Mit cyber Angreifern, die neue Geschwindigkeitsrekorde aufstellen, muss jedes Security Operations Center (SOC) Team erkunden, wie KI die Chancen zu ihren Gunsten verändern kann. Aktuelle Erkenntnisse von George Kurtz, CEO und Mitgründer von CrowdStrike, heben alarmierende Statistiken hervor: Angreifer können innerhalb von nur zwei Minuten und sieben Sekunden lateral in einem System agieren, nachdem sie Zugang erlangt haben, und innerhalb von 31 Sekunden ein Toolkit herunterladen, um eine Aufklärung über kompromittierte Systeme zu beginnen. Kurtz präsentierte diese Informationen während seines Vortrags bei RSAC 2024 mit dem Titel „Next-Gen SIEM: Daten, Sicherheit, IT, Workflow-Automatisierung und KI konvergieren“.
Die Dringlichkeit von KI in der Cybersicherheit
Kurtz betonte die Notwendigkeit für Sicherheitsteams, große Datenmengen schnell zu analysieren, um Bedrohungen zu erkennen und zu reagieren. „Die Geschwindigkeit moderner Cyberangriffe stellt die Fähigkeiten traditioneller SIEM-Systeme in Frage“, bemerkte er. „Organisationen suchen nach fortschrittlicher Technologie, die eine schnellere Kapitalrendite bietet und die Gesamtkosten des Besitzes senkt. Die kritischen Sicherheitsdaten sind hauptsächlich in der Falcon-Plattform gespeichert, was die Zeit und Kosten für die Übertragung von Daten zu veralteten SIEM-Lösungen minimiert. Unsere einheitliche Architektur integriert sowohl native als auch Drittanbieterdaten durch KI und Workflow-Automatisierung und erfüllt letztlich das Potenzial eines KI-nativen SOC.“
Herausforderungen mit Legacy-SIEMs
Während Angreifer ihre Methoden verfeinern, vertiefen sich die Lücken zwischen Endpoint- und Identitätssicherheit. Endpoint-Daten können wertvolle Einblicke bieten, um mögliche Eindränge vorherzusagen, wenn sie effektiv aggregiert werden. „Ein erhebliches Problem in der Cybersicherheit ist das Management der Datenkomplexität“, stellte Kurtz fest. „Deshalb habe ich CrowdStrike gegründet. SOC-Teams kämpfen damit, überwältigende Datenmengen zu bewältigen, um Bedrohungen zu identifizieren.“
Veraltete SIEM-Systeme sind zu einer Belastung für SOC-Teams geworden, die auf sie angewiesen sind. Analysten müssen oft zwischen widersprüchlichen Systemen umschalten, was Zeit raubt. Sie müssen Daten aus mehreren Quellen durch verschiedene Tools leiten, um Risikobewertungen zu verifizieren, was insbesondere in dringenden Fällen zu Verzögerungen führt. Kurtz wies darauf hin: „Das Abfragen von Daten kann Tage dauern, in denen wichtige Warnungen übersehen werden können. Es ist entscheidend, Wege zu finden, um den Angreifern zuvorzukommen.“
Kurtz verglich die Evolution von Handy-Tarifen mit der zukünftigen Entwicklung von SIEMs, die skalierbare Datenerfassung ermöglichen sollten, ohne die Kosten drastisch zu erhöhen, damit Organisationen informierte Sicherheitsentscheidungen ohne finanzielle Einschränkungen treffen können. Er betonte die Notwendigkeit, die Kostenproduktivitätskurve zu durchbrechen, um den Kunden zu ermöglichen, alle verfügbaren Datenquellen effektiv zu nutzen.
Verteidiger mit KI stärken
Kurtz stellte bei RSAC 2024 die Innovationen von CrowdStrike Falcon Next-Gen SIEM vor, um zu demonstrieren, wie wichtig es ist, Verteidiger mit den richtigen Werkzeugen auszustatten, um die Betriebseffizienz zu steigern. Sein Vortrag hob die Bedeutung hervor, die Einschränkungen durch Legacy-SIEMs zu beseitigen und SOCs mit KI-Funktionen zu stärken. Auffällig ist, dass CrowdStrike Falcon Insight-Kunden täglich 10 Gigabyte an Drittanbieterdaten ohne zusätzliche Kosten anbieten, um die Geschwindigkeit und Effektivität von Next-Gen SIEM zu demonstrieren.
KI ist integral für die Architektur von Falcon Next-Gen SIEM, da sie die Datenanalyse und -normalisierung automatisiert, Datensätze für eine verbesserte Bedrohungserkennung bereichert und fortschrittliche Bedrohungserkennungs- sowie Automatisierungsmechanismen unterstützt. „Ein KI-natives SOC lernt kontinuierlich“, erklärte Kurtz. „Jede Organisation besitzt einzigartige Einblicke in ihre Mitarbeiter und ihr Umfeld, und Organisationen sollten nicht ausschließlich auf Anbieter für diese Informationen angewiesen sein. Das System muss erkennen, wie ein böswilliger Insider in seinem Kontext aussieht, und sich im Laufe der Zeit anpassen.“
Leistungssteigerung für SOCs
CrowdStrike’s Falcon Next-Gen SIEM zielt darauf ab, die SOC-Leistung zu steigern, indem es bis zu 150-fach schnellere Suchfähigkeiten und 80 % niedrigere Gesamtkosten des Eigentums im Vergleich zu traditionellen SIEMs bietet. Dies adressiert wesentliche Probleme für SOCs: langsame Leistung und Reaktionszeiten.
Wichtige Innovationen im Falcon Next-Gen SIEM umfassen:
- Generative KI und Workflow-Automatisierung: Charlotte AI, der generative KI-Assistent von CrowdStrike, liefert Falcon-Daten und Dokumentation in verständlicher Sprache und beschleunigt die Reaktionszeiten für Analysten.
- Untersuchungseffizienz: Die KI korreliert automatisch verwandten Kontext in einen einzelnen Vorfall und erstellt Zusammenfassungen, die Untersuchungen beschleunigen.
- Benutzerdefinierte Promptbooks: Analysten können wiederverwendbare Erkennungs- und Reaktions-Workflows definieren, die eine schnelle Vorfallbeseitigung ermöglichen.
- SOAR-Integration: Die neue Fusion SOAR-Benutzeroberfläche ermöglicht es SOC-Analysten, Arbeitsabläufe per Drag-and-Drop zu optimieren und die betriebliche Effizienz zu verbessern.
- Automatisierte Untersuchungen: Automatisierte Workflows verbessern die Bedrohungsjagd und integrieren Aktionen über Falcon und Drittanbieter-Tools.
Schnelle Datenaufnahme:
- Erweitertes Ökosystem: Neue Connectoren integrieren verschiedene Drittanbieter-IT- und Sicherheitsdaten in die Falcon-Plattform.
- Cloud-Connectoren: Umfassende Verbindungen für AWS, Azure und GCP vereinfachen den Datenzugriff und das Monitoring.
- Automatisierte Daten-Normalisierung: Vereinfachte Datenintegration ermöglicht eine schnelle und präzise Erkennung über alle Quellen.
- Effizientes Datenmanagement: Verbesserte Funktionen vereinfachen das Monitoring und die Verwaltung des Datenintegrationsstatus und der -gesundheit.
Verbesserte Analysten-Erfahrung mit Incident Management:
- Automatisierte Anreicherung: Kontextinformationen werden automatisch zu Vorfällen hinzugefügt, um Ermittlungen zu beschleunigen.
- Zusammenarbeitstools: Verbesserte Ansichten und Benachrichtigungen erleichtern koordiniertes Handeln unter Analysten.
- Integration von Bedrohungsinformationen: Analysten können benutzerdefinierte Bedrohungsinformationen nahtlos in Suchanfragen integrieren.
Die Innovationen von CrowdStrike positionieren das Falcon Next-Gen SIEM als eine entscheidende Lösung zur Verbesserung der Effizienz und Reaktionsfähigkeit von SOCs in einem sich schnell entwickelnden Cybersicherheitsumfeld.
Rangliste
