die APT. Somit sind hier Sicherheitsanalysten gefragt, weil sie die Folgen des Handelns berücksichtigen und abwägen können. Nicht zu rechtfertigende Kollateralschäden, wie etwa das Blockieren eines IoT-gesteuerten Gebäudezugangs oder von IT-Systemen in der Krankenpflege, kann die menschliche Expertise vermeiden.

Beim Nachbereiten eines Angriffs kommt einem Sicherheitsanalysten dann eine wichtige beratende Rolle zu. Er kann anhand einer gespiegelten Aufzeichnung des gesamten Netzwerkes forensisch nachvollziehen, was passiert ist und wie Angriffe in Zukunft verhindert werden können.

IT-Sicherheit ohne KI gehört der Vergangenheit an. Dennoch sind Sicherheitsfachleute nicht überflüssig. Sie bleiben relevant als kontinuierliche Interpreten von Alarmen, als Betreuer in Krisensituationen und als Berater für eine zukunftssichere IT-Sicherheit. Jede „Detection and Response“ ist idealerweise von einer „Managed Detection and Response“ ergänzt.

Paul Smit, Director Professional Services bei ForeNova.