Im Jahr 2024 wird künstliche Intelligenz (KI) 65 % der Unternehmen dazu veranlassen, ihre Sicherheitsstrategien weiterzuentwickeln. Weltweit hat diese technologische Revolution Sicherheits- und Unternehmensleiter dazu veranlasst, kritisch darüber nachzudenken, wie KI als Multiplikator eingesetzt werden kann, um Sicherheitsabläufe zu optimieren und Wettbewerbsvorteile zu schaffen.
Bei richtiger Anwendung birgt das Versprechen der KI ein großes Potenzial für Security Operation Center (SOCs), um die Erkennung von Bedrohungen und die Reaktion auf Vorfälle zu verbessern, Vorhersagefunktionen einzubauen und die Gesamteffizienz und Skalierbarkeit von Sicherheitsmaßnahmen gegen Cyberangriffe zu verbessern.
Dennoch müssen SOC-Teams mit Bedacht vorgehen und dürfen nicht aus den Augen verlieren, worauf es bei einem KI-gesteuerten SOC am meisten ankommt. Die Grundlage aller KI-Tools und -Prozesse ist die Ausgabe von Daten – und zweifelsohne wird die Qualität und Integrität Ihrer Daten den Erfolg Ihres KI-Programms widerspiegeln.
In diesem Blog gehe ich auf einige Herausforderungen ein, die eine schlechte Datenqualität für KI-Modelle mit sich bringt, und erzähle von den ehrlichen Gesprächen, die LogRhythm mit Kunden und Interessenten über dieses Thema führt. Wenn Sie Ihr SOC für KI fit machen wollen, müssen Sie sicherstellen, dass Sie diese Punkte auf Ihrer Liste abhaken.
Die Herausforderung mangelhafter Datenqualität für KI
Die rasante Entwicklung von KI und maschinellem Lernen (ML) in der Cybersicherheit erfordert Daten von beispielloser Qualität. KI-Modelle arbeiten mit dem Potenzial der Daten, die sie erhalten. Heute rühmen sich zu viele Anbieter von Cybersicherheitslösungen mit der Nutzung von KI, übersehen dabei aber einen entscheidenden Faktor: die Datenqualität.
Dies kann zu verschiedenen Herausforderungen führen, darunter:
Herausforderung Nr. 1: Unklare Ausgabe
Schlechte Dateneingabe erzeugt unklare Ausgabe. Wenn KI-Tools mit minderwertigem Input arbeiten, führt dies zu unübersichtlichem oder irrelevantem Output, der von echten Indikatoren ablenkt und die Reaktionszeiten verlangsamt.
Herausforderung Nr. 2: Mehr Rauschen
Wenn KI-Tools mit beschädigten Daten gefüttert werden, produzieren sie ungenaue Ergebnisse, die zu Fehlalarmen und unnötigem Rauschen führen. Dies erschwert es den Sicherheitsanalysten, ihre Arbeit effektiv zu erledigen, und beeinträchtigt die allgemeine Sicherheit Ihres Systems.
Herausforderung Nr. 3: Inkonsistenz
In Gesprächen mit potenziellen Kunden haben diese festgestellt, dass sie bei der Verwendung von KI-Tools bestimmter Cybersicherheitsanbieter auf Probleme stoßen, weil die Daten nicht konsistent sind. Microsoft Sentinel zum Beispiel verlangt von den Teams die Verwendung einer komplexen Abfragesprache. Um dieses Problem zu beheben, wurde eine KI-Funktion hinzugefügt, die die Suche in natürlicher Sprache vor die Abfragesprache stellt. Das Problem ist, dass die Benutzer unterschiedliche Ergebnisse für dieselbe natürlichsprachliche Suche erhalten. Im besten Fall müssen sie bei einem Vorfall an eine sofortige technische Lösung denken.
Dies ist ein Beispiel dafür, dass man sich auf die Technologie konzentriert, aber nicht auf das ursprüngliche Problem, das bei Sicherheitsexperten für Frustration sorgt. Wenn die ursprünglichen Daten, die in ein KI-Tool eingespeist werden, inkonsistent sind, führt dies zu mehr Rauschen und Ungenauigkeit, was dazu führt, dass Sicherheitsteams kein Vertrauen haben und Zeit verschwenden, um zu verstehen, welche Maßnahmen zu ergreifen sind.
Anforderungen an eine hohe Datenqualität – Worauf ist zu achten?
Um Bedrohungen einen Schritt voraus zu sein, braucht man nicht nur fortschrittliche Technologie, sondern auch Daten, denen man vertrauen kann. Die Sicherstellung, dass die in die KI-Tools eingespeisten Daten sauber und genau sind, ist für die Aufrechterhaltung robuster und effektiver Sicherheitsmaßnahmen von entscheidender Bedeutung. Auf die folgenden Punkte sollten Sie bei der Bewertung von Sicherheitsanbietern achten, die Ihre Daten verarbeiten:
#Nr. 1: Einfache Dateneingabe und Integration
Der Erfolg Ihres Sicherheitsprogramms hängt von einem umfassenden Zugriff auf Protokolle und andere Sicherheitsdaten aus allen Ihren lokalen und Cloud-Umgebungen ab. Es ist wichtig zu bewerten, wie robust und benutzerfreundlich die Dateneingabefunktionen Ihres Sicherheitstools sind.
Dies sollte mit der Anzahl der formalen Partnerschaften und sofortigen Integrationen des Anbieters mit Ihrem bestehenden Sicherheitstool beginnen. Außerdem sollten Sie sicherstellen, dass der Anbieter eine Vielzahl von Datenerfassungstechniken unterstützt, darunter Cloud-Collectors, Agenten, API- und Webhook-Integrationen sowie benutzerfreundliche Mechanismen zur Erstellung benutzerdefinierter Richtlinien für die Datenanalyse, falls erforderlich.
Fragen, die Sie einem Anbieter stellen sollten:
- Können Sie meine Datenquellen schnell und konsistent einlesen?
- Was ist die vollständige Liste der Techniken, die Sie für die Aufnahme von Kundendaten verwenden?
- Können Sie mich durch den Prozess zur Erstellung einer benutzerdefinierten Parsing-Regel führen?
#2 Normalisierung, Anreicherung und Durchsuchbarkeit von Daten
Sie müssen in der Lage sein, aussagekräftige Erkenntnisse aus großen Mengen von Rohdaten zu Sicherheitsereignissen zu gewinnen. Bei der Bewertung von Anbietern sollten Sie genau prüfen, wie effektiv sie unterschiedliche Datentypen in ein einheitliches Format bringen, aussagekräftige Metadaten extrahieren und organisieren und die Durchsuchbarkeit ermöglichen. Sowohl Benutzer als auch KI-Tools profitieren von qualitativ hochwertigen Daten. Robuste Normalisierungs- und Anreicherungsfunktionen ermöglichen Anwendern eine präzise Suche, während umfassende Schemata die Leistung von KI-Modellen erheblich verbessern.
Die Suchfunktionen sollten sowohl einfache Suchoperatoren als auch anspruchsvollere Abfragen unterstützen, die zusammengesetzte Suchoperatoren, Trennzeichen und Operatoren für reguläre Ausdrücke umfassen.
Bei der Bewertung der Suchfunktionen sollten Sie auch auf Komfortfunktionen für Analysten achten, wie z. B. assistierte Suchassistenten, gespeicherte Suchvorgänge, Ansichten des Suchverlaufs und automatische Aktualisierungsfunktionen.
Fragen, die Sie einem Anbieter stellen sollten:
- Welche Arten der Verarbeitung führen Sie mit den von Ihnen gesammelten Rohdaten durch?
- Kann ich mit meinen Daten komplexe Suchvorgänge durchführen, indem ich zusammengesetzte Suchvorgänge, Trennzeichen und reguläre Ausdrücke verwende?
- Sind die Daten normalisiert, um die Suche über verschiedene Protokollquellen hinweg zu erleichtern?
- Ist es einfach, über Tage, Wochen oder Monate von Protokollen hinweg zu suchen?
- Welche Funktionen bieten Sie an, um Benutzer durch komplexe Suchvorgänge zu führen?
#Nr. 3 Architektur, Ausfallsicherheit und Skalierbarkeit
Eine der größten Herausforderungen im Bereich der Sicherheitsoperationen ist die schiere Menge an Daten, die kontinuierlich gesammelt und analysiert werden müssen. Es ist von entscheidender Bedeutung, die Architektur und die Betriebsverfahren Ihres Anbieters zu bewerten und sicherzustellen, dass er in der Lage ist, die Anforderungen von Unternehmen mit ähnlicher Größe und ähnlichen Merkmalen wie Ihrem Unternehmen zu erfüllen. Diese Bewertung sollte auch Faktoren wie die Betriebszeit der Plattform und Leistungsaspekte wie den Durchsatz bei der Verarbeitung von Sicherheitsereignissen berücksichtigen.
Fragen, die Sie Ihrem Anbieter stellen sollten:
- Wie stellen Sie sicher, dass die Leistung bei steigender Nutzung und wachsenden Datenmengen nicht beeinträchtigt wird?
- Wie verhindern Sie, dass sich ein falsch konfigurierter Tenant auf andere SaaS-Kunden auswirkt?
- Was ist für die Skalierung nach oben oder unten erforderlich? Ist eine Ausfallzeit erforderlich?
#Nr. 4 Anforderung: Datenverwaltung und -einhaltung
Governance und Compliance sind unerlässlich, um sicherzustellen, dass Ihre Daten von höchster Qualität sind. Eine wirksame Governance umfasst Richtlinien für die Datenaufbewahrung, -archivierung und -entsorgung, die bei der Verwaltung der Datenqualität während ihres Lebenszyklus helfen. Governance stellt die Mechanismen für die Prüfung und Verfolgung der Datennutzung bereit, die für die Erkennung von und Reaktion auf Sicherheitsvorfälle unerlässlich sind. Ihr Cybersecurity-Anbieter sollte es Ihnen ermöglichen, Compliance-Frameworks und Best Practices zu befolgen, die die Konsistenz, Genauigkeit und Zuverlässigkeit von Daten sicherstellen.
Gehen Sie bei der Nutzung von KI-Tools mit Vorsicht vor und stellen Sie sicher, dass Sie eine klar definierte Compliance-Strategie haben. Wenn Sie beispielsweise Daten an ein Sicherheitstool senden und dieses sie anschließend für KI-Nutzungsfälle an einen Dritten weiterleitet, werden die Daten möglicherweise häufiger übertragen, als Ihnen bewusst ist.
Fragen, die Sie Ihrem Anbieter stellen sollten:
- Entsprechen Ihre Erkennungstechniken irgendwelchen Branchen-Frameworks oder Best Practices?
- Wie hoch ist der Aufwand für die Konfiguration Ihres Produkts zur Unterstützung meiner Compliance-Anforderungen?
- Mit welchen anderen Unternehmen arbeiten Sie in meiner Branche zusammen?
- Wie hält sich Ihre KI-Funktion an die von mir zu befolgenden Compliance-Vorgaben?
Wie LogRhythm Qualität in Ihre Daten bringt
Stellen Sie sich eine Welt vor, in der die KI-Tools, die Sie zur Verteidigung Ihres Unternehmens gegen Cyberangriffe einsetzen, mit möglichst sauberen und zuverlässigen Daten gefüttert werden. Wir bei LogRhythm stellen uns eine Zukunft vor, in der die Cybersicherheit nicht nur reaktiv, sondern proaktiv an neue Bedrohungen angepasst ist. Wir sind uns bewusst, dass es für die Kunden von LogRhythm von größter Bedeutung ist, dass wir eine solide Datenbasis und -qualität bieten; diese Grundlage ist der Schlüssel zu einem erfolgreichen KI-gesteuerten SOC.
Anreicherung der Daten mit Machine Data Intelligence (MDI) Fabric
Die Machine Data Intelligence (MDI) Fabric von LogRhythm macht diese Welt zur Realität. Seit über zwanzig Jahren durchläuft die MDI-Fabric von LogRhythm strenge Validierungsprozesse und eine kontinuierliche Feinabstimmung, um die Genauigkeit und Zuverlässigkeit der Daten zu gewährleisten, die in unsere SIEM-Lösungen (Security Information and Event Management) eingespeist werden. Es handelt sich nicht nur um saubere Daten, sie sind kampferprobt und bewährt.
MDI Fabric wird durch Apache Flink als Echtzeit-Engine für komplexe Ereignisverarbeitung und fortschrittliche Analysen erweitert. Diese Technologie hinter der Bedrohungserkennungs-Engine profitiert von hochwertigen Metadaten, genauso wie Benutzer und KI-Funktionen.
Ausgestattet mit dieser proprietären, sicherheitsrelevanten Datenvermittlungstechnologie können Kunden schnellere und genauere Suchanfragen und Analysen durchführen.
Kontinuierliche Implementierung von neuen und verbesserten Log-Quellen
LogRhythm stellt seinen Kunden kontinuierlich neue und verbesserte Log-Quellen zur Verfügung. Durch die ordnungsgemäße Pflege und Normalisierung von Protokollnachrichten erhalten Kunden den maximalen Wert aus den in die SIEM-Lösungen von LogRhythm aufgenommenen Protokollen und den aus der MDI-Fabric von LogRhythm gewonnenen Sicherheitseinblicken.
Um zu beweisen, dass wir diese Versprechen einhalten, halten wir Sie mit unseren vierteljährlichen Produktmitteilungen auf dem Laufenden. Unsere nächste große Ankündigung steht schon vor der Tür! Am 1. Juli werden die SIEM-Produktmanager von LogRhythm 70 neue und verbesserte Protokollquellen für Betriebssysteme, Firewall-Sicherheit und Anwendungen vorstellen.
Bereitstellung eines AI-gesteuerten Policy Builders
Für Kunden ist es von entscheidender Bedeutung, auf Metadaten höchster Qualität zuzugreifen. Unser Cloud-natives SIEM, LogRhythm Axon, verfügt über einen KI-gesteuerten Policy Builder, der eine robuste Dateninfrastruktur nutzt, um anspruchsvolle und maßgeschneiderte Parsing-Richtlinien zu erstellen. Diese Schlüsselkomponente macht es einfach, Metadaten dem Schema von LogRhythm Axon zuzuordnen.
Der Vorteil? Der Vorteil ist, dass die Kunden jedes Datenelement in einem Protokoll leichter identifizieren und dem LogRhythm Axon-Schema zuordnen können – ohne komplexe Abfragesprachen oder Programmierung. Dies ist unglaublich nützlich für Sicherheitsteams, die nur über geringe Ressourcen verfügen. Neue Benutzer können innerhalb von Minuten oder Stunden effektiv arbeiten, da die grafische Benutzeroberfläche (GUI) einfacher zu verstehen ist.
Außerdem wird LogRhythm Axon in Zukunft Schwachstellen bewerten und Sicherheitsumgebungen evaluieren, um maßgeschneiderte Strategien zur Stärkung Ihrer Verteidigungsposition bereitzustellen, die auf der Benutzeroberfläche hervorgehoben werden.
Schnellere Wertschöpfung mit Ihren Daten
Komplexität führt zu schlechten Erfahrungen bei der Datenverwaltung, was für Sicherheitsexperten ein häufiger Schmerzpunkt sein kann. LogRhythm vereinfacht das Cybersecurity-Management, indem es komplexe Abfragen und Fachausdrücke eliminiert. LogRhythm unterstützt sowohl strukturierte Abfragen als auch die Volltextsuche, um maximale Flexibilität und Benutzerfreundlichkeit bei der Durchführung von Untersuchungen zu gewährleisten.
Ein weiterer Aspekt qualitativ hochwertiger Daten ist die Geschwindigkeit, mit der Aktualisierungen von Datensätzen vorgenommen werden können. In einer KI-gesteuerten Welt müssen Sie sich schnell an veränderte KI-Modelle und -Aufforderungen oder aktualisierte Parsing-Methoden anpassen können – ohne etwas kaputt zu machen. Um Kunden bei der schnellen Anpassung an Veränderungen zu unterstützen, verfügt LogRhythm über ein Aktualisierungsmuster, mit dem sich KI-Modelle schnell anpassen können.
Vertrauen Sie Ihren Daten und Ihrem Sicherheitspartner
KI bietet leistungsstarke Tools zur Verbesserung der Cybersicherheit, bringt aber auch neue Herausforderungen mit sich, die sorgfältig gehandhabt werden müssen. Die erfolgreiche Integration von KI in Cybersecurity-Teams erfordert eine Abwägung der Vorteile und Herausforderungen durch strategische Planung und kontinuierliche Anpassung.
Mit LogRhythm können Sie Entscheidungen in Ihrem KI-gesteuerten SOC mit Zuversicht treffen, da Sie wissen, dass Ihre Erkenntnisse auf authentischen und umsetzbaren Informationen beruhen.
Wenn Sie mehr darüber erfahren möchten, wie LogRhythm Ihre Cybersicherheit mit zuverlässigen Daten unterstützen kann, fordern Sie noch heute weitere Informationen an.
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Kontakt über LinkedIn:
Kevin Breuer, Sales Engineer, LogRhythm
Lars Drewianka, Regional Sales Manager, LogRhythm