Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwendet Airbus Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung

Um die Datenübertragung an Google Analytics zu deaktivieren, klicken Sie bitte hier

Vielen Dank! Wir haben einen Cookie für Sie gesetzt, der die Datenübertragung an Google Analytics bei Ihrem nächsten Besuch verhindert.

Automatisierung des SOCs – Auf dem Weg zur KI-basierten Incident Response in der Fabrik der Zukunft

Published:23/03/21
by Alexander Winnicki, Security Engineer

Das Security Operations Centre (SOC) ist ein etablierter Dienst für den kontinuierlichen Schutz von Unternehmen vor Cyber-Bedrohungen, der sich in naher Zukunft auch auf industrielle Umgebungen ausweiten wird. Angesichts der zunehmenden Aktivitäten von Bedrohungsakteuren sowie ihrer wachsenden Ressourcen, Kenntnisse und Fähigkeiten ist die Cybersicherheit jedoch ein bewegliches Ziel. Dies gilt insbesondere für industrielle Systeme, die sich von isolierten, proprietären Enklaven zu integrierten, vernetzten und verteilten digitalen Produktionsumgebungen mit einer wesentlich größeren Angriffsfläche entwickelt haben. Der Verteidiger muss immer einen Schritt voraus sein, und daher muss der sich entwickelnden Bedrohungslandschaft mit entsprechenden technologischen und organisatorischen Fortschritten begegnet werden, insbesondere im SOC. Um seine Kunden angesichts dieser zunehmenden Bedrohung zu schützen und sie bei der Einhaltung rechtlicher Vorgaben zu unterstützen, entwickelt Airbus CyberSecurity in enger Zusammenarbeit mit der europäischen Industrie und Wissenschaft Innovationen zur Cyberabwehr.

Automatisierung des SOCs: Wegbereiter für zukünftige Sicherheit und Widerstandsfähigkeit

Nach der Entdeckung bösartiger Aktivitäten durchläuft das SOC in der Regel die folgenden Phasen, die zusammen den Incident-Response-Prozess bilden: Erkennung, Entscheidung, und Reaktion. Während bei der Automatisierung der Erkennungsphase von Incidents erhebliche Fortschritte erzielt wurden, sind die anschließenden Entscheidungs- und Reaktionsphasen nach wie vor von manueller Analystenarbeit dominiert. Auch wenn es derzeit nicht möglich ist, eine vollständige Automatisierung zu erreichen und menschliches Fachwissen komplett zu ersetzen, besteht dennoch ein erhebliches Potenzial, Analysten von lästigen Aufgaben zu befreien, die von einer Maschine übernommen werden könnten. Mit einer solchen Unterstützung könnten sich die Analysten auf Aufgaben konzentrieren, bei denen menschliche Kapazitäten tatsächlich ausschlaggebend sind, wie z. B. bei der Entscheidungsfindung. 

Diese Optimierung von Ressourcen ist ein unverzichtbarer Faktor, um das SOC auf künftige Herausforderungen vorzubereiten, denn abgesehen von der wachsenden Bedrohungslandschaft nimmt auch die Zahl der zu überwachenden Endpunkte und Infrastrukturen erheblich zu. Das industrielle Internet der Dinge (Industrial Internet of Things, IIoT) wird unweigerlich eine wesentlich größere Basis an zu schützenden Geräten schaffen. Darüber hinaus werden die Kommunikationsnetze einen Generationssprung bei den verfügbaren Bandbreiten erleben, z. B. mit der Einführung von 5G. Infolgedessen wird die Anzahl der generierten und gemeldeten Incidents in Relation zu der wachsenden Anzahl von Geräten exponentiell ansteigen, wodurch der herkömmliche Incident-Response-Prozess den Rahmen des manuell Machbaren verlässt. Da ein exponentieller Anstieg der Arbeitslast nicht mit einem linearen Wachstum an Arbeitskräften bewältigt werden kann, sind Technologie- und Prozessinnovationen erforderlich.

Wir beginnen mit den schnellen Maßnahmen: Automatisierte Datenerfassung und –anreicherung

Unser Ansatz, den Stand der Technik der Incident Response in Richtung Automatisierung voranzutreiben ist zweigleisig, und schlägt eine schrittweise Erhöhung der Automatisierung aller SOC-Prozesse vor. In einem ersten Schritt entwickeln wir Automatisierung für Aufgaben, die derzeit von Analysten durchgeführt werden, aber einer Maschine übertragen werden können, die sie nicht nur korrekt, sondern auch effizienter erledigen würde, z. B. die Auflösung von Hostnamen auf IP-Adressen. Auf dieser Stufe der Automatisierung behält der Analyst die Zuständigkeit für die Bearbeitung von Incidents, wird aber durch die automatisierte Erfassung, Anreicherung, und Präsentation von Daten unterstützt, die für die Entscheidungsfindung erforderlich sind (siehe Figure 1). Derzeit müssen die Analysten einen Großteil dieser Daten manuell erfassen, während sie stattdessen ihre Zeit und Aufmerksamkeit auf die eigentliche Entscheidungsfindung konzentrieren könnten, um die Produktivität zu steigern. Dieser erste Schritt der Automatisierung wird durch Playbooks für Vorfälle unterstützt, die auf optimierten Reaktionsprozessen basieren. Diese Playbooks werden bei der Erstellung eines Incidents automatisch durchlaufen, d. h. es werden Bedingungen geprüft, Maßnahmen ergriffen oder zugewiesen, und Analysten werden über entsprechende Schnittstellen eingebunden.

Figure 1: Semi-automated incident response

 

Unser Ziel: KI-basierte Incident Response für IIoT-Skalierbarkeit

Der nächste und herausvordernde Schritt unseres Automatisierungskonzepts besteht darin, Analysten in ihrer Entscheidungsbefugnis zu unterstützen und möglicherweise zu ersetzen. Dies macht die Rolle von Analysten jedoch nicht überflüssig. Stattdessen verlagert sich die Arbeit und der Schwerpunkt der Analysten vom Treffen aller Entscheidungen auf die Überwachung der künstlichen Intelligenz (KI), die den Großteil der Entscheidungen übernimmt. Während der Trainingsphase des KI-Systems überprüfen die Analysten alle Entscheidungen und geben Rückmeldung über deren Richtigkeit sowie über die ausschlaggebenden Parameter im Falle von Fehlern. Mit der Zeit und den Daten wächst die Wissensbasis der KI, so dass die Zahl der Fehlentscheidungen abnimmt. In dieser Betriebsphase können Analysten kontinuierlich Beispielsätze von KI-Entscheidungen überprüfen, und sind in der Lage bei Bedarf jederzeit die Bearbeitung von Incidents zu übernehmen und die Arbeit wie gewohnt auszuführen. In dieser Hinsicht wird die künftige Rolle von Analysten keine unterschiedlichen, sondern zusätzliche Fähigkeiten und Verantwortlichkeiten erfordern, wie z. B. Kenntnisse über maschinelles Lernen und die Verhinderung gegnerischen Lernens (siehe Figure 2). 

Figure 2: Automated AI-based incident response

 

Aufgrund der sich daraus ergebenden Skalierbarkeit der Incident Response wird das SOC bereit sein, sich einem potenziell exponentiellen Anstieg der Rate an generierten Incidents zu stellen, die durch das IIoT und andere technologische Fortschritte in den überwachten Netzwerken entstehen werden. Der Einsatz von maschinellem Lernen für die Reaktion auf Incidents scheint für den Industriesektor besonders vielversprechend zu sein, da Netzwerke und Prozesse dort von Natur aus wiederkehrende Muster aufweisen und daher sehr vorhersehbar sind.

Außerdem wird die Bearbeitung der meisten Incidents durch ein KI-System die Erkennung von Incident- und kundenübergreifenden Angriffsmustern und Erkenntnissen ermöglichen. Derzeit werden verwandte Incidents meist individuell von verschiedenen Analysten bearbeitet, so dass nicht berücksichtigt wird, ob diese Incidents korreliert sind oder zu demselben Angriff gehören. Würde diese Korrelationsanalyse von Analysten manuell durchgeführt, so würde der Arbeitsaufwand exponentiell mit der Anzahl der Incidents ansteigen, so dass dies insgesamt nicht machbar wäre. Für ein KI-System das über alle Incidents Bescheid weiß, würde der zusätzliche Arbeitsaufwand jedoch letztlich nur eine höhere Rechenleistung erfordern, die dank des Aufkommens von Cloud Computing und Computing-as-a-Service heute sowohl leicht verfügbar als auch erschwinglich ist.

Unser Portfolio und unsere Forschung: Eine umfassende Geschichte

Airbus setzt bereits KI-Systeme in Fertigungssystemen ein, um traditionell manuelle Aufgaben zu übernehmen und es den Menschen zu ermöglichen, ihr Fachwissen auf die Überwachung, Wartung und Verbesserung der KI zu konzentrieren, wodurch Effizienz, Produktivität, und Fähigkeiten erheblich gesteigert werden. Aus konzeptioneller Sicht wird derselbe Ansatz für das SOC unverzichtbar sein um die wachsende Zahl von Geräten, Incidents, und Angriffen in naher Zukunft zu bewältigen. Auch wenn die Erkennung, Bearbeitung, und Reaktion auf Incidents intellektuell komplexe Aufgaben sind, lassen sich die meisten Cyberangriffe in bestimmte Kategorien einteilen, folgen entsprechenden Aktionen, und weisen erkennbare Muster auf. Wir bei Airbus CyberSecurity haben die Ambition KI-Systeme zu entwickeln, die in der Lage sind diese Herausforderungen zu bewältigen durch Nutzung einer Basis an konsolidierten und automatisierten Prozessen, eines gut geschulten KI-Systems mit umfassender Wissensbasis, und der Fähigkeit, die Ausführung jederzeit an Analysten zu übergeben. 

Diese Innovation in Richtung automatisierter und KI-gestützter Incident Response unterstützt unsere Portfolio-Entwicklung für ein dediziertes SOC für Operational Technologies (OT) und nutzt Synergien, die sich aus unseren Beiträgen zu umfassenderen europäischen Forschungsbemühungen in Bezug auf kollaborative Fertigung und kollaborative SOC-Architekturen ergeben.

Erfahren Sie mehr über unser Angebot

Wenn Sie mehr darüber erfahren möchten, wie wir die Fabrik der Zukunft bei Airbus sichern wollen, sehen Sie sich dieses Video an. Wenn Sie mehr über SOC 4.0 erfahren möchten, können Sie hier unser SOC 4.0 Whitepaper herunterladen.

Back to Blog