Künstliche Intelligenz und maschinelles Lernen (KI/ML) prägen jeden Aspekt unseres Lebens schneller, als wir es erfassen können. Die Cybersicherheit bildet da keine Ausnahme. Sie ist sogar ein leuchtendes Beispiel dafür, wie KI/ML sowohl für den Angriff als auch für die Verteidigung genutzt werden kann - und selbst ein attraktives Ziel ist.
Dank der niedrigeren Einstiegshürden für potenzielle Cyberkriminelle sind KI/ML-gestützte Cyberangriffe auf dem Vormarsch, darunter Phishing, Deepfakes und Distributed Denials of Service (DDoS). Polymorphe Malware und Advanced Persistent Threats (APTs) nutzen KI, um neue Varianten erfolgreicher Malware zu generieren und Regeln und Signaturen zu umgehen.
Auf der Seite der Verteidiger stellt die Notwendigkeit, riesige Datenmengen aus Dutzenden von Quellen schnell zu analysieren und zu korrelieren, einen erstklassigen Anwendungsfall für KI und ML dar. Diese übermenschlichen Fähigkeiten beschleunigen nahezu jeden Aspekt der Cyberabwehr, einschließlich Bestandsaufnahme und Intelligenz, Verhaltensgrundlagen, Erkennung von Anomalien und Bedrohungen, Ereigniskorrelation, Risikopriorisierung und Rauschunterdrückung. Zusammen haben sie das Potenzial, den Bedarf an Tier-1-SOC-Analysten und anderen Nachwuchskräften gänzlich zu eliminieren.
KI-gestützte Cybersicherheit für industrielle Umgebungen nutzt all diese Fähigkeiten, wenn auch in einem höheren Maße: Es gibt mehr zu schützen und die Risiken eines Angriffs sind oft höher. Sie haben es mit Steuerungssystemen und physischen Prozessen zu tun, die Tausende von konfigurierbaren Prozessvariablen aufweisen, die alle potenziell ausgenutzt werden können. Außerdem gibt es ältere Komponenten, die von vornherein unsicher sind und nur begrenzte Möglichkeiten für Patches bieten. Ohne KI wäre es unmöglich, das Volumen der Netzwerkkommunikation und der Prozessvariablendaten in einem typischen Industrienetzwerk auszuwerten, und schon gar nicht schnell genug, um Schaden zu verhindern, wenn eine ernsthafte Bedrohung entdeckt wird.
Hier erfahren Sie, wie KI und ML in der Plattform Nozomi Networks eingesetzt werden, um industrielle Umgebungen und kritische Infrastrukturen zu schützen.
Industrieumgebungen haben in der Regel riesige Mengen an Netzwerkkommunikation und variablen Prozessdaten, die ihre Angriffsfläche bilden. Die signaturbasierte Erkennung ist zwar effizient, eignet sich aber nur zur Identifizierung bekannter Bedrohungen (z. B. dokumentierte CVEs), und auch nur dann, wenn die Indikatoren leicht zu beobachten und schnell als potenzielle Übereinstimmung zu erkennen sind. Die einzige Möglichkeit zur Erkennung unbekannter Bedrohungen, einschließlich Zero-Days und betrieblicher Anomalien, die ein Risiko darstellen können, besteht in der schnellen Analyse von Daten, die von Sensoren in der gesamten Umgebung gesammelt werden, um Abweichungen von der Grundlinie zu erkennen.
Wenn die Nozomi Netzwerksensoren zum ersten Mal in Ihrer Umgebung eingesetzt werden, arbeiten sie im Lernmodus, um Ihr industrielles Netzwerk automatisch und in Echtzeit zu erkennen, einschließlich seiner Komponenten, Verbindungen und Topologie. Durch die Überwachung der Gerätekommunikation bis hin zu Variablen auf Prozessebene erstellt die Plattform eine genaue interne Darstellung jedes physischen Prozesses im Netzwerk und identifiziert jede Phase und die Korrelation zwischen Netzwerkgeräten, Prozessvariablen und Phasen. Anhand dieser Darstellungen erstellt sie detaillierte Profile des erwarteten Verhaltens jedes Geräts in jeder Phase des Prozesses.
Bislang ist dieser Lernprozess ein reines Verhaltens-Baselining auf der Grundlage von Beobachtungen. Die Plattform Nozomi Networks nutzt auch Adaptive Learning, das asset intelligence hinzufügt, die bekanntes Asset-Verhalten beschreibt (siehe unten), um Profile anzureichern und Fehlalarme zu reduzieren. Diese Kombination aus verhaltensbasierter Erkennung auf der Grundlage von bekanntem Asset-Verhalten ist insbesondere für die Erkennung von Zero-Day-Exploits unerlässlich.
Die Plattform verwendet außerdem Dynamic Learning, um eine statistische Prozesskontrollanalyse des Netzwerks durchzuführen und Verhaltensweisen zu verwerfen, die über eine Standardabweichung hinausgehen und nicht als normal angesehen werden sollten. Die Lernparameter können manuell konfiguriert werden, um nur die Alarme zu generieren, die Sie wirklich benötigen, um Ihre Umgebung zu schützen und eine Überlastung zu vermeiden.
Sobald die Basislinien festgelegt sind, wird die Plattform in den aktiven Modus geschaltet und überwacht die Umgebung mithilfe von Heuristiken und Verhaltensanalysen kontinuierlich. Das Ergebnis ist eine schnelle Erkennung von Anomalien, einschließlich Cyberangriffen, Cybervorfällen und kritischen Unregelmäßigkeiten bei Prozessvariablen. Diese Informationen können genutzt werden, um Cyber-Bedrohungen und Prozessvorfälle zu verhindern, einzudämmen oder zu entschärfen, bevor ein erheblicher Schaden entstehen kann.
Alarme weisen Analysten und Bediener auf verdächtige Ereignisse und Aktivitäten hin, die von den etablierten Basislinien abweichen, während gutartige anomale Aktivitäten unterhalb der festgelegten Schwellenwerte herausgefiltert werden. Wenn zum Beispiel ein Gerät in einem industriellen Prozess anfängt, 10 Pakete im Laufe der Zeit zu verlieren, ist das keine große Sache, aber wenn derselbe Prozess anfängt, Hunderte von Paketen zu verlieren, muss das untersucht werden.
Industrielle und kritische Infrastrukturnetze enthalten in der Regel Tausende von OT von Hunderten von Anbietern sowie IoT , die Prozesse überwachen und steuern. Die Erstellung eines genauen, aktuellen Bestandsverzeichnisses der OT und IoT und die Verfolgung dieser Geräte zusammen mit wichtigen Kontextinformationen ist von grundlegender Bedeutung für die Aufrechterhaltung der Cyber- und Betriebsresilienz, die Verwaltung von Schwachstellen und die Festlegung von Prioritäten für die Schadensbegrenzung. Dies kann nicht manuell erfolgen. Sie brauchen eine automatisierte Asset-Management-Lösung.
Die Plattform von Nozomi Networks nutzt eine Vielzahl von Netzwerk-, endpoint, Remote- und Wireless-Sensoren, um automatisch Assets zu erkennen, sobald sie sich mit dem Netzwerk verbinden, und sammelt und validiert detaillierte Kontextattribute. Anschließend werden sie kontinuierlich überwacht, um verdächtige Veränderungen festzustellen, die auf einen Cybervorfall oder eine Prozessanomalie hindeuten könnten. Die von den Sensoren abgeleiteten OT und IoT werden mit zusätzlichen detaillierten Asset-Informationen aus unserer Asset Intelligence Feed angereichert, um ein nahezu 100 % genaues und stets aktuelles Anlageninventar zu erstellen.
Die Nozomi Asset Intelligence nutzt die von Millionen von OT, IoT und IT-Geräten gesammelten Daten, um zu bestimmen, wann Warnungen über anormales Verhalten generiert werden sollen. Dadurch wird die Anzahl der Warnungen, die durch gutartiges anormales Verhalten verursacht werden, reduziert, da man weiß, wann "neu" oder "anders" kein Risiko darstellt. Es verwendet Attribute und Verhaltensweisen, die in Ihrem Netzwerk sichtbar sind, wie MAC-Adressen und Protokolle, die von Ihren Anlagen verwendet werden, und vergleicht sie mit dem Geräteverhalten und der Leistung bekannter Geräte in der Datenbank. Wenn eine Übereinstimmung gefunden wird, werden die Attribute und Verhaltensweisen des bekannten Geräts zu Ihrem Geräteprofil hinzugefügt. Das Ergebnis ist eine um bis zu 50-70 % genauere Klassifizierung, die die Verwaltung von Schwachstellen vereinfacht und die Zahl der falsch-positiven Alarme in Ihrer Umgebung reduziert.
Die Burnout-Rate bei Mitgliedern von Security Operations Center (SOC)-Teams ist aufgrund der hohen Arbeitsbelastung, der Unterbesetzung, der begrenzten Automatisierung und der Alarmmüdigkeit bekanntermaßen hoch. Der kritische Mangel an qualifizierten Cybersecurity-Fachleuten, insbesondere in Spezialgebieten wie OT , wäre schlimm, wenn KI und ML nicht maßgeschneidert wären, um Sicherheitsteams zu helfen, mit weniger mehr zu erreichen. Sie automatisieren die zeitaufwändigen Aufgaben der Überprüfung, Korrelation und Priorisierung von Netzwerk-, Anlagen- und Warndaten, um aussagekräftige Einblicke in echte Bedrohungen und deren Bekämpfung zu ermöglichen. Tätigkeiten, für die früher ein Team von Mitarbeitern eine Woche brauchte, können jetzt von einer Person am Tag erledigt werden, wenn sie nicht ganz an KI/ML abgegeben werden.
Vantage IQ in Nozomi Networks' cloud AI/ML-Engine. Seine tiefen neuronalen Netze erkennen Aktivitätsmuster in Netzwerkdaten und präsentieren priorisierte Erkenntnisse auf der Grundlage sofort korrelierter Warnungen, unterstützt durch Informationen über die Grundursache für eine rationale Untersuchung und effiziente Abhilfe.
Die Vantage IQ analysiert kontinuierlich Ihre Umgebung und setzt Risiken und Bedingungen zueinander in Beziehung, um Dinge aufzudecken, die Sie vielleicht untersuchen sollten, für die Sie aber vielleicht keine Zeit haben. Diese Erkenntnisse werden in einer ständig aktualisierten, nach Wichtigkeit geordneten Liste dargestellt, ohne dass jemand eine Abfrage schreiben muss. Wenn diese Erkenntnisse regelmäßig berücksichtigt werden, ist das Ergebnis weniger Lärm in Ihrer Umgebung, der von Konfigurationsänderungen und anderen Dingen herrührt, die leicht zu übersehen, aber auch leicht zu beheben sind.
Künstliche Intelligenz und maschinelles Lernen (KI/ML) prägen jeden Aspekt unseres Lebens schneller, als wir es erfassen können. Die Cybersicherheit bildet da keine Ausnahme. Sie ist sogar ein leuchtendes Beispiel dafür, wie KI/ML sowohl für den Angriff als auch für die Verteidigung genutzt werden kann - und selbst ein attraktives Ziel ist.
Dank der niedrigeren Einstiegshürden für potenzielle Cyberkriminelle sind KI/ML-gestützte Cyberangriffe auf dem Vormarsch, darunter Phishing, Deepfakes und Distributed Denials of Service (DDoS). Polymorphe Malware und Advanced Persistent Threats (APTs) nutzen KI, um neue Varianten erfolgreicher Malware zu generieren und Regeln und Signaturen zu umgehen.
Auf der Seite der Verteidiger stellt die Notwendigkeit, riesige Datenmengen aus Dutzenden von Quellen schnell zu analysieren und zu korrelieren, einen erstklassigen Anwendungsfall für KI und ML dar. Diese übermenschlichen Fähigkeiten beschleunigen nahezu jeden Aspekt der Cyberabwehr, einschließlich Bestandsaufnahme und Intelligenz, Verhaltensgrundlagen, Erkennung von Anomalien und Bedrohungen, Ereigniskorrelation, Risikopriorisierung und Rauschunterdrückung. Zusammen haben sie das Potenzial, den Bedarf an Tier-1-SOC-Analysten und anderen Nachwuchskräften gänzlich zu eliminieren.
KI-gestützte Cybersicherheit für industrielle Umgebungen nutzt all diese Fähigkeiten, wenn auch in einem höheren Maße: Es gibt mehr zu schützen und die Risiken eines Angriffs sind oft höher. Sie haben es mit Steuerungssystemen und physischen Prozessen zu tun, die Tausende von konfigurierbaren Prozessvariablen aufweisen, die alle potenziell ausgenutzt werden können. Außerdem gibt es ältere Komponenten, die von vornherein unsicher sind und nur begrenzte Möglichkeiten für Patches bieten. Ohne KI wäre es unmöglich, das Volumen der Netzwerkkommunikation und der Prozessvariablendaten in einem typischen Industrienetzwerk auszuwerten, und schon gar nicht schnell genug, um Schaden zu verhindern, wenn eine ernsthafte Bedrohung entdeckt wird.
Hier erfahren Sie, wie KI und ML in der Plattform Nozomi Networks eingesetzt werden, um industrielle Umgebungen und kritische Infrastrukturen zu schützen.
Industrieumgebungen haben in der Regel riesige Mengen an Netzwerkkommunikation und variablen Prozessdaten, die ihre Angriffsfläche bilden. Die signaturbasierte Erkennung ist zwar effizient, eignet sich aber nur zur Identifizierung bekannter Bedrohungen (z. B. dokumentierte CVEs), und auch nur dann, wenn die Indikatoren leicht zu beobachten und schnell als potenzielle Übereinstimmung zu erkennen sind. Die einzige Möglichkeit zur Erkennung unbekannter Bedrohungen, einschließlich Zero-Days und betrieblicher Anomalien, die ein Risiko darstellen können, besteht in der schnellen Analyse von Daten, die von Sensoren in der gesamten Umgebung gesammelt werden, um Abweichungen von der Grundlinie zu erkennen.
Wenn die Nozomi Netzwerksensoren zum ersten Mal in Ihrer Umgebung eingesetzt werden, arbeiten sie im Lernmodus, um Ihr industrielles Netzwerk automatisch und in Echtzeit zu erkennen, einschließlich seiner Komponenten, Verbindungen und Topologie. Durch die Überwachung der Gerätekommunikation bis hin zu Variablen auf Prozessebene erstellt die Plattform eine genaue interne Darstellung jedes physischen Prozesses im Netzwerk und identifiziert jede Phase und die Korrelation zwischen Netzwerkgeräten, Prozessvariablen und Phasen. Anhand dieser Darstellungen erstellt sie detaillierte Profile des erwarteten Verhaltens jedes Geräts in jeder Phase des Prozesses.
Bislang ist dieser Lernprozess ein reines Verhaltens-Baselining auf der Grundlage von Beobachtungen. Die Plattform Nozomi Networks nutzt auch Adaptive Learning, das asset intelligence hinzufügt, die bekanntes Asset-Verhalten beschreibt (siehe unten), um Profile anzureichern und Fehlalarme zu reduzieren. Diese Kombination aus verhaltensbasierter Erkennung auf der Grundlage von bekanntem Asset-Verhalten ist insbesondere für die Erkennung von Zero-Day-Exploits unerlässlich.
Die Plattform verwendet außerdem Dynamic Learning, um eine statistische Prozesskontrollanalyse des Netzwerks durchzuführen und Verhaltensweisen zu verwerfen, die über eine Standardabweichung hinausgehen und nicht als normal angesehen werden sollten. Die Lernparameter können manuell konfiguriert werden, um nur die Alarme zu generieren, die Sie wirklich benötigen, um Ihre Umgebung zu schützen und eine Überlastung zu vermeiden.
Sobald die Basislinien festgelegt sind, wird die Plattform in den aktiven Modus geschaltet und überwacht die Umgebung mithilfe von Heuristiken und Verhaltensanalysen kontinuierlich. Das Ergebnis ist eine schnelle Erkennung von Anomalien, einschließlich Cyberangriffen, Cybervorfällen und kritischen Unregelmäßigkeiten bei Prozessvariablen. Diese Informationen können genutzt werden, um Cyber-Bedrohungen und Prozessvorfälle zu verhindern, einzudämmen oder zu entschärfen, bevor ein erheblicher Schaden entstehen kann.
Alarme weisen Analysten und Bediener auf verdächtige Ereignisse und Aktivitäten hin, die von den etablierten Basislinien abweichen, während gutartige anomale Aktivitäten unterhalb der festgelegten Schwellenwerte herausgefiltert werden. Wenn zum Beispiel ein Gerät in einem industriellen Prozess anfängt, 10 Pakete im Laufe der Zeit zu verlieren, ist das keine große Sache, aber wenn derselbe Prozess anfängt, Hunderte von Paketen zu verlieren, muss das untersucht werden.
Industrielle und kritische Infrastrukturnetze enthalten in der Regel Tausende von OT von Hunderten von Anbietern sowie IoT , die Prozesse überwachen und steuern. Die Erstellung eines genauen, aktuellen Bestandsverzeichnisses der OT und IoT und die Verfolgung dieser Geräte zusammen mit wichtigen Kontextinformationen ist von grundlegender Bedeutung für die Aufrechterhaltung der Cyber- und Betriebsresilienz, die Verwaltung von Schwachstellen und die Festlegung von Prioritäten für die Schadensbegrenzung. Dies kann nicht manuell erfolgen. Sie brauchen eine automatisierte Asset-Management-Lösung.
Die Plattform von Nozomi Networks nutzt eine Vielzahl von Netzwerk-, endpoint, Remote- und Wireless-Sensoren, um automatisch Assets zu erkennen, sobald sie sich mit dem Netzwerk verbinden, und sammelt und validiert detaillierte Kontextattribute. Anschließend werden sie kontinuierlich überwacht, um verdächtige Veränderungen festzustellen, die auf einen Cybervorfall oder eine Prozessanomalie hindeuten könnten. Die von den Sensoren abgeleiteten OT und IoT werden mit zusätzlichen detaillierten Asset-Informationen aus unserer Asset Intelligence Feed angereichert, um ein nahezu 100 % genaues und stets aktuelles Anlageninventar zu erstellen.
Die Nozomi Asset Intelligence nutzt die von Millionen von OT, IoT und IT-Geräten gesammelten Daten, um zu bestimmen, wann Warnungen über anormales Verhalten generiert werden sollen. Dadurch wird die Anzahl der Warnungen, die durch gutartiges anormales Verhalten verursacht werden, reduziert, da man weiß, wann "neu" oder "anders" kein Risiko darstellt. Es verwendet Attribute und Verhaltensweisen, die in Ihrem Netzwerk sichtbar sind, wie MAC-Adressen und Protokolle, die von Ihren Anlagen verwendet werden, und vergleicht sie mit dem Geräteverhalten und der Leistung bekannter Geräte in der Datenbank. Wenn eine Übereinstimmung gefunden wird, werden die Attribute und Verhaltensweisen des bekannten Geräts zu Ihrem Geräteprofil hinzugefügt. Das Ergebnis ist eine um bis zu 50-70 % genauere Klassifizierung, die die Verwaltung von Schwachstellen vereinfacht und die Zahl der falsch-positiven Alarme in Ihrer Umgebung reduziert.
Die Burnout-Rate bei Mitgliedern von Security Operations Center (SOC)-Teams ist aufgrund der hohen Arbeitsbelastung, der Unterbesetzung, der begrenzten Automatisierung und der Alarmmüdigkeit bekanntermaßen hoch. Der kritische Mangel an qualifizierten Cybersecurity-Fachleuten, insbesondere in Spezialgebieten wie OT , wäre schlimm, wenn KI und ML nicht maßgeschneidert wären, um Sicherheitsteams zu helfen, mit weniger mehr zu erreichen. Sie automatisieren die zeitaufwändigen Aufgaben der Überprüfung, Korrelation und Priorisierung von Netzwerk-, Anlagen- und Warndaten, um aussagekräftige Einblicke in echte Bedrohungen und deren Bekämpfung zu ermöglichen. Tätigkeiten, für die früher ein Team von Mitarbeitern eine Woche brauchte, können jetzt von einer Person am Tag erledigt werden, wenn sie nicht ganz an KI/ML abgegeben werden.
Vantage IQ in Nozomi Networks' cloud AI/ML-Engine. Seine tiefen neuronalen Netze erkennen Aktivitätsmuster in Netzwerkdaten und präsentieren priorisierte Erkenntnisse auf der Grundlage sofort korrelierter Warnungen, unterstützt durch Informationen über die Grundursache für eine rationale Untersuchung und effiziente Abhilfe.
Die Vantage IQ analysiert kontinuierlich Ihre Umgebung und setzt Risiken und Bedingungen zueinander in Beziehung, um Dinge aufzudecken, die Sie vielleicht untersuchen sollten, für die Sie aber vielleicht keine Zeit haben. Diese Erkenntnisse werden in einer ständig aktualisierten, nach Wichtigkeit geordneten Liste dargestellt, ohne dass jemand eine Abfrage schreiben muss. Wenn diese Erkenntnisse regelmäßig berücksichtigt werden, ist das Ergebnis weniger Lärm in Ihrer Umgebung, der von Konfigurationsänderungen und anderen Dingen herrührt, die leicht zu übersehen, aber auch leicht zu beheben sind.