Diese drei Fragen zu KI und Cybersicherheit gehören auf die Liste jedes CISO, meint Andy Grolnick, CEO Graylog. These three questions about AI and cybersecurity should be on every CISO’s list, says Andy Grolnick, CEO of Graylog.
Enttäuschte Erwartungen: Im Juli 2024 erlebte die Wall Street ihren schlechtesten Tag seit 2022. Der technologieorientierte Nasdaq fiel um 3,6 Prozent. Auslöser waren vor allem enttäuschende Quartalszahlen einiger großer Technologieunternehmen.

Besonders auffällig war, dass die am stärksten betroffenen Unternehmen stark in künstliche Intelligenz (KI) investiert hatten. Während KI für hohe Investitionen und Optimismus gesorgt hat, wächst die Besorgnis, dass ihre Fähigkeiten möglicherweise überbewertet wurden. Der Rückgang der Technologiewerte verdeutlicht den wachsenden Druck auf Entscheidungsträger, zu beweisen, dass KI tatsächlich die Erwartungen erfüllt.

„Für CISOs ist dieser Druck besonders hoch. Sie müssen jetzt sicherstellen, dass ihre KI-gestützten Initiativen nicht nur die Cybersicherheit verbessern, sondern auch messbare Ergebnisse für die Unternehmensleitung und die Vorstandsmitglieder liefern“, erklärt Andy Grolnick, CEO des SIEM-Sicherheitsanbieters Graylog.

Cybersicherheit profitiert stark von KI

KI-gestützte Algorithmen für maschinelles Lernen helfen, Anomalien im Nutzerverhalten zu erkennen – eine entscheidende Funktion in der heutigen, sich schnell verändernden Bedrohungslandschaft. Eine aktuelle Studie zeigt, dass bereits 78 % der CISOs KI in irgendeiner Form zur Unterstützung ihrer Sicherheitsteams einsetzen.

Wie bei jeder neuen Technologie sollte KI jedoch mit einer gesunden Portion Skepsis betrachtet werden. Um sicherzustellen, dass Investitionen in KI zu greifbaren Ergebnissen führen, rät Andy Grolnick jedem CISO, sich die folgenden drei kritischen Fragen zu stellen.

Wo ist der Einsatz von KI am sinnvollsten?

Vor der Implementierung von KI ist es wichtig zu bestimmen, wo sie den größten Einfluss haben kann. Während viele Praktiker versuchen, KI in die Bedrohungserkennung und -reaktion zu integrieren, ist es wichtig, die Grenzen zu verstehen.

Große Sprachmodelle (Large Language Models, LLMs) können bei der Analyse von Protokollen im Zusammenhang mit der Erkennung und bei der Bereitstellung allgemeiner Leitlinien für die Reaktion hilfreich sein. Die dynamische Natur der Bedrohungslandschaft stellt jedoch eine Herausforderung dar: Bedrohungsakteure nutzen ebenfalls KI, und die schnelle Entwicklung ihrer Methoden überholt oft die Systeme zur Erkennung von Bedrohungen.

Um mit den Bedrohungsakteuren Schritt halten zu können, kann KI in einem Bereich einen signifikanten und unmittelbaren Einfluss haben: der Automatisierung repetitiver Aufgaben, die derzeit einen Großteil der Zeit der Sicherheitsteams in Anspruch nehmen.

Beispielsweise können KI-gestützte Erkenntnisse und Leitlinien SOC-Analysten bei der Priorisierung von Warnmeldungen helfen, wodurch sich ihre Arbeitsbelastung verringert und sie sich auf komplexere Bedrohungen konzentrieren können. Durch den Einsatz von KI zur Unterstützung der Analysten im SOC können CISOs ihre Teams von Aufgaben mit niedriger Priorität entlasten und die Gesamtleistung sowie die Reaktionszeiten verbessern.

Gibt es Beweise dafür, dass KI in meinem Anwendungsfall funktioniert?

Es ist sicherer, sich auf bewährte Anwendungen zu verlassen, bevor man mit neueren Ansätzen experimentiert.

Beispielsweise nutzen SIEM-Systeme (Security Information and Event Management) seit langem KI und maschinelles Lernen zur Verhaltensanalyse. UEBA-Systeme (User and Entity Based Behavior Analysis), die auf maschinellem Lernen basieren, sind besonders gut darin, anormale Aktivitäten zu erkennen, die auf Sicherheitsbedrohungen wie Insider-Angriffe, kompromittierte Konten oder unbefugten Zugriff hindeuten könnten.

Diese Systeme analysieren große Mengen historischer Daten, um Verhaltensmuster von Benutzern und Entitäten zu erkennen, und überwachen kontinuierlich Echtzeitaktivitäten auf Abweichungen von der Norm. Indem sie sich auf etablierte KI-Anwendungen wie UEBA konzentrieren, können CISOs sicherstellen, dass ihre KI-Investitionen einen Mehrwert bieten und gleichzeitig das Risiko verringern.

Wie ist es um die Qualität der Daten bestellt, die KI-Modelle verwenden?

Einer der wichtigsten Faktoren für den Erfolg von KI ist die Qualität der Daten, die dem Modell und dem Prompt zur Verfügung gestellt werden. KI-Modelle sind nur so gut wie die Daten, die sie verwenden. Ohne Zugang zu genauen, vollständigen und angereicherten Daten können KI-Systeme falsche Ergebnisse liefern.

Im Bereich der Cybersicherheit, in dem sich die Bedrohungen ständig weiterentwickeln, ist es von entscheidender Bedeutung, KI-Systeme mit einem vielfältigen Datensatz zu versorgen, der den Kontext von Angriffsflächen, detaillierte Protokolle, Warnungen und anormale Aktivitäten umfasst.

Neue Angriffsflächen wie APIs stellen jedoch eine Herausforderung dar. Die API-Sicherheit ist ein attraktives Ziel für Hacker, da APIs häufig sensible Informationen übertragen. Während herkömmliche Web Application Firewalls (WAFs) in der Vergangenheit ausreichten, um APIs zu schützen, haben die heutigen Bedrohungsakteure ausgefeilte Techniken entwickelt, um Perimeter-Sicherheitsmaßnahmen zu durchbrechen. Leider wird die Sicherheit von APIs aufgrund ihrer relativen Neuheit oft nicht überwacht und, was noch schlimmer ist, nicht in die KI-Analyse von Bedrohungen einbezogen.

Da der Erfolg von der Verfügbarkeit qualitativ hochwertiger Daten abhängt, ist KI möglicherweise noch nicht die beste Lösung für neu entstehende Angriffsflächen wie APIs, wo grundlegende Sicherheitspraktiken noch entwickelt werden müssen. In diesen Fällen müssen CISOs erkennen, dass selbst die fortschrittlichsten KI-Algorithmen einen Mangel an grundlegenden Sicherheitsmaßnahmen und verlässlichen Daten nicht ausgleichen können.

„KI hat ein enormes Potenzial, die Cybersicherheit zu verändern. Aber sie ist kein Allheilmittel. Indem sie kritisch hinterfragen, wo KI den größten Nutzen bringen kann, sich auf bewährte Anwendungsfälle stützen und den Zugang zu qualitativ hochwertigen Daten sicherstellen, können CISOs fundierte Entscheidungen darüber treffen, wie und wann sie KI in ihre Cybersicherheitsstrategien integrieren. In einem Umfeld, in dem sich sowohl die Chancen als auch die Bedrohungen schnell weiterentwickeln, wird ein strategischer Ansatz für die Implementierung von KI der Schlüssel zum Erfolg sein“, so Grolnick abschließend.

Disappointed expectations: In July 2024, Wall Street experienced its worst day since 2022, with the technology-focused Nasdaq falling 3.6 percent. This was largely due to disappointing quarterly results from some major technology companies.

It was particularly notable that the companies most affected had invested heavily in artificial intelligence (AI). While AI has generated high levels of investment and optimism, there is growing concern that its capabilities may have been overstated. The decline in technology stocks underscores the growing pressure on decision makers to prove that AI actually delivers on expectations.

„For CISOs, this pressure is particularly high. They must now ensure that their AI-powered initiatives not only improve cybersecurity, but also deliver measurable results to senior management and board members,“ said Andy Grolnick, CEO of SIEM security provider Graylog.

Cybersecurity benefits greatly from AI

AI-powered machine learning algorithms help detect anomalies in user behavior – a critical function in today’s rapidly changing threat landscape. A recent study shows that 78% of CISOs are already using AI in some form to support their security teams.

However, as with any new technology, AI should be approached with a healthy dose of skepticism. To ensure that investments in AI lead to tangible results, Andy Grolnick advises every CISO to ask the following three critical questions.

Where does AI make the most sense?

Before implementing AI, it’s important to determine where it can have the greatest impact. While many practitioners are looking to integrate AI into threat detection and response, it’s important to understand the limitations.

Large Language Models (LLMs) can be helpful in analyzing logs related to detection and providing general guidance for response. However, the dynamic nature of the threat landscape presents a challenge: threat actors are also using AI, and the rapid evolution of their methods often outpaces threat detection systems.

To keep pace with threat actors, AI can have a significant and immediate impact in one area: automating repetitive tasks that currently consume much of security teams‘ time.

For example, AI-powered insights and guidance can help SOC analysts prioritize alerts, reducing their workload and allowing them to focus on more complex threats. By using AI to assist analysts in the SOC, CISOs can relieve their teams of low-priority tasks and improve overall performance and response times.

Is there any proof that AI will work in my use case?

It’s safer to rely on proven applications before experimenting with newer approaches.

For example, security information and event management (SIEM) systems have long used AI and machine learning for behavioral analysis. User and Entity Based Behavior Analysis (UEBA) systems based on machine learning are particularly good at detecting anomalous activity that could indicate security threats such as insider attacks, compromised accounts, or unauthorized access.

These systems analyze large amounts of historical data to identify patterns of user and entity behavior and continuously monitor real-time activity for deviations from the norm. By focusing on proven AI applications like UEBA, CISOs can ensure that their AI investments deliver value while mitigating risk.

What about the quality of data used in AI models?

One of the most important factors in the success of AI is the quality of the data provided to the model and the query. AI models are only as good as the data they use. Without access to accurate, complete, and enriched data, AI systems may produce incorrect results.

In cybersecurity, where threats are constantly evolving, it is critical to provide AI systems with a diverse dataset that includes the context of attack surfaces, detailed logs, alerts, and anomalous activity.

However, new attack surfaces such as APIs present a challenge. API security is an attractive target for hackers because APIs often transmit sensitive information. While traditional web application firewalls (WAFs) were sufficient to protect APIs in the past, today’s threat actors have developed sophisticated techniques to breach perimeter security measures. Unfortunately, due to their relative newness, API security is often not monitored and, even worse, not included in AI threat analysis.

Because success depends on the availability of high-quality data, AI may not yet be the best solution for emerging attack surfaces such as APIs, where basic security practices have yet to be developed. In these cases, CISOs must recognize that even the most advanced AI algorithms cannot compensate for a lack of basic security practices and reliable data.

„AI has tremendous potential to transform cybersecurity. But it is not a silver bullet. By critically asking where AI can provide the most value, relying on proven use cases, and ensuring access to high-quality data, CISOs can make informed decisions about how and when to integrate AI into their cybersecurity strategies. In an environment where both opportunities and threats are rapidly evolving, a strategic approach to AI adoption will be key to success,“ Grolnick concluded.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner