Eine Mitteilung an unsere Kunden und Partner im Nahen Osten
Weitere Informationen
Bedrohungsakteure nutzen künstliche Intelligenz (KI) und maschinelles Lernen (ML), um immer schneller immer raffiniertere Angriffe zu starten. Die Herausforderung besteht darin, die richtigen KI-/ML-Techniken richtig einzusetzen, um zumindest mit ihnen Schritt zu halten.
Unsere Forschungs- und Entwicklungs- sowie Laborteams haben unsere KI-Engine von Anfang an intern entwickelt und trainiert, und seitdem haben wir sie auf der Grundlage von Erkenntnissen aus Tausenden von realen OT IoT kontinuierlich weiterentwickelt.
Wir wissen, wie man die richtigen Daten sammelt, den richtigen Kontext bereitstellt und die richtigen KI-Techniken einsetzt, damit Industrieunternehmen und kritische Infrastrukturen sich in der heutigen Welt schützen können.
Wir verwenden auf unserer gesamten Plattform eine Vielzahl von KI- und Machine-Learning-Modellen (ML) und wählen für die jeweilige Aufgabe das richtige Tool (ML, prädiktive Analyse, Verhaltensanalyse, Bayes'sche Networks, LLMs), damit Sie umsetzbare Erkenntnisse über Ihre Umgebung erhalten, die Ihnen erklären, was Sie jetzt tun müssen, um die operative und Cyber-Resilienz zu erhöhen.
Eine vollständige, genaue Bestandsaufnahme aller Vermögenswerte in Ihrer Umgebung ist die Eingabe, die es unserer KI-Engine ermöglicht, die richtigen Ergebnisse zu erzielen.
Wir verwenden eine Vielzahl von Netzwerk-, endpoint drahtlosen Sensoren, aktive und passive Erkennungstechniken sowie Deep Packet Inspection (DPI) mit umfassender Protokollkenntnis, um den Netzwerkverkehr zu analysieren und das Verhalten zu verstehen.
Unsere KI-Engine lernt kontinuierlich aus Millionen von überwachten Assets, sodass sie Lücken zu identischen Geräten in verschiedenen Umgebungen schließen kann. So erhalten Sie die Breite und Tiefe der Daten, die Sie benötigen, um Bedrohungen und Anomalien zu erkennen und Risiken zu managen.
SOC-Analysten werden mit zu vielen Warnmeldungen überhäuft: unkorrelierte und nicht priorisierte Warnmeldungen, Fehlalarme, Warnmeldungen, die sie nicht verstehen, und Warnmeldungen ohne ausreichende Informationen, um darauf reagieren zu können. KI analysiert, priorisiert und stummschaltet Warnmeldungen, damit sich die Mitarbeiter auf das Wesentliche konzentrieren können.
Eine manuelle Bestandsaufnahme von Vermögenswerten ist immer unvollständig, fehlerhaft und veraltet. Abgesehen von den offensichtlichsten Details zu den Ihnen bekannten Vermögenswerten gibt es keine Möglichkeit, alle Daten und Zusammenhänge zu erfassen, die erforderlich sind, um Verhaltensgrundlagen festzulegen und Anomalien und Bedrohungen zu erkennen.
CISOs sind zunehmend fürIoT verantwortlich, da diese einen wachsenden Anteil der Unternehmensrisiken ausmachen, was den anhaltenden Mangel an FachkräftenIoT deutlich macht. KI vergrößert die Qualifikationslücke und reduziert die Anzahl der Stunden, die für die Ausführung mühsamer Aufgaben erforderlich sind.
Um Assets korrekt zu identifizieren, zu klassifizieren, fehlende Informationen zu ergänzen und unser Wissen über sie zu erweitern, verwenden wir maschinelles Lernen, um beobachtete Merkmale mit einer kontinuierlich aktualisierten Datenbank von Geräteprofilen abzugleichen, die von Nozomi Networks gepflegt wird. Wenn nur begrenzte Daten verfügbar sind, können unsere Verhaltensinferenzmodelle anhand von Verkehrsmustern und Protokollnutzung Rückschlüsse auf Asset-Typen und -Rollen ziehen.
Wir nutzen auch Bayes'sche Networks, ein probabilistisches Modell, das zur Argumentation unter Unsicherheit verwendet wird, um vorherzusagen, welche Asset-Informationen in fehlende Datenfelder gehören, bis diese erfasst oder anderweitig ausgefüllt werden können. Dies ist eine sehr effektive Methode, um Fehlklassifizierungen von Schlüsseldaten zu vermeiden, die zur Erkennung von Bedrohungen und Anomalien sowie zum Risikomanagement verwendet werden.
Zusammen sorgen die vielfältigen Sensoren, Datenerfassungsmethoden und KI-Anreicherungstechniken für eine kontinuierliche Steigerung Ihrer gesamten Bestandsgenauigkeit.
Ein effektives Schwachstellenmanagement umfasst die Kontextualisierung, Priorisierung und Korrelation dieser Schwachstellen mit den realen Risiken in Ihrer Umgebung. Unsere Plattform nutzt KI-gestützte Asset-Fingerprinting-Verfahren, um Gerätemarke, Modell, Firmware-Version, Betriebssystem und weitere Merkmale zu identifizieren. Dieses erweiterte Profil wird verwendet, um das Gerät mit bekannter CVEs abzugleichen, und zwar mit weitaus größerer Genauigkeit als herkömmliche Scanner.
Anschließend verwenden wir Bayes'sche Inferenz und gewichtete Wahrscheinlichkeitsmodelle, um einen dynamischen, multifaktoriellen Risikowert zu berechnen, der das Schwachstellenrisiko einschließlich des Patch-Status umfasst.
Die Plattform überwacht kontinuierlich Ihre Umgebung und nutzt zeitliche Korrelationen, Verhaltensmodellierung und Bedrohungsmusterabgleich, um verdächtiges Verhalten in der Nähe einer gefährdeten Ressource, eingehende Sondierungen von Bedrohungsakteuren oder laterale Bewegungsmuster zu identifizieren. Jedes dieser Ereignisse löst eine Erhöhung der Risikobewertung und Warnmeldungen aus, wodurch Teams dabei unterstützt werden, Schwachstellen zu priorisieren, die aktiv angegriffen werden.
Betriebsstörungen lassen sich nicht anhand einfacher Regeln erkennen. Eine Kombination aus ML, prädiktiver Analytik und Verhaltensanalytik ist unerlässlich, um das Verhalten von Anlagen zu erfassen und Anomalien zu erkennen.
Nach der Bereitstellung beginnt dieNetworks mit der Überwachung der Gerätekommunikation im „Lernmodus“, bis hin zu Variablen auf Prozessebene. Sie nutzt ML und prädiktive Analysen, um detaillierte Profile des erwarteten Verhaltens jedes Geräts in jeder Phase eines Prozesses zu erstellen und so eine Basislinie für „normales“ Verhalten festzulegen.
Im „Schutzmodus“ überwacht die Plattform mithilfe von Verhaltensanalysen die Umgebung, vergleicht das aktuelle Verhalten mit den Basiswerten und warnt bei verdächtigen Ereignissen, die davon abweichen. Dabei bewertet sie deren Kritikalität und stuft sie als Prozess- oder Cybersicherheitsanomalie ein. Selbst im Schutzmodus aktualisiert das System die Basiswerte dynamisch, wenn sich die normalen Bedingungen ändern.
Um Fehlalarme zu reduzieren, verwenden wir Verhaltensmodellierung, Mustererkennung und andere Techniken, um harmlose Änderungen wie legitime Firmware-Updates herauszufiltern.
Die regelbasierte Erkennung, einschließlich der signaturbasierten Erkennung, ist effizient für die Erkennung bekannter Bedrohungen, bei denen die Indikatoren leicht zu beobachten und zu identifizieren sind. Unbekannte Bedrohungen, einschließlich Zero-Day-Angriffe, erfordern dieselben verhaltensbasierten Erkennungstechniken wie Anomalien. Neuronale Netzmodelle, Bayes'sche Networks andere KI-Techniken sind ebenfalls unerlässlich für die Verwaltung von bedrohungsbezogenen Warnmeldungen und die Priorisierung von Abhilfemaßnahmen.
Neuronale Netzmodelle korrelieren Ereignisse mit mehreren Variablen in Ihrer Umgebung, um die Untersuchungszeit zu verkürzen und komplexe Bedrohungen wie Advanced Persistent Threats zu erkennen. Unsere Abfrage-Engine analysiert diese korrelierten Warnmeldungen zusammen mit den Attributen der Assets und den Netzwerkbeziehungen, um die richtigen Maßnahmen vorzuschlagen.
Die Ursachenanalyse ist für die Untersuchung von Bedrohungen unerlässlich. Unsere Plattform nutzt neuronale Netze, Clustering und Zeitreihenanalysen, um Verhaltensweisen über Assets, Datenverkehr und Zeit hinweg zu korrelieren. Sie isoliert schnell die Quelle von Anomalien oder Warnmeldungen, indem sie Kausalketten identifiziert, was die Untersuchungszeit verkürzt und eine schnellere, gezieltere Reaktion ermöglicht.
Networks dynamische Risikobewertungen für jedes Ihrer Assets, damit Sie Ihre Sicherheitsmaßnahmen priorisieren, die kritischsten Risiken zuerst angehen und diese effektiv mindern können. Das Asset-Risiko wird anhand von fünf Faktoren mit anpassbaren Gewichtungen berechnet: Schwachstellenrisiko, Alarmrisiko, Kommunikationsrisiko, Geräterisiko, Kritikalität des Assets und vorhandene Ausgleichskontrollen.
Wir verwenden eine Kombination aus ML, prädiktiver Analytik und Verhaltensanalytik, um Risikobewertungen auf Asset-, Anlagen- und Unternehmensebene zu berechnen. Dieselben Tools werden verwendet, um Maßnahmen zu empfehlen, die nach ihrer Wirksamkeit zur Senkung Ihrer Gesamtrisikobewertung geordnet sind.
Die Berechnungen werden aktualisiert, wenn sich die Bedrohungslage ändert, neue Schwachstellen gemeldet werden, wir ungewöhnliches Verhalten in Ihrem Netzwerk feststellen und Sie neue Kontrollen hinzufügen, damit Sie deren Auswirkungen beurteilen können.
Wir verwenden außerdem Clustering, statistische Modellierung, überwachtes Lernen und Kontextanalyse, um Peer-Benchmarks anzuzeigen, sodass Sie sehen können, wie Ihre Sicherheitslage im Vergleich zu anderen Unternehmen in Ihrer Region oder Branche abschneidet.
Schließlich verwenden wir prädiktive Analysen auf der Grundlage historischer Daten zu Schwachstellen, Bedrohungen und dem Verhalten von Assets, um zu ermitteln, welche Schwachstellen wahrscheinlich ausgenutzt werden, welche Asset-Typen oder Standorte am risikoreichsten sind und welche Angriffsketten sich abzeichnen.
Der wichtigste Vorteil einer Cybersicherheitsplattform ist ihre Benutzerfreundlichkeit. Sie kann zwar alle relevanten Daten erfassen und mithilfe der richtigen KI- und ML-Techniken die richtigen Schlussfolgerungen ziehen, aber was nützt das, wenn autorisierte Benutzer, darunter auch nicht fachkundige Stakeholder, diese Erkenntnisse nicht ohne Weiteres nutzen können?
Nozomi Networks generative KI (wie ChatGPT und Gemini) in einem Teil der Plattform, Vantage IQ, um Bedrohungen zusammenzufassen, Untersuchungen zu beschleunigen und Maßnahmen für überlastete Analysten in ressourcenknappen SOCs zu empfehlen. Das System verfügt über eine eigene Abfragesprache, aber dank einer natürlichen Sprachschnittstelle kann jeder autorisierte Benutzer, vom SOC-Analysten bis zum Betriebsingenieur, alles fragen, was er über die Umgebung wissen möchte, und erhält sofort eine genaue, umsetzbare Antwort mit Drilldown-Zugriff auf tiefergehende Einblicke.
Für einen Junior-SOC-Analysten ist das so, als hätte er einen erfahrenen Experten an seiner Seite, der immer verfügbar ist. Für einen Betreiber bedeutet das, dass er sofort Antworten auf alle Fragen zur Umgebung erhält, um diese sicherer und effizienter zu betreiben.
Generative KI stützt sich auf große Sprachmodelle (LLMs), um Antworten zu generieren. Im Gegensatz zu einem LLM, das für die öffentliche Nutzung entwickelt wurde, wird unser LLM anhand von Telemetriedaten aus realen Vorfällen aus Tausenden von industriellen Einsätzen trainiert und mit Daten aus Anlagenprofilen sowie öffentlichen und Nozomi threat intelligence feinabgestimmt.
.png)
