Brücke Diepoldsau
Triage, Recherchen, Bewertung und Reaktion auf Vorfälle. Alles selbstständig.

Die Vision vom autonomen SOC

Die Vision

Aktuelle LLMs und generative KI vereinfachen zahlreiche Prozesse und den Umgang mit Informationen. Über natürliche Sprachbefehle lassen sich Daten nicht nur durchsuchen und zusammenfassen, sondern auch interpretieren. Der nächste grosse Schritt – die direkte Interaktion mit der Umgebung – steht bereits bevor. Besonders im technischen Bereich zeigt diese Technologie ihre Stärke: Code entsteht aus einfachen Anweisungen, und auch komplexe Datenabfragen lassen sich ohne tiefgreifende Kenntnisse entsprechender Abfragesprachen durchführen.

Vor allem im Security Operations Center bringen diese Ansätze grosse Vorteile mit sich und wecken sogar Hoffnungen auf einen nahezu autonomen Betrieb: von der Triage über vertiefende Recherchen bis hin zur Bewertung und Reaktion auf Vorfälle, alles selbstständig. Der Mensch übernimmt dann eher Lenkungs- und Optimierungsaufgaben. Dennoch ist klar, dass eine solche Entwicklung nicht von heute auf morgen Realität wird.

Eine Reise

Ähnlich wie beim autonomen Fahrzeug gibt es auch hier verschiedene Entwicklungsstufen, die sowohl den aktuellen Stand als auch die zukünftige Ausrichtung verdeutlichen. Im Modell von SentinelOne werden diese Stufen wie folgt definiert:

Level 0 – Manuell
  • Einfache, auf einzelnen Quellen basierende Erkennung
  • Manuelle Nachforschung, Reaktion und Behebung
Level 1 – Regelbasiert
  • Auf mehreren Quellen basierende Zusammenhangs-Erkennung
  • Spezialisierte Systeme (z.B. SOAR) für Nachforschung, Reaktion und Behebung
Level 2 – KI-gestützt
  • Selbstoptimierende Machine Learning Algorithmen für bessere Erkennung
  • KI-Assistenten zur Vereinfachung von Erkennungstechnik, Nachforschung, Reaktion und Behebung
Level 3 – Teilweise Autonomie
  • LLM-basierte Erkennung die neue Attacken vorhersagt und eine entsprechende Erkennungslogik erstellt
  • Agentischer Ansatz für Nachforschungen und Reaktionen mit wenig Risiko
  • Durch KI vorgeschlagene Behebungsstrategien für Situationen mit hohem Risiko bei der die Entscheidung und Strategie beim Menschen liegt
Level 4 – Hohe Autonomie
  • Agentischer Ansatz für alle SOC-Prozesse inkl. Behebung
  • Der Mensch leitet das System an und verbessert es.

Fazit

Der aktuelle Stand der Technik entspricht in etwa Level 2, also einem KI-gestützten Betrieb. Der nächste Schritt besteht darin, KI-Agents eigenständige Reaktionsmöglichkeiten für weniger kritische Szenarien zu geben. Bei riskanteren Aktionen sollen sie zudem bereits aufbereitete Informationen, Strategien und Vorschläge liefern, um dem Benutzer eine fundierte Entscheidungsgrundlage zu bieten. Auch wenn die Vision eines vollständig autonomen SOC noch in der Ferne liegt, übernimmt die KI auf Level 2 und kommend auf Level 3 bereits einen erheblichen Teil der arbeitsintensiven Aufgaben.

Besonders in Zeiten von Fachkräftemangel und Alarmmüdigkeit ist diese Unterstützung wertvoll: Das SOC-Team gewinnt Zeit, sich auf zentrale Punkte wie die Einschätzung und Abwägung bei Incidents zu konzentrieren. Die letztendliche Beurteilung und Entscheidungsgewalt für risikoreichere Eingriffe verbleibt zwar beim Menschen, doch die KI entlastet deutlich und liefert wichtige Vorarbeit.

Weitere Infos

Facts

  • KI vereinfacht bereits zahlreiche Prozesse und Interaktion
  • Es gibt für das SOC Autonomiestufen wie bei Fahrzeugen
  • KI soll demnächst wenig risikoreiche Aktionen im SOC selbst übernehmen
  • KI soll für risikoreiche Aktionen eine Entscheidungsgrundlage erarbeiten

Ceruno Security Operations

Erfahren Sie mehr über unser Angebot auf Basis von SentinelOne. 

Security Operations

Umfassender XDR-Service der Bedrohungen in Echtzeit erkennt und neutralisiert. Proaktive Überwachung, KI-gestützte Analysen und schnelle Reaktionen!