Trace Id is missing

Sicherheit ist nur so gut wie Ihre Threat Intelligence

Teilen
Ein blauer Schild mit einem weißen Vorhängeschloss darauf

Jetzt noch stärker mit KI

Wer sich schon länger mit Cybersicherheit beschäftigt, weiß, wie frustrierend der Kampf um Fortschritte auf dem Gebiet sein kann. Unser Beruf erfordert ständige Wachsamkeit, und die Gewissheit, gute Arbeit geleistet zu haben, ist oft kaum gegeben. Im Bereich der Cybersicherheit beherrschen schlechte Nachrichten die Schlagzeilen, Berichte über Katastrophenszenarien häufen sich, aber es gibt auch täglich Erfolgsgeschichten.

Jeden Tag tauschen unsere Beschützer diskret Informationen aus. Jeden Tag erhöhen Sie die Kosten krimineller Aktivitäten für Angreifer und ihre umfangreichen kriminellen Gemeinschaften. Jeden Tag stellen sie ihre umfassenden Fähigkeiten und Talente in den Dienst der Sache, um Kriminelle schneller aufzuspüren und frühzeitig aus dem Verkehr zu ziehen.

Threat Intelligence (TI) wirkt, und die durchschnittliche Zeit zur Unschädlichmachung von Gegnern wird immer kürzer. Das aktuelle Niveau von 20 Tagen stellt eine deutliche Entwicklung gegenüber Zeiten dar, in denen Angreifer monatelang unbemerkt ihr Unwesen treiben konnten.

Diesen Umstand verdanken wir besserer Informationsarbeit. Wir verdanken ihn besseren Werkzeugen. Wir verdanken ihn besseren Ressourcen. Und wenn wir diese Faktoren zusammenbringen – insbesondere Threat Intelligence, Daten in großem Umfang und künstliche Intelligenz (KI) –, können wir als Verteidiger noch schneller und wirksamer eingreifen.

Als Verteidiger „sehen“ wir in Form von Daten, und unser Sehvermögen war noch nie so gut wie heute. Der Wettbewerb in der Cloud hat die Kosten für die Speicherung und den Abruf von Daten drastisch gesenkt. Dadurch wurden große Innovationssprünge möglich. Dank geringerer Kosten können Sensoren mit höherer Auflösung im gesamten digitalen Bereich eingesetzt werden. Mit dem Aufkommen von XDR+SIEM wurden Daten und Signale von Endpunkten auf Anwendungen, Identitäten und die Cloud ausgeweitet.

Und mehr Signale bedeuten mehr Oberfläche für Threat Intelligence. Diese Threat Intelligence wird dann als Input für KI genutzt. Threat Intelligence liefert Bezeichnungen und Trainingsdaten für KI-Modelle zur Vorhersage zukünftiger Angriffe.

Was durch Threat Intelligence gefunden wird, lässt sich mithilfe von KI skalieren.

Diese Intuition und die Erfahrung hinter einem Aufklärungserfolg können durch Millionen von Parametern entsprechend unseren 65 Billionen Signalen digital modelliert werden.

Der Threat Intelligence-Ansatz von Microsoft ist auf den Gegner fokussiert. Wir beobachten mehr als 300 einzelne Bedrohungsakteure, darunter mehr als 160 Gruppen mit Verbindungen zu Staaten und mehr als 50 Ransomware-Gangs.

Die Arbeit erfordert Kreativität und Innovationsgeist sowie den Beitrag vieler Menschen aus den unterschiedlichsten Disziplinen. Gute Threat Intelligence bringt Menschen zusammen: Experten für Cybersicherheit und angewandte Wissenschaften arbeiten mit Experten für Geopolitik und Desinformation zusammen, um den Gegner aus allen Blickwinkeln zu betrachten und so die Art eines laufenden Angriffs zu verstehen und den Grund und den Ort eines möglichen künftigen Vorfalls vorherzusagen.

Security Insider-Bericht

Wenn Sie an einem konkreten Beispiel für erstklassige Threat Intelligence interessiert sind, laden Sie A year of Russian hybrid warfare in Ukraine herunter.

Durch den Einsatz von künstlicher Intelligenz (KI) lassen sich Schutzmaßnahmen mit der Geschwindigkeit des Angriffs skalieren. Mithilfe von KI können von Menschen gesteuerte Ransomwareangriffe sogar noch früher gestoppt werden, wenn Signale mit niedrigem Konfidenzniveau in ein Frühwarnsystem umgewandelt werden.

Menschliche Ermittler müssen zur Identifizierung eines laufenden Angriffs einzelne Teile zusammenfügen. Das ist zeitaufwändig. In Situationen, in denen die Zeit drängt, können böswillige Absichten jedoch mit der Geschwindigkeit von KI erkannt werden. Künstliche Intelligenz ermöglicht es, Kontexte miteinander zu verknüpfen.

Ähnlich wie menschliche Ermittler auf mehreren Ebenen denken, können wir drei Arten von KI-gestütztem Input kombinieren, um Ransomware-Angriffe am Anfang der Eskalation zu finden.

  • Auf Organisationsebene verwendet KI Zeitreihenanalysen und statistische Analysen von Anomalien.
  • Auf Netzwerkebene erstellt sie eine grafische Ansicht, um böswillige Aktivitäten über Geräte hinweg zu identifizieren.
  • Auf Geräteebene nutzt sie Verhaltensüberwachung und Threat Intelligence, um Aktivitäten mit hohem Konfidenzniveau zu identifizieren.

Ransomware im Blickpunkt: Ein Gespräch mit Jessica Payne

Die gute Nachricht über Ransomware ist, dass es sich um eine größtenteils vermeidbare Bedrohung handelt. In vielen Berichten über Ransomware liegt der Schwerpunkt auf den Ransomware-Nutzdaten, was den Anschein erwecken kann, dass es sich um eine sich endlos ausweitende Bedrohung durch Dutzende von Angreifern handelt. In Wirklichkeit handelt es sich jedoch um eine kleine Gruppe von Angreifern, die dieselben Techniken verwenden, aber zwischen verfügbaren Ransomware-as-a-Service-Nutzdaten wechseln.

Richtet man den Blick weg von den Nutzdaten und hin zu den Akteuren hinter einem Angriff, so zeigt sich, dass die meisten Ransomware-Angreifer keine außergewöhnlichen Fähigkeiten einsetzen oder maßgeschneiderte Zero-Day-Exploits entwickeln, sondern einfach weit verbreitete Sicherheitslücken ausnutzen.

Da viele dieser Angreifer dieselben Techniken verwenden, können Sie erkennen, wo sich die Bedrohungen überschneiden, und entsprechende Gegenmaßnahmen ergreifen. Bei so gut wie allen Ransomware-Angriffen verschaffen sich die Angreifer zunächst Zugang zu Anmeldeinformationen mit weitreichenden Berechtigungen (z. B. von einem Domänenadministrator oder einem Softwareentwicklerkonto), und das ist ein Problem, das sich leicht mit integrierten Tools wie Gruppenrichtlinien, Ereignisprotokollen und Regeln zur Verringerung der Angriffsfläche (VAF) lösen lässt.

In einigen Organisationen, in denen VAF-Regeln eingeführt wurden, ging die Zahl der Vorfälle um 70 % zurück, was eine geringere Belastung des Sicherheitsteams und weniger Chancen für Angreifer bedeutet, sich einen ersten Zugang zu verschaffen, um die Schutzmaßnahmen zu umgehen. Erfolgreich im Kampf gegen Ransomware sind Organisationen, die sich auf diese Form der Absicherung konzentrieren.

Prävention ist unerlässlich.

Ich erinnere immer gerne daran, dass Prävention und Aufdeckung nicht dasselbe sind. Prävention ist der Wächter der Aufdeckung, weil sie das Netzwerk zur Ruhe bringt und Ihnen den Freiraum gibt, nach dem Wichtigsten zu suchen.

Letztendlich kann Threat Intelligence in den richtigen Händen den entscheidenden Unterschied machen, wenn es darum geht, einen Angriff zu verhindern oder automatisch zu unterbrechen.

Erfahren Sie mehr darüber, wie Sie Ihre Organisation vor Ransomware schützen können, und lesen Sie den vollständigen Bericht.

Eine Gruppe von Menschen, die auf bunten Blöcken gehen
Empfohlen

Cyberbedrohungen verstehen und Ausbau der Abwehrmaßnahmen im Zeitalter der KI

Die Fortschritte auf dem Gebiet der künstlichen Intelligenz (KI) stellen neue Bedrohungen – und neue Chancen – für die Cybersicherheit dar. Erfahren Sie, wie Bedrohungsakteure KI für komplexere Angriffe einsetzen und welche Best Practices zum Schutz vor herkömmlichen und KI-gestützten Cyberbedrohungen beitragen.
Mehr erfahren

Wir befinden uns am Anfang einer neuen Ära der KI, die zur Verbesserung der Sicherheit beiträgt. Maschinelles Lernen ist in Schutztechnologien heute gang und gäbe. Bislang steckte die KI jedoch meist tief im Innern der Technologie. Die Kunden profitierten von ihrer Rolle beim Schutz, konnten jedoch nicht direkt mit ihr interagieren. Das hat sich geändert.

Wir bewegen uns von einer Welt der aufgabenbasierten KI, in der sie effizient Phishing- und Kennwortspray-Versuche erkennt, hin zu einer der generativen, auf Grundmodellen aufbauenden KI, welche die Möglichkeiten für Abwehrexperten enorm erweitert.

Abwehrexperten können dank Threat Intelligence und künstlicher Intelligenz schneller agieren als je zuvor. Ich bin sehr gespannt, wofür Sie sie einsetzen werden. Was auch immer es sein wird, ich weiß, dass wir gemeinsam den Planeten besser schützen werden.

Verwandte Artikel

Verteidigung der Ukraine: Erste Lehren aus dem Cyberkrieg

Die jüngsten Ergebnisse unserer laufenden Threat Intelligence-Bemühungen im Krieg zwischen Russland und der Ukraine sowie verschiedene Erkenntnisse aus den ersten vier Monaten machen einmal mehr deutlich, dass ständige und zusätzliche Investitionen in Technologie, Daten und Partnerschaften erforderlich sind, um Regierungen, Unternehmen, Nichtregierungsorganisationen und Universitäten zu unterstützen.
Mehr erfahren

Drei Möglichkeiten, sich vor Ransomware zu schützen

Moderne Ransomware-Abwehr erfordert viel mehr als nur die Einrichtung von Erkennungsmaßnahmen. Entdecken Sie die drei wichtigsten Möglichkeiten, wie Sie Ihr Netzwerk noch heute vor Ransomware schützen können.
Mehr erfahren

Mehr zum ABC der Bedrohungssuche

Beim Thema Cybersicherheit hilft es, wachsam zu sein. Erfahren Sie hier, wie Sie neue und aufkommende Bedrohungen aufspüren, erkennen und abwehren können.
Mehr erfahren

Microsoft Security folgen