Christian Have, CTO Logpoint
Christian Have, CTO bei Logpoint, nennt fünf Trends für die Cybersicherheit im Jahr 2025, darunter Zero Trust, Hypergraphen und KI-Apathie. Christian Have, CTO at Logpoint, identifies five trends for cybersecurity in 2025, including zero trust, hypergraphs and AI apathy.
Die Cybersicherheit wird im kommenden Jahr eine Reihe von technologischen und organisatorischen Entwicklungen aus Compliance-Sicht erleben. Die fünf wichtigsten aus Sicht des SIEM-Anbieters Logpoint werden im Folgenden vorgestellt: Zero Trust Network Architecture, Hypergraphen, KI-Apathie, der menschliche Faktor und die geopolitische Situation.

  1. Zero Trust wird die Erkennungsraten und die Anzahl der Warnmeldungen erhöhen

Das Mandat von Zero Trust Network Architectures (ZTNA) unter der US-Regierung hat das Bewusstsein und die Akzeptanz der Methodik drastisch erhöht. Es handelt sich um ein erfrischend einfaches Konzept, bei dem sich die Definitionen auf die Grundlagen der Implementierung einer guten Cyber-Hygiene und die Schaffung solider Grundlagen durch die Praxis des „never trust, always verify“ konzentrieren. ZTNAs erzeugen eine Fülle von Telemetriedaten. Wenn die Sicherheitsteams ihre Arbeit aufnehmen, werden die Telemetriedaten für die Fehlerbehebung benötigt. Die expliziten Berechtigungen zeigen deutlich, was im Netzwerk vor sich geht. Tatsächlich funktioniert ZTNA wie eine Sandbox-Umgebung. „Deny-All“-Regeln von Firewalls oder unerwartete Authentifizierungen liefern eindeutige Hinweise auf Sicherheitsprobleme. Sicherheitsexperten werden feststellen, dass die Instrumentierung der Protokollierung und die Erstellung eindeutigerer Erkennungsregeln für alles, was außerhalb der Norm liegt, die Anzahl der Telemetrie- und Erkennungsdaten erhöht.

  1. Hypergraphen werden zu einer leistungsfähigen Methode, um Entdeckungen sinnvoll zu nutzen und Warnungen zu validieren

Das nächste Jahr wird das Jahr der Hypergraphen und Graphen im Allgemeinen sein. Die Verwendung von Hypergraphen im Kontext von Sicherheitserkennungen ermöglicht es Sicherheitsanalysten, unterschiedliche Erkennungen miteinander zu verbinden. Sie weisen ein gemeinsames Merkmal auf, wie einen Benutzer, eine Transaktions-ID oder eine CTI, die auf dieselbe Malware-Gruppe hinweisen. Hypergraphen können verschiedene Parameter verwenden, um diese Informationen zu kombinieren, was eine visuelle Darstellung und, was noch wichtiger ist, die Analyse und Korrelation von Ereignissen ermöglicht. Angreifer sind zunehmend auf Binärdateien und Skripten aus, was im Wesentlichen bedeutet, dass sie die Tools und Funktionen des Betriebssystems des Opfers nutzen, um den Angriff durchzuführen. Diese Verhaltensweisen lassen sich nur schwer als böswillig einstufen. Erst wenn man sie in einem größeren Zusammenhang mit Hilfe von Diagrammen betrachtet, ist dies möglich. Mehrere ungleiche Ereignisse können zu einem einzigen Ereignisobjekt korreliert werden. Um der Flut von Erkennungen einen Sinn zu geben, muss der Sicherheitsanalytiker anders über die Korrelation, Verknüpfung und Analyse dieser Daten nachdenken. Diagramme sind dafür eine unglaublich leistungsfähige Methode.

  1. KI-Apathie wird durch ihre breitere Anwendung beseitigt werden

Die Enttäuschung über KI im Cyberspace ist groß. Viele Sicherheitsexperten fragen sich, ob sie im Security Operations Centre (SOC) wirklich Verwendung findet. KI ist jedoch viel mehr als nur große Sprachmodelle (Large Language Modells, LLMs). KI wird (wieder einmal) als Oberbegriff für Lernalgorithmen, Agenten, Graphen und viele andere Ansätze betrachtet, die alle ihre Anwendung im SOC finden können. Anstatt dem Hype zu folgen, müssen sich CISOs mit den grundlegenden Problemen des SOC befassen. Trotz des Einsatzes von 30-40 Tools in einem durchschnittlichen Unternehmen und einer hohen Anzahl von Warnmeldungen kommt es immer noch zu Sicherheitsverletzungen. Ein Teil des Problems ist, dass es für jedes dieser Tools ein Dashboard gibt, das um Aufmerksamkeit ringt. SOAR-Technologien haben versäumt, Signale zu bündeln und die Untersuchung von Sicherheitsvorfällen zu automatisieren. Diagramme werden dazu beitragen, dieses Problem zu lösen. Sie konstruieren sinnvolle Beziehungen aus der Sicherheitsperspektive. Sie werden Daten von ausreichender Qualität liefern, damit LLMs und generative KI diese Daten in sinnvolle Informationen umwandeln können.

  1. Der Benutzer wird immer das schwächste Glied sein, was eine effektivere Erkennung und Reaktion erfordert

Menschen sind unglaublich gut in der Mustererkennung und erkennen schnell, wenn sie an einer Phishing-Aktion teilnehmen. Die schlechte Nachricht ist, dass das Phishing-Training nach Mustern abläuft, die Angriffe jedoch nicht. In dem Moment, in dem es den Menschen gelingt, die Muster zu erkennen, funktioniert das Sensibilisierungstraining nicht mehr. Die Branche wird diese Tatsache erkennen, anstatt pflichtbewusst diese Übungen durchzuführen, die keinen wirklichen Nutzen bringen. Sicherheitsbudgets werden im nächsten Jahr stärker unter Druck stehen als je zuvor, und die Verantwortlichen werden diese Ausgaben sinnvoll einsetzen müssen. Der Benutzer wird das schwächste Glied bleiben. Anstatt zu versuchen, den Menschen als Schuldigen zu sehen, sind CISOs gefordert robustere und widerstandsfähigere Systeme aufzubauen. Der erste Schritt auf diesem Weg besteht darin, der Alarm-Fatigue entgegenzuwirken. Stattdessen sollten die Analysten auf lange Ketten von Warnmeldungen reagieren, die aneinandergereiht ein vollständiges Bild ergeben. Mit diesem Ansatz kann die Anzahl der Warnmeldungen, mit denen sich ein Analyst befassen muss, um 90 Prozent reduziert werden.

    1. Geopolitische Kräfte werden die Entwicklung des Cybersicherheitssektors beeinflussen

Sicherheitsvorfälle wie die von Microsoft und CrowdStrike haben das Risiko von „Walled Gardens“ und Monokulturen im Bereich der Cybersicherheit verdeutlicht. Die USA beispielsweise isolieren sich zunehmend, um ihre eigenen Interessen zu schützen, die jedoch nicht immer mit denen anderer Länder übereinstimmen. Die zweijährige Verlängerung des FISA-Abkommens gibt den USA die Befugnis, Unternehmen mit Sitz in den USA zur Herausgabe von Daten zu zwingen. Europa muss seine Cybersicherheit stärken, indem es Lösungen innerhalb des Kontinents bezieht. Nur dann wird es Souveränität im Bereich der Cybersicherheit erreichen. Im Zusammenhang mit dem Konflikt in der Ukraine haben sich physische Angriffe auf die Kommunikationsinfrastruktur in der Ostsee ereignet, ganz zu schweigen von der Cyber-Kriegsführung, die immer häufiger auf europäische Einrichtungen abzielt. Dieser Trend stellt eine enorme Herausforderung für Verteidigungshersteller und Zulieferer im KMU-Markt dar, die oft nur über einen geringen Reifegrad in Sachen Cybersicherheit verfügen. Russische Bedrohungsakteure haben ihre Fähigkeiten über Jahre hinweg verfeinert, und selbst wenn der Krieg morgen zu Ende wäre, ist es aufgrund der erlernten Fähigkeiten unwahrscheinlich, dass sie ihre cyberkriminellen Aktivitäten einstellen. Es ist schlichtweg zu lukrativ, deshalb wird der Krieg im Cyberspace niemals enden.

From a compliance perspective, cybersecurity will see a number of technological and organizational developments in the coming year. Here are the top five from SIEM vendor Logpoint’s perspective: Zero Trust network architecture, hypergraphs, AI apathy, the human factor and the geopolitical situation.

  1. 1. Zero Trust Increases Detection Rates and Alerts

The US government’s Zero Trust Network Architecture (ZTNA) mandate has dramatically increased awareness and adoption of the methodology. It is a refreshingly simple concept, with definitions that focus on the basics of implementing good cyber hygiene and building a strong foundation through the practice of „never trust, always verify“. ZTNAs generate a wealth of telemetry. As security teams begin their work, the telemetry is needed for troubleshooting.

The explicit permissions clearly show what is happening on the network. In effect, ZTNA acts as a sandbox environment. „Deny all“ rules from firewalls or unexpected authentications provide clear indications of security problems. Security professionals will find that instrumenting logging and creating clearer detection rules for anything out of the norm will increase the amount of telemetry and detection data.

  1. Hypergraphs will become a powerful way to make sense of detections and validate alerts

Next year will be the year of hypergraphs and graphs in general. Using hypergraphs in the context of security detections allows security analysts to connect different detections. They share a common characteristic, such as a user, transaction ID, or CTI, that points to the same malware group.

Hypergraphs can combine this information using various parameters, providing a visual representation and, more importantly, allowing events to be analyzed and correlated. Attackers are increasingly targeting binaries and scripts, which essentially means using the tools and features of the victim’s operating system to execute the attack. These behaviors are difficult to classify as malicious. It is only when they are viewed in a larger context with the help of diagrams that this is possible. Multiple disparate events can be correlated into a single event object. To make sense of the flood of detections, the security analyst needs to think differently about correlating, linking, and analyzing this data. Graphs are an incredibly powerful way to do this.

  1. AI apathy will be overcome by its wider use

There is a lot of disenchantment with AI in cyberspace. Many security professionals wonder if it will really be used in the Security Operations Center (SOC). However, AI is much more than just large language models (LLMs). AI is (once again) seen as an umbrella term for learning algorithms, agents, graphs, and many other approaches, all of which can be applied in the SOC. Instead of following the hype, CISOs need to address the fundamental problems of the SOC.

Despite the use of 30-40 tools in the average organization and a high number of alerts, breaches still occur. Part of the problem is that there is a dashboard for each of these tools that is fighting for attention. SOAR technologies have failed to aggregate signals and automate the investigation of security incidents. Charts help solve this problem. They construct meaningful relationships from a security perspective. They will provide data of sufficient quality for LLMs and generative AI to turn that data into meaningful information.

 

  1. The user will always be the weakest link, requiring more effective detection and response

Humans are incredibly good at pattern recognition and can quickly tell when they are being phished. The bad news is that while phishing training follows patterns, the attacks do not. Once people can recognize the patterns, the awareness training stops working. The industry will recognize this fact instead of dutifully conducting these exercises that provide no real benefit. Security budgets will be under more pressure next year than ever before, and managers will need to spend that money wisely. The user will continue to be the weakest link. Instead of trying to blame people, CISOs are challenged to build more robust and resilient systems. The first step is to combat alert fatigue. Instead, analysts should respond to long chains of alerts that fit together to form a complete picture. This approach can reduce the number of alerts an analyst has to deal with by 90 percent.

5 Geopolitical forces will influence the evolution of the cybersecurity sector

Security incidents such as Microsoft and CrowdStrike have highlighted the risk of walled gardens and monocultures in cybersecurity. The US, for example, is increasingly isolating itself to protect its own interests, which are not always aligned with those of other countries. The two-year extension of FISA gives the US the power to compel US-based companies to hand over data. Europe must strengthen its cybersecurity by buying solutions from within the continent.

Only then will it achieve sovereignty in the area of cybersecurity. The conflict in Ukraine has seen physical attacks on communications infrastructure in the Baltic Sea, not to mention the cyber warfare that is increasingly targeting European assets. This trend poses a significant challenge to defense manufacturers and suppliers in the SME market, which often have a low level of cybersecurity maturity. Russian threat actors have been honing their skills for years, and even if the war ended tomorrow, the skills they have learned make it unlikely they will stop their cybercriminal activities. It’s just too lucrative, so the war in cyberspace will never end.

In einem englischsprachigen Podcast von Security Storage und Channel Germany erläutert Christian Have, CTO Logpoint, im Gespräch mit  Carolina Heyder, Chefredakteurin von Security Storage und Channel Germany, die Bedeutung einer Sicherheitsstrategie, die die Bedürfnisse europäischer Unternehmen berücksichtigt. In an English podcast from Security Storage and Channel Germany, Christian Have, CTO of Logpoint, talks with Carolina Heyder, editor-in-chief of Security Storage and Channel Germany, about a security strategy that takes into account the needs of European companies.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner