KI als Kraftverstärker für das Angriffsflächenmanagement
Das Angriffsflächenmanagement ist komplizierter geworden, denn einerseits sind unsere Angriffsflächen gewachsen und andererseits hat das Kräfteverhältnis sich zugunsten der Angreifer verschoben, die heute mehr, schnellere und vielfältigere Angriffsmethoden zur Auswahl haben als je zuvor. Zum Glück können wir künstliche Intelligenz auf neue und innovative Weisen nutzen, um uns anhaltende Vorteile beim Management unserer Angriffsflächen zu verschaffen.
Angreifer haben vor Kurzem neue Tools entwickelt, mit denen sie unsere immer größeren und komplexeren Angriffsflächen nun ausspionieren. Noch bedenklicher ist, dass sie dazu eine Technologie nutzen, die ihnen ebenso leicht zugänglich ist wie uns Verteidigern: künstliche Intelligenz (KI).
Das hat die Spielregeln für das Angriffsflächenmanagement (ASM) – eine zunehmend komplexe Kombination aus Technologien, Risiken, Methoden und potenziell verheerenden Konsequenzen – verändert. Die Realität sieht für Chief Information Security Officers (CISOs) nun so aus: Die Zukunft des ASM ist durch KI sehr viel komplizierter und schwerer vorhersehbar geworden.
In den letzten Jahren standen der Nutzung von KI in der Cybersicherheit drei große Hürden im Weg und bis vor Kurzem konnte keine Cybersicherheitslösung alle drei überwinden. Hierzu zählen:
- Die meisten Kunden wissen gar nicht, wie viele und welche IT-Assets sie besitzen. Oft sind ihnen höchstens 70 % bekannt.
- Verschiedene Cybersicherheitstools generieren unterschiedliche Arten von Daten, die – wenn überhaupt – nur teilweise in einer einheitlichen Übersicht zusammengefasst werden. Das erschwert die effiziente, unternehmensweite Identifizierung von Sicherheitsrisiken erheblich.
- Angreifer sind erfinderisch und ändern ihre Taktiken im Laufe der Zeit immer wieder. Deshalb ist es schwierig, die Angriffsvektoren und Exploits zu identifizieren, von denen aktuell die größte Gefahr ausgeht.
Jeder Versuch, das ASM effizienter und effektiver zu gestalten, muss diese drei Herausforderungen berücksichtigen.
Die Rolle der KI im ASM
Die Entwicklung einer ASM-Lösung von Weltrang ist schwierig, weil dabei mehrere Komponenten gleichzeitig entwickelt werden müssen. Wir sind der Meinung, dass für ein effektives ASM fünf Komponenten entwickelt und miteinander verzahnt werden müssen. Doch was geschieht, wenn Ihnen das bei vier davon hervorragend und bei der fünften nicht ganz gelingt?
Leider bedeutet die einwandfreie Verwirklichung von vier der fünf Komponenten nicht, dass Sie von 80 % des potenziellen Nutzens profitieren. Stattdessen wirkt die ineffektive fünfte Komponente aufgrund der notwendigen engen Verzahnung wie das schwächste Glied in der sprichwörtlichen Kette und der Schutz Ihrer Angriffsfläche ist mit vielleicht nur 10 % des potenziellen Nutzens insgesamt nicht wirksam.
Zum Glück lässt sich das ASM jedoch durch die Nutzung von KI verbessern. Ein Beispiel hierfür ist Cortex Xpanse von Palo Alto Networks. Diese Technologie bietet eine ganze Reihe von Vorteilen für das Angriffsflächenmanagement, darunter Automatisierung, Skalierbarkeit, bessere Leistung (unabhängig von der Größe der Umgebung), Genauigkeit und viele weitere. Sie ist ein leistungsstarker, effizienter und zuverlässiger Kraftverstärker für unsere Cybersicherheitsteams, Technologien und ASM-Prozesse.
Herausforderungen bei der kontinuierlichen Überwachung digitaler Assets
KI kann insbesondere durch eine präzise, zuverlässige und konsistente Datenerfassung dazu beitragen, dass das Angriffsflächenmanagement effizienter und effektiver wird. Das ist wichtig, weil man im Internet zwar relativ leicht Angriffsdaten für bestimmte Zeitpunkte finden kann, aber kaum regelmäßig und konsistent über längere Zeiträume hinweg.
Es ist schwierig, Herausforderungen zu identifizieren und zu bewältigen, die mit der Überwachung kritischer IT- und OT-Technologiefunktionen rund um die Uhr einhergehen. Ein Grund hierfür ist, dass nicht immer offensichtlich ist, wem im Internet was gehört.
Nehmen wir beispielsweise an, dass wir ein Unternehmen identifiziert haben, das ein Tochterunternehmen hat. Wir wissen vielleicht, dass dieses Tochterunternehmen vor sechs Jahren ein anderes Unternehmen gekauft hat, das einen auf eine bestimmte Art konfigurierten Webserver besaß. Heute läuft dieser Webserver auf Azure, wodurch ein Datenbankserver auf unsichere Weise über das Internet erreichbar ist. Das klingt kompliziert, ist aber noch ein relativ einfaches Szenario. Doch wenn wir dieses Szenario auf unsere gesamte Kundenbasis hochrechnen, wird die Situation erheblich komplexer.
Eine weitere Herausforderung ist die Erstellung von Wissensgraphen, die die Entwicklung von Kunden und deren Assets im Zeitverlauf abbilden. Ein Wissensgraph muss absolut korrekt sein, damit das ASM einwandfrei funktioniert. Das ist nur mit KI effizient und vollständig möglich.
Und ein letzter Punkt, den wir bedenken müssen: Angreifer haben erkannt, dass sie KI nutzen können, um die Angriffsfläche auf dieselbe Weise zu vergrößern, wie wir sie schützen wollen: automatisiert, skalierbar, mit hoher Leistung und Präzision. Sie wollen KI nutzen, um sich den Vorteil zu erhalten, den sie sich im Laufe der Jahre uns Verteidigern gegenüber verschafft haben.
Um das zu verhindern, müssen wir KI auf ein neues Niveau heben und das volle Potenzial von ASM ausnutzen.
Eine KI-gestützte ASM-Lösung, die Verteidiger in Führung bringt
Eine Schlüsselkomponente von ASM ist die Fähigkeit, in Echtzeit umfassende Transparenz zu bieten. Bislang waren ASM-Lösungen jedoch nicht wirklich in der Lage, etwas Nützliches und praktisch Umsetzbares mit den Ergebnissen zu tun, die wir unseren Kunden bereitstellen. Doch was geschieht, wenn wir die gewaltigen Technologieressourcen, die nativ in Xpanse und den anderen Sicherheitslösungen in unserem Portfolio enthalten sind, hier einsetzen? Dann können wir unsere Kunden nicht nur umfassend über all ihre digitalen Assets informieren, sondern auch darüber, wo Angriffe stattfinden – oder wahrscheinlich sind – und wie sie die dabei ausgenutzte/n Schwachstelle/n finden und beheben können.
Mit dieser Verknüpfung von Daten, KI und Arbeitsabläufen verleihen wir Xpanse die Funktionalität und Leistung, die CISOs benötigen. Gleichzeitig ermöglichen wir damit ein beeindruckendes Zusammenspiel der integrierten Technologien, das das Erkennen und Blockieren von Bedrohungen – und das ASM insgesamt – sehr viel klarer, zielgerichteter und erfolgreicher macht. Doch so wichtig es auch ist, die Auswirkungen von Bedrohungen zu beschränken: Wir müssen uns auf die Prävention konzentrieren. Angreifer nutzen KI und andere Tools mittlerweile so effizient, um in Systeme einzudringen und ihre Ziele zu erreichen, dass wir nicht annähernd schnell genug auf Bedrohungen reagieren können, um Vorfälle zu verhindern.
In mancher Hinsicht ist dies ein wichtiges neues Beispiel für den „Shift-Left“-Ansatz, der – aus gutem Grund – in der Softwareentwicklung bereits so weit verbreitet ist. Es gibt jedoch einige wichtige Unterschiede zwischen Softwareentwicklung und KI. Software ist beispielsweise vergleichsweise statisch – sie wird zwar immer wieder mit neuen Versionen und Patches aktualisiert, behält ihre ursprüngliche Form und Funktion dabei jedoch größtenteils bei.
Im Gegensatz dazu ist KI Teil eines dynamischen Prozesses – besonders, wenn sie richtig und angemessen genutzt wird. Wir bezeichnen dies als „Daten-Schwungrad“, denn eine wirklich gute KI, die das ASM wirksam verstärkt und Sicherheitsteams hilft, Angreifern erfolgreich Paroli zu bieten, muss Teil eines kontinuierlichen Entwicklungsprozesses sein. Die vom Kunden kommenden Daten werden importiert, verstanden und verarbeitet – und dabei mit anderen Daten normalisiert. Wenn Sie Ihre Daten richtig auswählen, kann schon eine einfache Regressionsanalyse sehr aufschlussreiche Ergebnisse liefern.
Ein weiterer wichtiger Aspekt unserer Arbeit mit Cortex Xpanse ist die Nutzung von Precision AI. Darunter verstehen wir eine einzigartige Kombination aus Technologie und Prozessen von Palo Alto Networks, die Xpanse in die Lage versetzen, Angriffe in Echtzeit zu erkennen und zu blockieren. Wir haben ML-, Deep-Learning- und generative KI-Modelle mit dem weltweit größten Data Lake eines reinen Sicherheitsanbieters trainiert und miteinander kombiniert und können Cybersicherheitsstrategien wie ASM nun enorm verbessern. Dies gelingt uns durch:
- das Stoppen neuer Bedrohungsvarianten in Echtzeit, auch wenn noch keine Signaturen für sie vorliegen.
- die Interpretation unstrukturierter Daten und das Unterbinden der Ausschleusung vertraulicher Informationen.
- die kontinuierliche Verbesserung der Erkennungsraten – und die Reduzierung von False Positives – durch die Vorhersage neuer Angriffe mit generativer KI.
Diese Fähigkeiten wurden in Cortex Xpanse integriert, um ein stärkeres, intelligenteres und resilienteres Framework für das Management und den Schutz von Angriffsflächen zu schaffen. Dazu nutzen wir äußerst vielfältige und qualitativ hochwertige Daten, einen plattformbasierten Ansatz, der die Freigabe von und den Zugriff auf Daten unterstützt, sowie die zur Erstellung extrem präziser und zielführender Modelle erforderliche KI- und Cybersicherheitsexpertise.
Ausblick
Eine wichtige Aufgabe von CISOs und allen anderen Cybersicherheitsprofis ist es, vorauszuschauen, um die nächsten Ideen der Angreifer möglichst vorwegzunehmen. Dabei können und sollten wir uns an der Vergangenheit orientieren und davon ausgehen, dass Angreifer die Ausdauer, die Fähigkeiten und die Tools haben, die sie zum Erreichen ihrer Ziele benötigen. Wir müssen also dafür sorgen, dass wir die richtigen Tools, Strategien und Prozesse haben, um sie daran zu hindern.
Dazu sollten wir über die bereits verfügbaren innovativen Technologien hinausschauen und einen strategischen Ansatz nutzen, um Angriffe vorherzusehen und zu vereiteln. CISOs sollten sich – in Zusammenarbeit mit den anderen Mitgliedern der Führungsriege und des Vorstands – eine sehr viel proaktivere Denkweise aneignen. Ich habe die „Shift-Left“-Bewegung oben bereits erwähnt, aber wir müssen proaktiv denken und handeln. Wenn Angreifer sich Zugang zu einem unserer Assets verschafft haben, ist es vielleicht schon zu spät für wirksame Gegenmaßnahmen.
Das gilt insbesondere für nicht verwaltete Assets, die bei einem typischen Fortune-500-Unternehmen leider etwa 30 % aller Assets ausmachen. Wenn Sie nicht verwaltete, über das Internet zugängliche Assets haben, haben Sie keine Zeit, auf Bedrohungen zu reagieren. Sie erfahren wahrscheinlich gar nicht, dass ein solches Asset infiltriert wurde, und die Angreifer können sich von dort aus in Ihrem Netzwerk ausbreiten, ohne dass Sie das bemerken.
Natürlich erfordern wirksame, effiziente ASM- und andere Cybersicherheitslösungen finanzielle Investitionen und Personal, insbesondere, wenn sie völlig neuartige KI-basierte Angriffe zuverlässig erkennen und abwehren sollen. Doch angesichts der Tatsache, dass viele der Assets, um deren Schutz es hier geht, geschäftskritisch sind, sind neues Denken und kreative Lösungen unbedingt erforderlich.
Wir haben die Chance, uns einen Vorsprung den Angreifern gegenüber zu erarbeiten und zu erhalten. Diese Chance sollten wir nutzen.
Matt Kraning ist der Chief Technology Officer for Cortex Xpanse bei Palo Alto Networks. Zuvor war er ein Mitgründer und der CTO von Expanse, das 2020 von Palo Alto Networks übernommen wurde.