Cyberbedrohungen
Generativer KI-Assistent beschleunigt Threat Hunting
Mit Hilfe der richtigen Tools lassen sich Bedrohungen früher erkennen und eindämmen. Der generative KI-Sicherheitsassistent Companion unterstützt mit einer Chat-Schnittstelle SOC-Teams mit Suchanfragen, Skript-Analysen und Zusammenfassungen.
Erpressungsprogramme und DDoS-Bedrohungen (Distributed Denial of Service) haben stark zugenommen, zusätzlich zu den häufigen Ransomware-Angriffen und BEC-Betrügereien. Und Bedrohungsakteure passen ihre Taktiken, Techniken und Verfahren (TTPs) ständig an, um präventive Sicherheitskontrollen zu umgehen. Die Forderung, Bedrohungen proaktiv aufzuspüren, um die Verweildauer zu verkürzen, hat entsprechend zugenommen.
Gleichzeitig müssen sich Bedrohungsjäger mit blinden Flecken im Unternehmen, unterschiedlichen Tools und der wachsenden Komplexität hybrider Umgebungen auseinandersetzen. Jedes dieser Hindernisse erschwert es Analysten, Bedrohungen zu finden und zu entschärfen. Doch mit Hilfe der richtigen Tools und zentraler Dateneingabe können Bedrohungsjäger ihr Fachwissen optimal nutzen, um Bedrohungen früher zu erkennen und einzudämmen und so die potenziellen Auswirkungen und Kosten eines Angriffs zu minimieren.
Trend Vision One™ - Companion, ein neuer generativer KI-Sicherheitsassistent, erweitert über eine intuitive Chat-Schnittstelle die Reichweite und Wirksamkeit für die Arbeit der Analysten aller Qualifikationsstufen. Companion ermöglicht es SOC-Teams, ihre täglichen Arbeitsabläufe zu beschleunigen, und ist damit ein Katalysator für eine verbesserte Leistung, um sicherzustellen, dass die gesamte digitale Angriffsfläche geschützt ist.
Companion unterstützt die Analysten bei:
- einfache Suchanfragen in eine formale Syntax zu übersetzen, die erweiterte Abfragesprachen verwendet
- Fehler zu reduzieren und Ergebnisse mit höherer Genauigkeit zu liefern
- Suchergebnisse und Berichterstellung zu rationalisieren, um Bedrohungsinformationen besser zu vermitteln.
Intelligente Unterstützung für jeden Analysten
Der KI-Assistent nutzt die transformative Leistungsfähigkeit der generativen KI, einer Weiterentwicklung der KI-Algorithmen mit großen Sprachmodellen (LLM). Während frühere KI-Varianten riesige Datensätze analysierten, geht die generative KI noch einen Schritt weiter, indem sie Verbindungen herstellt, um neue Inhalte mit bis dato unerreichter Geschwindigkeit zu produzieren.
Da Companion eine Chat-Oberfläche in klarer Sprache verwendet, kann jeder Analyst auf sofort verfügbare Erkenntnisse und leistungsstarke Unterstützung bei der Bedrohungsanalyse zugreifen - unabhängig von seiner Erfahrung, seinem Kenntnisstand oder seiner Vertrautheit mit fortgeschrittenen Suchsprachen. Die Benutzer können selbst bestimmen, wann sie die Hilfe von Companion in Anspruch nehmen, so dass auch erfahrenere Teammitglieder ihre bestehenden Arbeitsabläufe mit oder ohne Unterstützung nahtlos fortsetzen können. So hilft Companion Threat Hunting-Teams jeder Größe, schneller und mit größerer Genauigkeit relevante Informationen zu finden.
Fortschrittliche Bedrohungssuche
Die Suche nach Bedrohungen mit Companion wird über eine Spracheingabe durchgeführt, die der Assistent in eine spezifisch formulierte Abfrage umwandelt. Damit reduziert sich die Anzahl der Suchfehler, und Bedrohungen können somit schneller identifiziert und angegangen werden, um ihre Ausbreitung im Netzwerk zu begrenzen.
Mit ausgefeilten Suchanfragen lassen sich zudem blinde Flecken in der hybriden Umgebung des Unternehmens zuverlässiger aufspüren. Die Software arbeitet mit der detaillierten nativen Sensorabdeckung von Trend Vision One zusammen, die auf den globalen Bedrohungsdaten basiert. Wenn Threat Hunter einen Überblick über die gesamte digitale Angriffsfläche haben, können sie mit größerer Genauigkeit suchen und schneller mehr Ergebnisse erzielen, die sie bestimmten Bedrohungskampagnen zuordnen können.
Zusammenarbeit für Threat Response
Das Aufspüren einer Bedrohung ist nur der Anfang. Um den vollen Umfang potenzieller Sicherheitsverletzungen zu erfassen, benötigen Analysten nicht nur detaillierte Informationen über die aufgedeckten Bedrohungen, sondern auch über den Datenverkehr, die Endpunkte und die Datensätze des Netzwerks.
Companion kann bedrohungsspezifische Anleitungen und Empfehlungen liefern, die sich auf die breite XDR-Abdeckung von Trend Vision One stützen, um einen vollständigen ereignisübergreifenden Einblick in den Lebenszyklus eines Angriffs zu geben und die Benutzer, Endpunkte und Angriffspfade mit dem größten Risiko hervorzuheben.
Als Beispiel für die Funktionsweise soll ein komplexer, mehrstufiger Angriff auf mehreren Ebenen dienen. Früher konnte diese Informationsmenge einen Analysten mit einer übermäßigen Menge an Daten und Informationen überfordern.
Jetzt kann der Sicherheitsanalyst von Companion eine Zusammenfassung des Ereignisses in einfacher Sprache verlangen und erhält eine umfassende Aufschlüsselung, die den Angriff erklärt, die Taktiken und Techniken zueinander in Beziehung setzt und den Umfang und die Auswirkungen aufzeigt, so dass der Analyst sofort eine wirksame Reaktion einleiten und neue automatisierte Playbooks für die Zukunft erstellen kann.
Angreifer nutzen oft Tools, um sich heimlich Zugang zu der Unternehmensumgebung verschaffen. Dazu gehören gängige und legitime Tools wie PowerShell und Mimikatz. Sie verschlüsseln Skripts, um sich zu verstecken und die Response-Zeit bei einem Einbruch zu verlangsamen. Companion kann die Skripts der Angreifer selbstständig untersucht, entschlüsselt und jede Befehlszeile in einfacher Sprache erklärt, um eine schnelle und effektive Reaktion zu ermöglichen, wenn keine Zeit mehr bleibt.
Diese Einblicke erleichtern den Bedrohungsspezialisten die Kommunikation von Bedrohungsdaten oder die Zusammenarbeit mit SecOps und IT für eine effiziente Reaktion auf Bedrohungen. Companion kann auch die Suche nach Typ, Geschäftsumgebung und MITRE ATT&CK-Framework abbilden und so eine schnellere und produktivere Bedrohungsjagd in Ihrem Unternehmen ermöglichen.
Im Originalbeitrag finden Interessierte auch eine Live-Demo für Companion.