E-Mail-Sicherheit

    Wie die Cybersecurity-Automatisierung das SOC von ZeroFOX verändert hat

    Durch den internen Austausch von Informationen über die Funktionsweise der Automatisierungssoftware für die Cybersicherheit können SOC-Analysten ihre Arbeit von Tagen auf Stunden verkürzen - oder sogar auf weniger.

    by Mike Azzara
    home-office-monitors-unsplash.jpg

    Wichtige Punkte

    • Untersuchungen zeigen, dass die Automatisierung der Cybersicherheit auf dem Vormarsch ist, trotz Hindernissen wie dem Mangel an qualifizierten Programmierern und Bedenken, dass sie zu neuen Sicherheitslücken führen könnte.
    • Durch die "Demokratisierung" des Wissens über das Innenleben der Automatisierungssoftware hat der CSO von ZeroFOX die Effizienz des SOC des Unternehmens verändert.
    • Häufige Iterationen bedeuten, dass sich die Automatisierungssoftware im Einklang mit der Cybersicherheitslandschaft weiterentwickelt.
    • Zusätzlicher Bonus: Bessere Kommunikation zwischen den Abteilungen des Unternehmens und Steigerung der Arbeitsmoral.

    KI hat die Welt der Unternehmenstechnologie in den letzten Jahren im Sturm erobert. Es überrascht daher nicht, dass die Automatisierung der Cybersicherheit auf der Grundlage von KI immer mehr in Mode kommt. Aber einige CSOs sagen "nicht so schnell": Die Automatisierung der Cybersicherheit birgt Hindernisse und Herausforderungen - und, was am wichtigsten ist, sie könnte Ihr Unternehmen neuen Schwachstellen aussetzen, die durch die Automatisierung selbst entstehen. Ein CSO hat einen Ansatz gefunden, der diese Probleme löst und gleichzeitig die Produktivität seines Security Operations Center (SOC) erheblich steigert.

    Automatisierung der Cybersicherheit ist auf dem Vormarsch

    Fast 80 % der Sicherheitsexperten, die auf eine Studie des Ponemon Institute aus dem Jahr 2019 geantwortet haben, gaben an, dass ihre Unternehmen entweder bereits Cybersecurity-Automatisierung einsetzen oder dies planen.[1] Aber KI ist keine Zauberei - es ist viel harte Arbeit nötig, um dieses Ziel zu erreichen. Und wie bei den meisten Dingen im Bereich der Cybersicherheit stellt die Automatisierung eine Herausforderung für den Fachkräftemangel dar - mal zwei: Es gibt das allgemeine Problem, dass es nicht genügend Cybersecurity-Talente gibt, und die Schwierigkeit, die benötigten KI- und Automatisierungstalente zu finden. Laut der Ponemon-Studie nannten 56 % der Befragten den Mangel an internen Talenten als größtes Problem bei der Einführung von Cybersecurity-Automatisierung.

    Aber Automatisierung kann neue Schwachstellen schaffen

    Schlimmer noch: Die Automatisierung der Cybersicherheit kann selbst Schwachstellen schaffen, wie Sam Curry, CSO von Cybereason, in einem Bericht des Cyber Resilience Think Tank von Mimecast erklärt: Transforming the SOC. Curry befürchtet, dass automatisierte Cybersicherheitssysteme "vorhersehbar und damit ausnutzbar werden". Curry ist der Meinung, dass CISOs und CSOs "nicht um der Automatisierung willen automatisieren, sondern die Menschen effektiver machen sollten, um den Wert ihrer Leistung zu erhöhen, ohne das Ganze zu schwächen."

    Genau das will Sam Small, CSO von ZeroFOX und Mitglied des Cyber Resilience Think Tank, mit einem Ansatz erreichen, den er "Automatisierungsakzeptanz" nennt. Der Grundgedanke von Small besteht darin, eine Cybersecurity-Automatisierung zu implementieren, deren Entwicklung und innere Entscheidungsprozesse von den SOC-Analysten, die sie nutzen, so gut verstanden werden - und von allen anderen im Unternehmen, die das wissen müssen, unabhängig von ihren technischen Kenntnissen - dass die Informationen "demokratisiert" werden.

    Ein schneller Sieg legt den Grundstein für die Automatisierung

    ZeroFOX bietet seinen Kunden einen "Schutz der öffentlichen Angriffsfläche", um vor Betrug und Scams zu schützen, die die Marken der Kunden ausnutzen. In der Praxis bedeutet das, dass das SOC von ZeroFOX alle Formen von sozialen Medien, mobilen Apps, Surface, Deep und Dark Web sowie Code-Share-Repositories im Auftrag seiner verwalteten Kunden überwacht - also derjenigen, die nicht die Produkte von ZeroFOX nutzen, um dies selbst zu tun. Als Small als CSO eintrat, waren die SOC-Analysten von ZeroFOX kurz davor, von Tausenden von täglichen Alarmen, die schnell bearbeitet werden mussten, überwältigt zu werden.

    "Damals nutzte unser Betriebsteam unser Produkt, um die Warnungen unserer verwalteten Kunden auf die gleiche Weise zu sortieren und zu bearbeiten, wie es jeder einzelne Kunde tun würde", erklärt Small. "Das scheint eine naheliegende Entscheidung zu sein, aber das Volumen der Warnungen, die wir für unsere verwalteten Kunden in einem bestimmten Zeitraum prüfen, ist mindestens um eine Größenordnung größer als das eines einzelnen Kunden, und jegliche Ineffizienz im Prozess wird durch diese Größenordnung noch verschärft.

    Small stellte eine Art "Produktentwicklungsteam" für das interne SOC von ZeroFOX zusammen. Sie modifizierten das Standardtool, indem sie zum Beispiel:

    • Die Verwendung eines Zeigegeräts wird überflüssig, so dass die Hände der Analysten die Tastatur nicht mehr verlassen müssen.
    • Erstellung von Massenaktionsfunktionen, die auf mehrere Ausschreibungen gleichzeitig angewendet werden können
    • Ermöglichung einer schnellen Filterung von Warnmeldungen nach typischen Merkmalen der Daten, wodurch Analysten schneller auf viele Warnmeldungen zugreifen können, die ein bestimmtes Merkmal oder bestimmte Merkmale aufweisen

    Viele dieser Änderungen wurden später in die an die Kunden ausgelieferten Versionen des Produkts integriert. Obwohl keine dieser Aktualisierungen eine Automatisierung beinhaltete - sie machten die menschlichen Analysten einfach effizienter - legten die Bemühungen eine wichtige Grundlage für die spätere Automatisierung der Cybersicherheit.

    Kontinuierliche Entwicklung ist eine riesige Hürde für die Automatisierung der Cybersicherheit

    Small wusste, dass der nächste logische Schritt bei der Verbesserung des SOC-Betriebs die Automatisierung von Roboterprozessen (RPA) sein sollte, die das Expertenwissen der Analysten in einer Software erfassen würde. Eine solche RPA-Software für die Cybersicherheit würde die Entscheidungsfindung der Analysten automatisieren, angefangen bei den einfachsten Entscheidungen, die sie treffen müssen. Doch es gab ein Problem: Im Gegensatz zu RPA-Software für die Buchhaltung, die routinemäßige Aufgaben automatisiert, die seit Jahrzehnten in ähnlicher Weise erledigt werden, sind Aufgaben im Bereich der Cybersicherheit - und die damit verbundenen Entscheidungen - äußerst dynamisch und entwickeln sich ständig weiter.

    "Der Entscheidungsfindungsprozess, den unsere SOC-Analysten anwenden, kann ein paar Wochen oder bestenfalls ein paar Monate lang auswendig gelernt sein, bevor er sich leicht - oder mehr als leicht - weiterentwickelt", sagt Small. "Die Ereignisse, die wir zu Beginn des Jahres als Bedrohung oder Risiko einstufen, oder der Schweregrad, mit dem wir diese Dinge betrachten, können sich am Ende des Jahres völlig verändern, weil die Angreifer unsere Kunden vielleicht anders angreifen. Sie könnten ihre Taktik geändert haben. Unser Technologie-Stack und unsere Fähigkeiten könnten sich geändert haben. Und so weiter und so fort."

    Theoretisch müsste also auch die Automatisierungssoftware von ZeroFOX für die Cybersicherheit ständig weiterentwickelt werden. Das könnte möglich sein, überlegte Small, da ZeroFOX ein Softwareunternehmen ist und über Entwickler verfügt, die dazu in der Lage sind. Aber wie würde die kontinuierliche Weiterentwicklung der Automatisierungssoftware für die Cybersicherheit in der Praxis funktionieren?

    Das größte Hindernis war das Wissen. Typische RPA-Software ist eine Blackbox, wie auch die meiste KI-Software. Es ist oft schwierig oder unmöglich, die Entscheidungen der KI zu dekonstruieren, und das ist zu einem allgemeinen Kritikpunkt in diesem Bereich geworden. Die SOC-Analysten an der Front waren in der Regel die Ersten, die erkannten, wenn etwas weiterentwickelt werden musste, um neuen Bedrohungen zu begegnen. Aber wenn diese SOC-Analysten den logischen Fluss innerhalb ihrer Automatisierungssoftware nicht wirklich verstehen, haben sie es viel schwerer, den Programmierern zu erklären, was sie ändern müssen.

    Das "Artefakt", das die KI von ZeroFOX zum Laufen bringt

    Die Lösung mag täuschend einfach klingen: Mithilfe des RPA-Design-Tools seines bevorzugten SOAR-Systems erstellten Small und sein Team riesige Poster, die das tiefe Innenleben der SOC-Automatisierungssoftware visuell - und vollständig - erläutern. Dazu Small: "Man muss kein Software-Ingenieur sein; jeder, der einigermaßen intelligent ist, kann folgen und verstehen, wie der Prozess funktioniert. Es bleibt nicht viel Raum für Interpretationen oder undurchsichtige Entscheidungsfindungsprozesse.

    Die Auswirkungen dieser einfachen Lösung haben sich im ganzen Unternehmen herumgesprochen.

    Ein Mechanismus für die Software-Evolution: Vor allem wurde damit das Problem der kontinuierlichen Weiterentwicklung von Automatisierungssoftware für die Cybersicherheit gelöst. Es ist ein Artefakt, das das Wissen in den automatisierten Prozessen demokratisiert und einem Analysten die Möglichkeit gibt, zu sagen: "Hey, ich weiß, wie das jetzt funktioniert. Das war letzten Monat super, aber die Dinge haben sich geändert. Wir wollen das nur ein bisschen optimieren", sagt Small.

    "Die Demokratisierung führt zu einer schnellen Iteration und entlastet die Ingenieure und Entwickler, weil die Logik sichtbar ist und sie wirklich mit Nicht-Technikern zusammenarbeiten können. Anstatt zu sagen: 'Das funktioniert nicht', können die Analysten an den Tisch kommen und sagen: 'Das funktioniert nicht, und ich vermute, dass das der Grund dafür ist', weil der Prozess sichtbar ist und sie ihn verstehen", erklärt" Small. "Das spart eine Menge Zeit."

    Kommunikation mit anderen Abteilungen: Dadurch, dass das Wissen über die Funktionsweise der automatisierten Prozesse nicht nur transparent, sondern auch leicht zugänglich ist, haben sich die Kommunikationswege im gesamten Unternehmen geöffnet. Jeder im Unternehmen, der von diesem Wissen profitieren kann, kann es bekommen, auch die Führungsetage. Dies ist der Effekt, der Small dazu veranlasste, den Begriff "Automatisierungsakzeptanz" zu prägen. Wenn die Mitarbeiter die Funktionsweise der KI verstehen, können sie deren Einsatz besser akzeptieren - oder Verbesserungen vorschlagen.

    Moralschub: Der Austausch von Wissen über das Innenleben der Cybersicherheitsautomatisierung des Unternehmens bietet eine gemeinsame Grundlage für die Interaktion zwischen Mitarbeitern aus verschiedenen Bereichen des Unternehmens. Anstatt einfach nur zu nicken, wenn sie sich auf dem Flur begegnen, haben Mitarbeiter aus verschiedenen Abteilungen begonnen, sich besser kennenzulernen, was ihre Interaktionen angenehmer macht und gleichzeitig die Produktivität und Moral steigert.

    Die Umwandlung: Von Tagen zu Stunden, oder Minuten

    Das Wichtigste ist, dass das SOC von ZeroFOX viel effizienter und effektiver geworden ist. Arbeiten, die vor der Automatisierungssoftware für Cybersicherheit Tage dauerten, dauern jetzt nur noch Stunden und in manchen Fällen sogar nur Minuten. "Wenn man sich die Qualität und den Durchsatz unserer Serviceleistungen ansieht, haben wir uns komplett verändert", sagt Small. "Das soll nicht heißen, dass es nicht noch andere Bereiche gibt, in denen wir uns verbessern können, aber es hat sich wirklich etwas verändert."

    Darüber hinaus bietet der Ansatz von ZeroFOX zur Automatisierung der Cybersicherheit einen inhärenten Schutz gegen die ausnutzbare Vorhersehbarkeit, die Sam Curry Sorge bereitet. Ein Entwicklungsprozess, der häufig wiederholt wird, mit einer breit gefächerten Gruppe von Teilnehmern, die unterschiedlich denken und unterschiedliche Fähigkeiten mitbringen, ermöglicht es der KI schließlich, das gesamte Spektrum des menschlichen Potenzials zu imitieren, so dass sie aus Sicht eines Cyberkriminellen unberechenbar wird.

    Die Quintessenz

    Trotz erheblicher Hürden und potenzieller Schwachstellen ist die Automatisierung der Cybersicherheit weltweit auf dem Vormarsch. Damit dies gelingt, sind Investitionen, harte Arbeit und Strenge erforderlich. Auch wenn es wahrscheinlich viele verschiedene erfolgreiche Ansätze geben wird, hat die Automatisierung der Cybersicherheit auf der Grundlage von transparent geteiltem Wissen, das die inneren Abläufe der Software detailliert beschreibt, zu dramatischen Verbesserungen bei ZeroFOX geführt - und auch wichtige kulturelle Vorteile gebracht.

     

    [1] "Das Paradoxon der Cyber-Sicherheitsautomatisierung," Dark Reading

    Zurück zum Anfang