Die Suche nach schädlichen Aktivitäten in der Cloud ist wie die Suche nach einer Nadel im Heuhaufen. Sicherheitsexperten müssen täglich Hunderte von falsch-positiven Alarmen durchforsten, um echte Sicherheitsvorfälle zu identifizieren, die untersucht werden müssen.
Laut einer Studie des Cybersecurity-Anbieters Orca Security geben 59 % der IT-Sicherheitsspezialisten an, täglich mehr als 500 Warnmeldungen zur öffentlichen Cloud zu erhalten. Ein Analyst muss dann entscheiden, ob er die Meldung weiter verfolgen oder ignorieren soll.
Allzu oft führt dieses hohe Aufkommen an Warnungen zu einem Szenario, in dem Mitarbeiter mit der Verwaltung trivialer oder unwichtiger Meldungen so beschäftigt sind, dass sie tatsächliche Datenschutzverletzungen nicht erkennen und darauf reagieren können.
So sagten beispielsweise 55 % der Cybersecurity-Verantwortlichen, dass sie wöchentlich oder täglich wichtige Hinweise übersehen.
Angesichts dieser Herausforderungen setzen immer mehr Anbieter von Cybersicherheitslösungen auf generative KI, um Sicherheitsteams bei der Analyse der Aktivitäten in der Cloud zu unterstützen.
Einer davon ist Skyhawk Security, ein mit 180 $ Millionen bewertetes Cloud-Sicherheitsunternehmen, das Anfang des Jahres den Einsatz von ChatGPT zur Erkennung von Cyber-Bedrohungen angekündigt hat.
Clevere Suche nach Bedrohungen mit ChatGPT
Transparenz und Kontext spielen für Sicherheitsanalysten eine entscheidende Rolle, wenn es um die Frage geht, ob eine Warnung oder ein Bedrohungssignal ein Zeichen für einen Cyberangriff oder einen harmlosen Fehlalarm ist.
Dennoch verfügen Analysten oft über zu viele oder zu wenige Daten, um ohne weitere Untersuchungen eine Entscheidung zu treffen.
Die Antwort von Skyhawk Security auf dieses Dilemma ist die Integration von generativer KI, der ChatGPT API, in seine Cloud Detection and Response-Lösung (kurz CDR) als Teil von zwei Produkten – Threat Detector und Security Advisor.
- Threat Detector arbeitet mit der ChatGPT API, die auf Millionen von Sicherheitssignalen aus dem Internet trainiert wurde, um Cloud-Ereignisse zu analysieren und Warnungen schneller zu generieren.
- Security Advisor bietet eine Zusammenfassung von Live-Warnungen in natürlicher Sprache sowie Empfehlungen für die Reaktion und Behebung von Problemen.
Dank generativer KI können Nutzer in diesem Fall viel früher auf Warnmeldungen reagieren und erhalten mehr Informationen darüber, wie sie am besten vorgehen können, um Datenschutzverstöße in kürzester Zeit zu beheben.
Es handelt sich um einen automatisierten Ansatz für das Alarmmanagement, der sich laut Skyhawk als unglaublich effektiv erwiesen hat.
Tests ergaben, dass die CDR-Plattform in 78 % der Fälle schneller Alarme auslöste, wenn sie die ChatGPT API als Teil ihres Bedrohungsanalyseprozesses verwendete.
Chen Burshan, der CEO von Skyhawk Security, erklärte gegenüber Techopedia:
„Generative KI war für Skyhawk ein natürlicher Fortschritt, da wir stets bestrebt sind, unsere Bedrohungserkennung zu verbessern, und wir sehen generative KI als eine große Chance, unsere Erkennung und Reaktion für Cloud-Ingenieure und SOC Incident Responder zu optimieren.“
Burshan fügte hinzu: „Wir setzen sie wie einen Kraftmultiplikator für das SOC ein, der den Mangel an Cloud-kompetenten Mitarbeitern beheben hilft.“
ChatGPT zur Cloud-Erkennung und Reaktion
Als Teil seiner Lösung nutzt Skyhawk eine bestehende Grundlage von Algorithmen des maschinellen Lernens (ML) zur Überwachung von Daten in der Cloud.
Das System wurde so trainiert, dass es zwischen „friedlichen“ Aktivitäten und normaler Nutzung unterscheiden und sofort Indikatoren für bösartiges Verhalten (engl. malicious behavior indicators, MBI), wie z. B. unbefugten Speicherzugriff, erkennen und verfolgen kann, um diese MBIs mit einem Bedrohungswert zu versehen.
Sobald der Wert eine bestimmte Schwelle überschreitet, wird ein Alarm ausgelöst. Nach der Alarmierung kann die ML-Lösung von Skyhawk eine Angriffssequenz erstellen und dem Benutzer eine grafische Darstellung des Ereignisses präsentieren, die das Geschehen zusammenfasst.
Dann greift Skyhawk auf seinen mit ChatGPT trainierten Bedrohungsdetektor zurück, um die von seinem bestehenden ML-gesteuerten Mechanismus zur Bedrohungsbewertung gelieferten Daten mit zusätzlichen Parametern zu ergänzen und zu vervollständigen. So können Nutzer die einer bestimmten Aktivität zugewiesenen Risikowerte verifizieren.
Dies bedeutet, dass IT-Administratoren mit größerer Sicherheit erkennen können, auf welche Warnmeldungen sie reagieren müssen und ihnen eine höhere Priorität einräumen sollten.
Die Grenzen der generativen KI in der Cybersicherheit
Generative KI kann für Sicherheitsexperten hilfreich sein. Allerdings müssen Unternehmen die Grenzen der Technologie berücksichtigen, um die besten Ergebnisse zu erzielen.
Burshan sagte:
„Generative KI ist zwar extrem leistungsstark, muss aber mit Bedacht eingesetzt werden, um sicherzustellen, dass sie keine Fehler verursacht, keine Datenschutzfragen aufwirft und viele weitere Aspekte einbezieht, die Aufmerksamkeit erfordern.“
In diesem Sinne ist generative KI für SOC-Teams ein Werkzeug, das die menschliche Untersuchung von Sicherheitsereignissen ergänzen und rationalisieren kann. Es handelt sich dabei nicht um eine Lösung, die eine vollständige Automatisierung der Bedrohungsbehebung und -reaktion ermöglicht.
Derzeit eignet sich generative KI vor allem dann, wenn sie undurchschaubare Warnungen und Daten in natürlicher Sprache erklärt und Nutzern Hinweise gibt, wie sie darauf effektiv reagieren können.
Sunil Potti, Vizepräsident und Generaldirektor von Google Cloud Security, erklärte in einem Blogpost nach dem Start von Googles Sicherheits-LLM im April 2023: „Die jüngsten Fortschritte im Bereich der künstlichen Intelligenz (KI), insbesondere große Sprachmodelle (LLMs), beschleunigen unsere Fähigkeit, Mitarbeitern bei der Gewährleistung der Sicherheit ihrer Organisationen zu helfen.“
Potti fügte hinzu:
„Diese neuen Modelle geben den Menschen nicht nur eine natürlichere und kreativere Möglichkeit, Sicherheit zu verstehen und zu verwalten, sondern sie bieten ihnen auch Zugang zu KI-gestütztem Fachwissen, um über das hinauszugehen, was sie allein tun könnten.“
Wissen ist Macht
Angesichts der zunehmenden Anzahl von Cyberbedrohungen stellt Wissen eine wichtige Voraussetzung dar. Je mehr Kontext Sicherheitsteams haben, um Entscheidungen darüber zu treffen, wie sie auf Sicherheitsvorfälle reagieren sollen, desto besser können sie lokale und Cloud-Umgebungen vor Angreifern schützen.
Durch den Einsatz von generativer KI können Unternehmen ihren Analysten bei der Entscheidungsfindung helfen, welchen Warnungen sie nachgehen und welche Maßnahmen sie ergreifen sollten, anstatt sich darauf zu verlassen, dass sie täglich Hunderte von Fällen richtig einschätzen.