Wie agentische KI ein autonomes SOC mit minimaler menschlicher Beteiligung ermöglicht

Security Operations Centers (SOCs) stehen seit Jahren vor anhaltenden Herausforderungen bei der Erkennung und Reaktion auf Bedrohungen. Zu diesen Herausforderungen gehören unter anderem die Unterscheidung echter Sicherheitssignale von Hintergrundrauschen, unzureichender Kontext für die Untersuchung von Warnmeldungen, fehlende durchgängige Automatisierung, Engpässe im Workflow und Alarmermüdung (Alarm Fatigue).

Seit Jahren sage ich, dass die Sicherheitsabläufe, oder das Management von Cyberbedrohungen in jeder Form, einen großen Wandel durchlaufen müssen, wie bei den kommerziellen Fluggesellschaften Mitte des 20. Jahrhunderts: Maschinen fliegen Verkehrsflugzeuge, und Piloten greifen in begrenzten Situationen ein. In ähnlicher Weise würde das neue SOC autonome Operationen mit minimaler menschlicher Beteiligung durchführen.

Die SOC-Analysten werden dann zu SOC-Piloten und entscheiden, wo und wann sie involviert werden, während die virtuelle Maschine die Standardabläufe übernimmt.

Im Bereich Cybersicherheit steht ein Phänomen für sich: das rätselhafte „Zero-Day“. Dabei handelt es sich um neu entdeckte Schwachstellen in Software oder Hardware, die der Sicherheitsgemeinschaft bislang völlig unbekannt waren. Dieses Konzept fasst die Unvorhersehbarkeit rund um das Auftreten der nächsten Bedrohung zusammen, einschließlich Herkunft, Zeitpunkt und Methodik.

Wenn Unsicherheiten auftreten, übernehmen die SOC-Piloten (menschliche Analysten) das Kommando, indem sie ihr Fachwissen einsetzen, um diesen neuen Bedrohungen entgegenzuwirken und sie zu neutralisieren.

Warum verfügen wir also nicht bereits über SOCs, die mit minimalem menschlichen Eingriff funktionieren können? Seit Jahren treiben Anbieter von Sicherheitssoftware die Automatisierung ihrer Produkte voran. SOC-Teams haben die Grenzen der Automatisierung erweitert und dabei mitunter ausgeklügelte, selbst entwickelte Lösungen hervorgebracht, um die Erkennung und Reaktion auf Bedrohungen zu beschleunigen und deren Effektivität zu steigern. Aber SOCs brauchen mehr als nur Automatisierung. Sie brauchen digitale Autonomie.

Künstliche Intelligenz (KI) kann menschliche Entscheidungsfindung nachahmen. Diese Technologie kann einen transformativen Wandel in der Cybersicherheit ermöglichen, insbesondere bei routinemäßigen Sicherheitsabläufen.

Bedrohungserkennung nutzt bereits KI-Fähigkeiten wie maschinelles Lernen (ML). Verschiedene SOC-Technologien verwenden ML für Aufgaben, die von der Identifizierung von Bedrohungen bis hin zur Kategorisierung von Warnmeldungen reichen, dank der Integration durch große Softwareanbieter. Die Automatisierung von Sicherheitsvorgängen unterliegt jedoch gewissen Einschränkungen.

Die meisten Sicherheitsteams arbeiten nach klaren Einsatzregeln, die ein gewisses Maß an Gewissheit erfordern, bevor Maßnahmen ergriffen werden. Diese Gewissheit erklärt, warum Automatisierung in geschlossenen Systemen wie Endpoint Detection and Response (EDR)-Systemen weit verbreitet ist. Sowohl die Endgeräte-Software als auch die Konsole sind mit allen relevanten Variablen vertraut und können Antworten effektiv automatisieren.

Ein Sicherheitsspezialist bei einem großen Hyperscaler liefert ein praktisches Beispiel. Das Unternehmen benötigt nur minimale SOC-Beteiligung, da es jede Technologie und jedes Asset in seinem Stack genau kennt. Der Aufbau funktioniert im Wesentlichen wie ein geschlossenes System, das umfangreiche Automatisierung ermöglicht.

Für Unternehmen ohne derart geschlossene Systeme, insbesondere für Unternehmen, die mit SIEM-Systemen (Security Information and Event Management) arbeiten, stellt sich die Situation anders dar. Hierbei wird die Automatisierung durch ein SOAR-Anwendungs-Playbook (Security Orchestration, Automation and Response) gesteuert.

Zum Beispiel kann ein Playbook mit automatischer Antwort so programmiert werden, dass es einen Host unter Quarantäne stellt, wenn er kein Server ist und erkannte bösartige Aktivitäten ausführt. Diese Automatisierung kann jedoch nur aktiviert werden, wenn die Identität des Assets bekannt ist, beispielsweise ob es sich um einen kritischen Server oder eine Workstation handelt.

Der Kontext ist bei der Automatisierung von Sicherheitsfunktionen von entscheidender Bedeutung, und genau hier spielen menschliche SOC-Analysten ihre Stärken aus. Durch manuelle Datenerhebung, bei der Informationen aus verschiedenen Quellen mühsam zusammengeführt werden, sowie durch fachliche Einschätzung und Analyse schaffen sie den notwendigen Kontext, damit Automatisierung in offenen Systemen effektiv arbeiten kann. Die bisherigen manuellen, systemübergreifenden Prozesse müssen einem neuen Paradigma weichen: multiagentischen, autonomen Betriebsmodellen.

Hier kommt das autonome, multiagentenbasierte Framework ins Spiel. Die Cybersicherheitsdienste von IBM nutzen KI, um den Kontextbedarf zu verstehen, Kontext zu erfassen, Entscheidungen zu treffen und die Automatisierung zu ermöglichen – selbst unter Umgehung des SOAR.

Unser digitaler Arbeitskoordinator, die autonome Bedrohungsoperationsmaschine (ATOM), entwickelt eine Aufgabenliste für die Untersuchung einer Warnung. Wenn ATOM feststellt, dass der Kontext des Assets unzureichend ist, verwendet es andere KI-Agenten, um die fehlenden Informationen zu sammeln.

Wenn ATOM einen fehlenden Asset-Kontext erkennt, handelt es. Es interagiert proaktiv mit Agenten, die mit Schwachstellenmanagement, Expositionsmanagement, Konfigurationsmanagementdatenbanken (CMDBs) und EDR- oder erweiterten Erkennungs- und Reaktions-Systemen (XDR) verbunden sind, um diesen Kontext zu erfassen.

ATOM ermittelt dann anhand des Hostnamens und des Netzwerkstandorts, dass ein bestimmtes Asset typischen Workstation-Mustern entspricht, und kommt zu dem Schluss, dass es sich tatsächlich um eine Workstation handelt. Diese Argumentation entspricht der Logik, die ein menschlicher Analytiker anwenden würde.

Nachdem ATOM die kontextbezogene Entscheidung getroffen hat, formuliert es eine eindeutige Antwort auf diesen speziellen Alarm. Es kann beispielsweise feststellen, ob ein Aufruf der Anwendungsprogrammierschnittstelle (API) an eine EDR-Konsole die beste Vorgehensweise ist oder ob ein Workflow zum SOAR-System zurückkehren sollte.

Ob KI es dem SOC-Personal ermöglichen wird, in den SOC-Pilotenstuhl zu wechseln, ist noch nicht bekannt. Allerdings kommen orchestrierte, multiagentenbasierte digitale Arbeitsfunktionen den Anforderungen für autonome SOC-Operationen näher als jede Technologie, mit der wir bei IBM bisher gearbeitet haben. Der vollständige Übergang zu vollständig autonomen SOCs muss zwar noch realisiert werden, aber der Weg zu diesem effizienten SOC-Modell mit minimalem menschlichem Eingreifen ist mit dem Aufkommen der agentischen KI erheblich vorangeschritten.

Diese wichtige Änderung verspricht, das Bedrohungsmanagement zu revolutionieren, indem sie es Sicherheitsteams ermöglicht, strategische Initiativen zu priorisieren, anstatt durch sich wiederholende Aufgaben belastet zu werden. Mit der Fortentwicklung der KI freuen wir uns auf eine Zukunft, in der unsere SOCs nicht nur automatisiert, sondern wirklich autonom sind, bereit, durchzustarten und die Routineaufgaben den Maschinen zu überlassen.

Melden Sie sich für das Webinar an, um zu erfahren, wie digitale Arbeit ein strategisches Asset gegen Cyberbedrohungen sein kann