Blog

Von nationalstaatlichen Bedrohungen zu agentenbasierter KI: Lektionen von der Frontlinie moderner Sicherheitsoperationen

Craig, nochmals vielen Dank, dass Sie hier sind, und vielen Dank an alle Ontinue-Kunden und Freunde von Ontinue, die hier sind. Wir haben hier ein schönes Format. Wir haben einen Kamingespräch mit dem Chief Security Officer von Ontinue, Craig Jones. Wir haben ein paar Themen vorbereitet, aber wir haben uns am Ende auch Zeit für Fragen und Antworten genommen. Wenn Sie also im Laufe des Gesprächs Fragen an Craig haben, können Sie diese gerne in der Fragerunde stellen. Wir werden versuchen, im Laufe des Gesprächs darauf einzugehen. Aber wir möchten das Gespräch so interaktiv und informell wie möglich halten, es ist also kein reines Vortragsformat. Aber zunächst möchte ich Ihnen, Craig, noch einmal dafür danken, dass Sie dies tun. Könnten Sie uns ein wenig über sich selbst erzählen, über Ihren Hintergrund in der Sicherheitsbranche, wie Sie bei Ontinue gelandet sind, und so weiter? Ja, klar. Sicher. Hey, Rob. Schön, Sie alle kennenzulernen. Wie Chris schon sagte, bin ich Craig Jones, der Chief Security Officer hier bei Ontinue. Bevor ich hier gearbeitet habe, war ich für Sophos tätig. Dort war ich als Senior Director für die internen Sicherheitsabläufe zuständig. Davor habe ich an verschiedenen Stellen im Unternehmen in Sicherheitsfunktionen gearbeitet, unter anderem beim MDR. Bei Sophos war ich unter anderem für die gesamte Pacific Rim-Kampagne verantwortlich. Wenn Sie also eine der Sophos Pacific Rim Print-Publikationen gelesen haben, dann waren das alles Ergebnisse der Teams, die ich geleitet habe, und der Arbeit, die wir geleistet haben. Ich werde jetzt ein wenig darüber sprechen, weil es ziemlich interessant ist. Aber im Großen und Ganzen halte ich gerne Vorträge. Ich habe auf mehreren weltweiten Konferenzen gesprochen, alles irgendwie global, wirklich. Kürzlich habe ich in London einen Vortrag über den China-Nexus und einige meiner Erfahrungen im Umgang mit gehärteten chinesischen APTs gehalten, über die ich gleich noch ein wenig sprechen werde. Darüber hinaus habe ich bei Ontinue gearbeitet, und zwar lustigerweise seit drei Jahren. Ich bin tatsächlich bei Ontinue eingestiegen. Herzlichen Glückwunsch zum Jubiläum. Tja, ja. Ich danke Ihnen. Vor allem aber bin ich bei Open Systems eingestiegen, dem ursprünglichen Zahlungsunternehmen von Ontinue. Ich habe eine Woche bei Open Systems gearbeitet, und dann sind wir zu Ontinue gewechselt. Ich hatte also zwei Jobs in einer Woche, was irgendwie lustig ist und auch einer Erklärung bedarf. Verstehen Sie? Vielen Dank, Craig. Dann wollen wir mal loslegen. Und noch eine kurze Anmerkung, nur um alle hier zu orientieren. Also ein bisschen Tagesordnung. Mein Fehler. Ich hätte das gleich zu Beginn durchgehen sollen. Wir gehen es mit Craig durch, danke für Ihre Hintergrundinformationen. Wir werden über die China Nexus-Kampagne sprechen und über einige Ihrer Erfahrungen damit. Wir werden uns einige der neuesten Bedrohungsanalysen des Ontinue Advanced Threat Operations Teams ansehen. Und dann ein Thema, von dem ich weiß, dass es Ihnen sehr am Herzen liegt, wie das Security Operations Center von Ontinue, das Sie leiten, KI einsetzt, was ziemlich spannend ist. Noch einmal: Wenn Sie Fragen haben, können Sie diese gerne in die Fragerunde einbringen, denn wir wollen die Diskussion so interaktiv wie möglich gestalten. Also, Craig, erzählen Sie uns etwas über den Angriff auf den China Cyber Nexus Ja. Sicher. Erfahrungen damit. Ja, klar. Vielen Dank, Chris. Das ist etwas, das mich wirklich sehr interessiert. Ich habe lange Zeit bei Sophos damit verbracht, chinesische APTs aufzuspüren, und zwar speziell solche, die Sophos-Plattformen und Firewall-Plattformen nutzen, um sie als Gateways in Netzwerke einzuschleusen. So fanden wir heraus, dass es verschiedene chinesische APTs gab, die Zero Days gegen Software-Firewalls einsetzten. Und sie nutzten sie auf eine sehr ruhige Art und Weise, die im Grunde genommen von einer sehr breit angelegten Kampagne auf der Suche nach Zugang ausging. Und schließlich wurde es immer stiller und stiller und stiller und, wie ich vermute, hinterhältiger und teurer für sie. Und wir fanden irgendwie heraus, dass wir gegen mehrere EPTs arbeiteten. Der Grund, warum wir das so interessant finden, ist, dass sie Sophos Firewalls benutzt haben, um die Malware für Sophos Firewalls zu entwickeln. Eines der wirklich coolen Dinge, die wir damals hatten, war, dass wir einen EDR-ähnlichen Agenten laufen lassen konnten und Telemetriedaten darüber erhielten, was sie wie entwickelten. Im Laufe von etwa drei Jahren haben wir etwa zehn Personen in China genau beobachtet, die diese chinesischen Tools für die chinesische Regierung entwickelt haben. Und wir haben beobachtet, wie sie Exploits entwickelten. Wir haben sie dabei beobachtet, wie sie Tools für diese Zwecke entwickelten. Und dann haben wir auch noch beobachtet, wie sie sie schließlich eingesetzt haben. Es war also klar, dass es sich hier um ein sehr breites Ökosystem handelt. Die Leute, die wir beobachteten, waren Privatunternehmen, die für die MSS oder die PLE arbeiteten, wenn man so will. Und wir haben beobachtet, wie sie diese Tools entwickelt haben, und in einem Zyklus von etwa sechs Wochen tauchten diese Tools dann auf und wurden tatsächlich genutzt. Für uns war es faszinierend zu sehen, welches Team das Tool entwickelt hat und wie es dann in der Praxis auf einer Firewall in einer unserer Kundenumgebungen zum Einsatz kam, wissen Sie. Und dabei ging es immer um chinesische Interessen. Es ging also um Dinge wie Langzeitzugriff, gezieltes Anvisieren von Edge-Geräten, Anti-Dissidenten-Operationen. Und wir haben auch festgestellt, dass Dinge wie das Bankwesen von Telekommunikationsunternehmen und alles, was große Mengen an geistigem Eigentum enthielt, wirklich ins Visier genommen wurde. Aber ja. Ich meine, Chris, zeigen Sie mir die nächste Folie. Danke, Chris. Sehr gut. Das Ganze begann lustigerweise in den zwanziger Jahren, als COVID krank war und die Welt auf dem Kopf stand. Wir bekamen diese verrückte Bug-Bounty-Anfrage. Wir hatten ein wirklich umfangreiches Bug Bounty Programm. Und wir bekamen eine externe Anfrage, dass es eine SQL-I-Schwachstelle in der Firewall der Software gab. Und das war neu für uns, diese Plattform war getestet und geprüft worden, aber eine SQL-I-Schwachstelle zu hören, das war neu, wissen Sie. Das hat uns irgendwie auf den Kopf gestellt, und natürlich war das für uns von großem Interesse. Wir bekamen also diese Bugbinding-Anfrage und stellten dann fest, dass der Forscher angab, aus Australien zu kommen, aber das Gerät, auf dem er angeblich testete, befand sich in Wirklichkeit in Shandong, China. Mit der Zeit wurde uns klar, dass dies das Epizentrum aller Aktivitäten war, die wir hatten. Letztendlich haben wir dem Forscher zehntausend Dollar gezahlt. Richtig? Aber uns wurde klar, dass es sich hier um eines dieser Forschungsunternehmen handelte, das mit zweierlei Maß misst. Und das ist eine sehr übliche Taktik für chinesische EPTs, weil diese Dinge irgendwie von einem externen Unternehmen entwickelt werden. Wissen Sie, die Forscher werden auch versuchen, irgendwie davon zu profitieren. Stellen Sie sich das also vor. Das geschah am einundzwanzigsten April. Buchstäblich zwei Tage später hatten wir diesen verrückten Beginn einer breit angelegten Kampagne. Wir nannten sie intern Projekt Mexiko, aber der externe Name dafür war Asner Rock. Dieser RCE wurde also gegen diese Office-Firewall-Geräte in einem weiten Umkreis eingesetzt. Am Ende waren etwa achtzigtausend Geräte betroffen. Es handelte sich also wahrscheinlich um die weltweit größte Instant-Response-Operation, würde ich wagen zu behaupten. Wir haben diese APTs innerhalb von zwei Tagen bekämpft und eine eigene Infrastruktur aufgebaut, um die Kontrolle über die Firewalls zurückzuerlangen. Außerdem hatten wir einen wirklich coolen Mechanismus in dieser Büro-Firewall, wie ein internes Aktualisierungsformat, das es uns ermöglichte, Skripte abzulegen, um im Grunde die Kontrolle zurückzuerlangen. Eines der coolen Dinge, die wir tun konnten, war das Ablegen von Skripten, die wie ein Instant-Response-Skript funktionierten und uns erlaubten, einige der Details des Angreifers herauszuziehen, Sie wissen schon, einige der Dateien und Skripte herauszuziehen, die er benutzte, und die Firewall wieder in einen soliden Zustand zu versetzen und eines der Probleme, die wir hatten, tatsächlich zu schließen. Ich empfehle Ihnen wirklich, sich das durchzulesen. Wir haben das Ganze als Pacific Rim-Kampagne bezeichnet, aber der ursprüngliche Vorfall war schon etwas Besonderes, denn es handelte sich um achtundachtzigtausend Geräte. In Wirklichkeit waren es viel mehr, aber so viele konnten wir anhand der Telemetrie zählen. Das FBI gab die Zahl mit achtundachtzigtausend an, das ist also eine Zahl, von der ich irgendwie ausgehe. Aber wie gesagt, es war eine verrückte Sache, denn sie greifen diese Firewalls an. Sie haben dort Skripte laufen lassen, die im Grunde genommen die Anmeldedaten, alle Arten von Benutzerinformationen aus ihren VPN-Logins und dergleichen entfernt haben, alles in einen Host in den Niederlanden exfiltriert und dann im Grunde genommen den Zugang aufrechterhalten. Das Interessante daran war, dass sie es tatsächlich vermasselt haben. Was also eigentlich hätte passieren sollen, ist, dass es hätte laufen sollen und all das superleise getan hätte, aber sie hatten tatsächlich einen Tippfehler in der Art und Weise, wie es eingesetzt wurde, und am Ende blieb ein einziges Artefakt in der Datenbank zurück, was ein Hinweis darauf war, wie es funktionierte, wissen Sie. Der erste Bericht, den wir dazu erhielten, kam von unserem Servicedesk, wobei einige Kunden oder Partner meldeten, dass dieses seltsame Artefakt in der Web-UI auftaucht, wissen Sie. Wir verstehen nicht, woher es kommt. Wir haben dann herausgefunden, dass es sich um ein Überbleibsel eines Skripts handelt, das ausgeführt wurde. Und ich glaube, anfangs hatten wir etwa sechs oder sieben Berichte. Wir dachten also nicht, dass es etwas Großes sei. Ich weiß noch, wie ich morgens ankam und aus diesen sechs oder sieben Berichten plötzlich Hunderte von Berichten wurden. Als wir dann die Telemetriedaten bekamen, wurde uns klar, dass es sich um einen wirklich weitreichenden Angriff handelte. Wir hatten also Glück, dass wir erstens Telemetrie hatten und zweitens die totale Kontrolle über diese Geräte hatten. Sie gehörten uns sozusagen von A bis Z. Das ist Craig, wie fühlt es sich an, wenn man diese Erkenntnis hat, diese Art von Dämmerung dieses kleinen Angriffs, der über achtundachtzigtausend, ja. Ich denke, das ist einer dieser Aspekte, ich denke, anfangs ist es einfach nur Horror. Ich glaube, jeder, der so etwas schon einmal erlebt hat, wird jetzt sicher lachen, aber in Wirklichkeit war es der reine Horror. Es war der Gedanke, dass ein unbekannter Akteur eine Verbindung zu diesen Geräten hergestellt und Anmeldeinformationen exfiltriert hat, und dass er auf jede beliebige Weise ein- und ausgehen kann. Wir können im Moment nichts tun, um ihn zu stoppen. Und es ist auch am Rande der Legalität. Es hat einige Zeit gedauert, bis wir überhaupt herausgefunden haben, ob wir rechtlich in der Lage sind, Skripte auf den Geräten unserer Kunden abzulegen, um diese Typen zu bekämpfen. Und das sind die Dinge, von denen jeder sagt, dass man einen Schlachtplan haben und über einen Plan zur Reaktion auf Zwischenfälle nachdenken sollte. Das sind die Dinge, die man nicht wirklich als Vorfallsreaktionsplan erraten kann. Und ich denke immer an die Zitate von Mike Tyson: Jeder hat einen Plan, bis er ins Gesicht geschlagen wird. Und das waren wir definitiv. Wir hatten diesen Moment, in dem wir wirklich einen gewaltigen Schlag ins Gesicht bekamen, und ehrlich gesagt, bedeutete das auch, dass wir, Sie wissen schon, klug vorgehen mussten. Ich glaube, wir hatten insgesamt etwa fünfzig Leute, die an dem Vorfall gearbeitet haben, und ich hatte das Kommando in der Mitte des Vorfalls. Aber wir hatten auch ein paar verrückte Sachen am Laufen, bei denen wir eine Infrastruktur aufgebaut haben, um im Grunde genommen die Geräte der Angreifer mit DDoS zu überziehen, damit sie nicht mehr die neuesten Konfigurationen abrufen konnten, wenn unsere Kunden ihre Konfigurationen änderten. Wir haben also dieses verrückte, global ausbalancierte DDoS-System gebaut, was für ein Sicherheitsunternehmen, das ein DDoS-System baut, wirklich verrückt ist, wissen Sie. Es ist einfach die Sache, die stört. Ja, das war das Einzige, was wir tun konnten, bis wir die Hosting-Firma dazu gebracht hatten, diese Systeme herunterzufahren, also die Systeme der Angreifer. Aber ja. Ich meine, wir haben drei Tage lang hart gekämpft und es geschafft, alle Geräte zu säubern, bis auf etwa vierhundert oder so. Und für diese haben wir die Kontrolle über die betroffenen Bereiche übernommen. Eine davon war softwares firewall update dot com und wir leiteten sie in eine Sandbox oder ein Sinkhole von uns in AWS um. Es war also eine ziemlich coole Sache, die wir am Ende hinbekommen haben. Wir haben es geschafft, dass sie alle interessiert waren. Wir konnten sie alle irgendwie in unsere Infrastruktur einbinden, und schließlich haben wir es geschafft, ein Update über den Update-Mechanismus der Angreifer einzuschleusen, was ziemlich cool war. Eine der Fragen, die ich an Sie habe. Entschuldigen Sie bitte die Unterbrechung. Ich kann mir vorstellen, dass die APT-Angreifer, die Jahre ihres Lebens damit verbracht haben, diese Kampagne auszuführen, ebenfalls drei Tage hinter sich haben, während Sie das durchmachen. Gab es irgendwelche Anzeichen oder Signale, oder haben Sie Ihre Gegner auf dem Schlachtfeld getroffen, um zu sehen, wie sie darauf reagieren, dass sich aus ihrer Sicht alles auflöst? Das haben wir. Wir haben beobachtet, wie sie ihre DNS mehrmals geändert haben. Sie versuchten also, ihre Domains von verschiedenen Punkten auf andere Server zu verlegen. Als wir anfingen, ihnen etwas anzutun, merkten sie, dass wir begannen, die Sache zurückzunehmen. Außerdem versuchten sie mehrmals, die gleiche Fortsetzung auf diesen Geräten zu verwenden. Es war also nicht nur eine einzige Aufnahme. Sie haben versucht, es wieder zu verwenden. Als sie merkten, dass wir sie herausgezogen haben, haben sie die Kampagne noch einmal laufen lassen, um zu sehen, ob sie wieder reinkommen und versuchen können, uns zu überholen, wissen Sie. Also sind wir dem zuvorgekommen, indem wir einen schnellen Patch für die Live-Fortsetzung gemacht haben, die an dieser Aktion beteiligt war. Außerdem haben wir die DNS der Angreifer auf den Geräten selbst synchronisiert. Es gibt also eine ganze Reihe von Dingen, die wir getan haben, um dem entgegenzuwirken, aber wir haben es beobachtet und versucht. Sie haben nicht so leicht aufgegeben. Es war einfach etwas Besonderes. Aber um noch einmal darauf zurückzukommen, ich meine, offensichtlich hatten wir die erste Bug-Bounty-Aktion wie die Veröffentlichung. Und dann, vier Tage später, fand dieser Angriff statt. Oh, Entschuldigung. Wöchentlich, wir hatten den Angriff. Aber wir haben gemerkt, dass wir nie daran gedacht haben, dass das Bug Bounty etwas damit zu tun hat. Wir hielten es einfach für einen seltsamen Zufall. Als wir also begannen, nach dem Befehl zu suchen, der in der Telemetrie übrig geblieben war, haben wir eine ganze Reihe von Nachforschungen angestellt. Und glücklicherweise hatten wir Daten aus etwa drei Monaten, denn seltsamerweise bewahren unsere Produktmanager gerne Konfigurationsdaten auf, um herauszufinden, welche Funktionen genutzt werden und wie sie konfiguriert sind und solche Dinge. So können sie entscheiden, wie sie ihre Entwicklungsgelder in die verschiedenen Bereiche stecken wollen. Wir haben also all diese Konfigurationsdaten, die wir mit Splunk irgendwie auswerten konnten. Wir sind drei Monate lang zurückgegangen und haben festgestellt, dass ein bestimmtes Gerät in Chengdu, das diesen Befehl getestet hat, dieses Befehlsattribut etwa sechs Wochen vor dem gesamten Angriff hatte. Das Witzige daran war, dass wir feststellten, dass dies tatsächlich auf eine einzelne Person zurückzuführen war. Diese Person hatte sich eine Version von Sophos Firewall x g heruntergeladen und dann Artikel auf der Sophos-Website gelesen. Sie hatte sich für einen Forumsbenutzernamen registriert, um mehr über das Gerät zu erfahren. Und das taten sie mit einer wirklich guten Sicherheitslösung. Es war schwer, sie irgendwie zu fesseln. Aber was sie getan haben, ist, dass sie eine großartige Opsec hatten, also eine operative Sicherheit. Sie haben sich also sehr gut versteckt. Aber was sie getan haben, ist, dass sie sich bei der Registrierung des Geräts mit einer sehr anonymen E-Mail-Adresse angemeldet haben. Aber wenn sie das Gerät in seiner Konfiguration verwendeten, benutzten sie ihre eigene persönliche E-Mail-Adresse, die es uns ermöglichte, sie einer Person zuzuordnen. Wir haben also zunächst nur gesehen, dass dieses Gerät eine Art Geist mit echten anonymen E-Mail-Adressen und anderen Dingen ist. Und dann, als wir es genauer untersuchten, fanden wir schließlich diesen einzelnen Forscher. Das Coole daran war, dass er in Shizuang Silent lebte. Es gibt eine Reihe verschiedener Unternehmen in Chengdu, die irgendwie mit EPT Forty One und einigen anderen EPT-Gruppen verbunden sind. Shizuang Silent ist eine Art Randgruppe, aber Guan Tianfeng, der beteiligte Forscher, der diesen Exploit entwickelt hat und der in diesem Fall tatsächlich verwendet wurde, gehörte vermutlich zu dieser Firma. Er hatte bereits andere Exploits und andere Dinge in Newsgroups veröffentlicht. Es war also sehr einfach für uns, ihn mit der chinesischen Nexus-Kette in Verbindung zu bringen. Außerdem konnten wir feststellen, dass er häufig an externen Hackerwettbewerben teilgenommen hat. Und dann konnten wir einige seiner Partner mit anderen APT-Mitgliedern in Verbindung bringen, die sehr bekannt waren und von anderen Gruppen wie Recorded Feature und anderen veröffentlicht wurden. So erhielten wir ein wirklich klares Bild aufgrund seiner Online-Persönlichkeit, schätze ich. Sein persönlicher Online-Fußabdruck bedeutete, dass wir alles, was wir über ihn brauchten, finden konnten, wissen Sie. Es war also wirklich einfach, mit den Strafverfolgungsbehörden darüber zu sprechen und die beiden Teile miteinander zu verbinden. Greg, ich freue mich, Ihnen mitteilen zu können, dass wir heute einen besonderen Überraschungsgast in der Sendung ’Nein, ich mache nur Spaß’ haben. Er wollte sich uns anschließen, um diese Seite der Geschichte zu erzählen. Er freut sich sehr darüber. Ich würde ihn gerne befragen. Das würde doch Spaß machen, oder? Das wäre lustig, oder? - Ja. Ja, natürlich. Also, ja. Es endete dann mit einer Art FBI-Anklage, weißt du? Und es ging irgendwie noch viel weiter. Ich meine, wir fanden eine Menge Beweise für andere Anschläge, die er geplant und vorbereitet hatte, und das ging sehr weit. Das Tolle daran war, dass er die USA angegriffen hatte, und die US-Regierung war damals sehr dafür, Cyberkriminelle zu verfolgen und anzuklagen. Hätte er hingegen nur andere Länder angegriffen, hätten wir nicht annähernd so viel Zugkraft gehabt wie hier, da wir in der Lage waren, das Ganze öffentlich zu machen. Ich glaube, insgesamt hatten wir etwa sechs verschiedene Personen gefunden, aber dies war die einzige, über die wir öffentlich sprechen konnten, weil es die einzige war, die wir mit tatsächlichen Verbrechen in Verbindung bringen konnten, für die wir jemanden angeklagt haben. Also noch einmal, es war irgendwie super cool und, Sie wissen schon, es ist eine Art, ich schätze, eine kleine Ahnung von dem Hintergrund, den ich habe. Ich meine, alles in allem hatten wir bei der Pacific Rim-Kampagne etwa vierzig Vorfälle im Laufe von zwei Jahren. Ich glaube, das ist der Grund, warum ich Anfang vierzig und völlig grau bin. Ich habe einige Jahre lang sehr wenig geschlafen. Aber man kann das alles in der Projektmischung, Entschuldigung, den Projekten oder der Veröffentlichung der Pacific Rim-Kampagne nachlesen. Und, wissen Sie, ich muss Sophos wirklich dafür loben, dass sie es tatsächlich veröffentlicht haben und wirklich offen damit umgegangen sind. Es ist eine erstaunliche Geschichte. Danke, dass Sie das mit uns teilen. Und wir werden sie im Anschluss an diesen Bericht veröffentlichen. Wir werden diesen Bericht an alle weitergeben. Das ist eine faszinierende Lektüre. Wie wäre es, Craig, wenn wir, wenn Sie nicht länger bei diesem Thema bleiben wollen, vielleicht einen anderen Gang einlegen und über einige der Forschungsergebnisse des Advanced Threat Operations Team von Ontinue und einige der, Sie wissen schon, ich weiß, dass Rhys Downing vor kurzem über das Linux-C2-Framework geschrieben hat, das für den langfristigen Zugriff, die Bedrohung von Anmeldeinformationen, den Diebstahl und die Datenexfiltration verwendet wurde, und es wurde zumindest teilweise mit Hilfe eines LLM-Codierers geschrieben. Erzählen Sie uns etwas über die neuesten Forschungsergebnisse, vielleicht über dieses spezielle Thema oder über das, was Sie am meisten beschäftigt und begeistert. Ja. Sicher. Sicher. Also ja. Ich meine, Reese hat buchstäblich erst diese Woche etwas veröffentlicht. Ich empfehle Ihnen wirklich, unseren Blog zu abonnieren und, Sie wissen schon, unseren Blog im Auge zu behalten, aber wir sind sehr glücklich, dass wir weitermachen können. Wir haben ein Advanced Threat Ops Team, und wenn Sie Kunde bei uns sind, ist das Ihr Threat Hunting Team. Das sind also die Leute, die darüber nachdenken, welche neuen Techniken es gibt, was vor sich geht, und die auf der Grundlage dieser Taktiken eine Art breitere Bedrohungsjagd aufbauen. Also, Void Link ist eine super coole Sache. Reese hat einen hervorragenden Blog-Artikel über die Tiefe dieses Vorgangs geschrieben, aber im Grunde handelt es sich um eine verdeckte Einbruchskampagne, die sich vor allem durch den Zugriff auf die Identität auszeichnet. Es braucht also nicht viel Malware, aber es missbraucht effektiv Cloud-Workflows, um traditionelle Erkennungsmodelle zu umgehen. Der Schwerpunkt liegt also auf der Persistenz durch Identitätsmanipulation, Session Hijacking und Privilegien-Training für Microsoft-zentrierte Nachlässe. Aber ich meine, wir, ich meine, Reese hat herausgefunden, dass die Forscher jetzt KI einsetzen. Ich werde das trotzdem raten. Stimmt's? Aber sie nutzen KI, um neue C-2-Methoden und auch Vibe-Code-Tools zu kodieren. Plötzlich ist also die Einstiegshürde für viele Tools oder ganz extreme Tools gesunken. Früher musste man schon eine Art Elite-Hacker sein, um solche Tools zu entwickeln. Und jetzt sind es Tools wie Claud AI und andere. Es ist eigentlich für jeden, der eine Idee und etwas Inspiration hat, ziemlich zugänglich. Ich denke also, dass dies wirklich der Anfang einer ziemlich breit gefächerten Reihe von Tools ist, wissen Sie. Das ist offensichtlich jemand, der sich mit Cloud-Umgebungen auskennt und mit Hilfe von Clog ein Tool entwickelt hat, mit dem er diese ausnutzen kann. Es ist also ein wirklich cooler Artikel, wirklich ein cooler Artikel. Ich empfehle Ihnen wirklich, ihn zu lesen und Reeses Arbeit aufzugreifen. Wir haben eine Menge Feedback darauf bekommen, und er wurde diese Woche auch von einer Reihe von Publikationen aufgegriffen. Es gewinnt also wirklich an Zugkraft. Verstehen Sie? Ja. Ich werde das mit allen als Nachbereitung teilen. Und noch ein Hinweis: Halten Sie Ende des Monats Ausschau. Das Advanced Threat Operation Team wird seinen jährlichen Threat Intelligence Report veröffentlichen. Das ist der Bericht, den wir in den letzten Jahren herausgegeben haben, und er ist vollgestopft mit großartigen Informationen. Und ich bin mir sicher, dass wir über diese Lücke und andere Trends, die wir beobachten, sprechen werden. Und es macht sehr viel Sinn, dass man das wirklich in fast jedem Aspekt des Informationslebens sieht, diese Benutzerakzeptanz von Vibe Coding, wie Sie es ausdrücken, Craig, und es macht Sinn, dass die Bedrohungsakteure da auch keine Ausnahme machen. Um beim Thema KI zu bleiben: Sie, Sie, Sie und ich haben uns kürzlich unterhalten, und Sie haben sich begeistert darüber geäußert, wie das SOC KI einsetzt. Wir nutzen KI bei Ontinue schon seit langem, eigentlich seit wir ein Unternehmen sind. Aber im letzten Jahr haben wir Agentic AI eingesetzt, um die Untersuchung von Alarmen und Vorfällen anzureichern. Können Sie mir also ein wenig mehr darüber erzählen, was Sie sehen und wie wir anfangen, unseren Kunden etwas davon zu zeigen? Ja, natürlich. Sicher. Wie Sie bereits erwähnt haben, Chris, nutzen wir das System schon seit langem. Ich meine, wir waren wirklich im Zeitalter der agentenbasierten SecOps-Reise, schätze ich. Und das ist etwas, das mich schon immer sehr interessiert hat. Jetzt haben wir bei Ontinue das Glück, dass wir ein erstaunliches KI-Engineering-Team haben, das aus Forschern der ETH und Zürich besteht und sich wirklich mit der Materie auskennt. Sie sind in der Lage, das, was wir brauchen, in großartige KI-Workflows zu verwandeln, Sie wissen schon, in multiple agentische Systeme, die alle die neueste und am wenigsten verbreitete KI-Technologie nutzen. Eines der Dinge, die wir jetzt tun, ist, dass wir Wir sind Ich meine, natürlich, verwenden Sie dieses Ding in einem Tag und Tag für Tag Basis. Ich meine, das ist unser Gesamtmodell, wie es ist. In Wirklichkeit wird jeder einzelne Alarm, der bei unserem SOC eingeht, jetzt von der KI untersucht. Alles wird innerhalb von fünf Minuten erledigt, und wir führen täglich über fünfzigtausend Überprüfungen durch. Wir haben also einen Cyber-Agenten, der Prioritäten setzt, einen Plan erstellt, was er tun wird, und eine Untersuchung vorbereitet. Er geht tatsächlich durch und untersucht mit einer Reihe von Tools, die wir entwickelt haben. Sie kann also die Tools unserer Automatisierungsplattform kombinieren, um Fragen selbst zu beantworten. Sie kann dann ihre Antwort entwickeln und zusammenstellen. Und bis zu diesem Punkt produziert und kommuniziert es dann mit dem Analysten. Im Laufe der letzten anderthalb Jahre haben wir dies so weit verfeinert, dass wir in den nächsten zwei Wochen - VJ ist gerade zu uns gestoßen, er ist unser Produktmarketing-Manager - die Plattform an die Kunden bringen können. Wir können also das komplette Backend sehen, und ich werde es eintauchen und Ihnen das vielleicht in einer Sekunde zeigen. Aber wir werden auch für unsere Kunden eine Ansicht des gesamten Back-Ends bereitstellen. Das wird also in unserem Kundenportal verfügbar sein. So profitieren unsere Kunden bei jedem Vorfall, der über unser Portal eingeht, von den KI-Tools, die wir für jeden Vorfall einsetzen. Wir werden also eine vorläufige KI-Analyse durchführen und die Gedanken der KI zu diesem Vorfall durchgehen und Ihnen als Kunden unsere ersten Gedanken dazu mitteilen. Und dann wird jeder einzelne Alarm durch die Automatisierung und das SOC selbst weiterverfolgt, wissen Sie. Es ist also eine großartige Möglichkeit, Ihnen einen Einblick in das zu geben, was wir im SOC selbst in Bezug auf die KI sehen. Ich meine, es ist nicht ganz dasselbe wie unsere Gesamtbewertung der KI, die ich Ihnen gerne zeigen würde, Chris, wenn das möglich ist. Ja, bitte. Ich bitte Sie. Ja. Ich höre hier auf zu teilen, wenn Sie Ihren Bildschirm teilen wollen. Ja, das wäre toll. Das wäre toll. Hoffentlich können Sie meinen Bildschirm sehen. Hier ist ein kleiner Zwischenfall aus Monteneu. Ich hoffe, ihr könnt es alle sehen. Ja, klar. Verzeihung. Du bist jetzt da oben. Oh, perfekt. Klingt großartig. Hört sich gut an. Das ist es also, was wir haben. Das ist es also, womit unsere Cyberverteidiger jeden Tag arbeiten. Das ist ein Teil dessen, was uns wirklich einzigartig macht: Das ist unser Sofort-Untersuchungsbericht. Jeder einzelne Vorfall wird auf diese Weise angereichert. Es spielt keine Rolle, was es ist. Es spielt nicht einmal eine Rolle, ob wir diesen Alarmtyp noch nie gesehen haben. Unser System versteht nämlich Taxonomien. Wenn es sich also zum Beispiel um einen Alarm handelt, der mit der Identität verknüpft ist, versteht es, dass es sich dem Problem über den Weg der Identitätsuntersuchung nähern muss. Das Tolle daran ist, dass wir als Analysten die ersten Fakten darüber erhalten, was hier passiert ist, die Aufschlüsselung der beteiligten Bedrohungsdaten. Es gibt uns ein Situationsbewusstsein, das uns sagt, ob in dieser Umgebung schon einmal etwas passiert ist, ob es sich um eine Art True Positive oder Benign Positive handelt. Wir könnten sehen, dass dies sechsunddreißig Mal in dieser Umgebung passiert ist. Es ist ein gutartiges Positiv. Wir bekommen eine Vorstellung davon, was dieses Umfeld tatsächlich ausgelöst haben könnte. Und das basiert wirklich auf Dingen, die wir in der Vergangenheit in diesem Umfeld gesehen haben, auf dem, was wir den Modellen beigebracht haben, und auch auf Dingen, die unseren Analysten bekannt sind. Was wir dann haben, ist eine Art von KI-generierter Einschätzung dessen, was tatsächlich passiert ist und was hier passiert. Das Tolle daran ist, dass es sich nicht nur um eine Blackbox handelt, wenn wir nach unten scrollen. Wir finden also alle TI-Nachschlagewerke, die I I- und Automatisierungsnachschlagewerke und auch alle KI-Ausgaben, an denen wir irgendwie gearbeitet haben. Hier können wir zum Beispiel alle Ergebnisse sehen, alle Suchen und Dinge, die ausgeführt wurden. Und in diesem Fall ist es zum Beispiel eine Fähigkeit, die die Anmeldeversuche betrachtet. Wir sehen also alle Details zu den Anmeldeversuchen. Als Cyber-Verteidiger hier in Ontinue ist das ein wirklich privilegierter Ort, weil uns ein Großteil der Arbeit abgenommen und im Voraus erledigt wird. Da es sich nicht um eine Blackbox handelt, können wir alles sehen, was passiert, das Konto, ob es sich um einen Kontotyp handelt, ob es ein Link zu jemandem ist, zu der Person, die das getan hat, oder ob das System tatsächlich nachforscht und in jedem Teil tiefer gräbt, wissen Sie. Es ist also wirklich ein super cooles Teil. Für unsere Kunden, für Sie, zeigen wir im Aktivitätsprotokoll eine Sekunde an. Unsere vorläufige KI-Analyse. Also noch einmal, wir geben Ihnen das, was wir sehen, in einem sehr zusammengefassten Format, damit Sie auch schnell Ihre eigenen Entscheidungen treffen können. Wir haben mehrere Kunden, die es lieben, diese Dinge zu sehen und durchzugehen. Und es gibt Ihnen auch ein wirklich klares Beispiel dafür, wie wir denken und warum wir zu bestimmten Schlussfolgerungen gekommen sind, wissen Sie. Es ist eine Kombination aus unserer KI, die Nachforschungen anstellt, unseren menschlichen Analysten, und dazu kommen noch die bekannten Fakten. Wie ich Ihnen bereits gezeigt habe, können wir zum Beispiel anhand der Wahrscheinlichkeit, mit der diese Entitäten zuvor in unserer Umgebung auftraten, feststellen, ob etwas gutartig ist oder nicht. Es ist also ein wirklich cooler und privilegierter Ort, an dem wir unsere KI-Gesamtergebnisse sehen können, insbesondere die umfassenderen Berichte. Und dann sind die zusammengefassten Berichte ein wirklich cooler Nebeneffekt davon. Sie wissen schon? Craig, wir haben ein Data-Science-Team, das hauptsächlich in Bern in der Schweiz sitzt und von Theus Hossmann und Iris Safaka geleitet wird, für diejenigen, die es nicht wissen. Wie sieht die Feedbackschleife aus, und wie arbeiten Ihre Teams im SOC mit Theus und Iris und dem Team zusammen? Ja, es ist eine ständige Feedbackschleife, aber wenn sie effektiv ist, können wir ihnen ein Feedback wie dieses geben, und wir können dem Team sofort mitteilen, ob etwas gut ist oder nicht, und das wird in ihre Systeme eingespeist, und dieses Feedback wird aktualisiert und geändert. Es ist also eine ständige Feedbackschleife. Wir haben großes Glück. Außerdem haben wir jetzt einige Analysten, die sich mit KI beschäftigen. Ihre Hauptaufgabe besteht darin, diese KI-Berichte zu überprüfen und dem KI-Team Feedback zu geben. Das ist eine der besten Möglichkeiten, um sicherzustellen, dass wir uns ständig verbessern. Ja, ich finde das unglaublich. Wenn ein SOC-Analyst eine Warnung oder einen Vorfall in seiner Warteschlange hat, kommt er damit bereits angereichert und vorrecherchiert an, als hätte ein Tier-1- oder Tier-2-Analyst bereits drei Stunden damit verbracht, all diese Informationen zusammenzutragen und zu korrelieren, und zwar für ihn. Also ziemlich unglaublich. Und wir haben diese Agentic AI nun schon seit über einem Jahr im Einsatz. Und ich glaube, was wir in der Zeit, in der wir es eingeführt haben, gesehen haben, ist, dass wir die mittlere Reaktionszeit verkürzt haben, und jetzt sind wir an einem Punkt, an dem 99,5 Prozent der Alarme, die ausgelöst werden, gelöst werden, ohne dass sie jemals an einen Kunden eskaliert werden. Also ziemlich unglaublich. Fantastisch. Danke, dass Sie das mit uns teilen, Craig. Und ich möchte noch erwähnen, dass ich für Fragen und Antworten offen bin. Ich habe hier ein paar Fragen, die eingegangen sind und die ich beantworten kann. Aber ich möchte auch jeden, der Fragen hat, ermutigen, sich zu melden. Craig, meine erste Frage an Sie ist, dass Anthropic letzte Woche sein neues Cloud-Modell angekündigt hat, was bei vielen Softwareunternehmen zu einem Rückgang der Marktkapitalisierung um 300 Milliarden Dollar geführt hat. Was halten Sie davon? Welche Auswirkungen hat dies Ihrer Meinung nach auf Ihr Team? Ich meine, wir haben hier natürlich viel über KI gesprochen. Welche Auswirkungen sehen Sie darin in naher Zukunft für Ihr Team? Und wie wirkt sich das auch auf die Bedrohungslandschaft aus? Und vielleicht ist es ähnlich wie das, worüber Sie vorhin mit der Verbindung zur Leere gesprochen haben. Hey. Ich denke, ich denke, dass ich zuerst die Bedrohungslandschaft anspreche, ich meine, ich denke, dass diese Modelle tatsächlich einige von ihnen sind, ich meine, sie sollten einige Elemente des Schutzes haben, um Leute davon abzuhalten, so etwas zu produzieren. Es ist eigentlich leicht zu umgehen. Ich denke also, dass wir immer mehr mit KI angereicherte Malware sehen werden. Dieser Aspekt wird also nicht verschwinden. Was für uns besonders interessant ist, ist, dass wir plötzlich immer mehr cyberbewusste Modelle bekommen. Das Anthropic-Modell von letzter Woche zum Beispiel kann immer mehr Cyber-Funktionen einbinden. Das, was wir hier gemacht haben, wobei ich Ihnen vorhin gezeigt habe, dass es eine Reihe von Schlussfolgerungen gibt, was hier passiert sein könnte. Das ist wirklich schwer zu machen. Und dieses anthropische Modell kommt dem ein wenig näher und ich sehe diesen Aspekt irgendwie. Vielleicht ist es so, dass es die Hürde für den Zugang zu diesem Modell ein bisschen niedriger macht. Verstehst du? Hey, Craig. Wir haben jetzt auch eine Frage aus dem Publikum. Welche Auswirkungen haben diese KI-Funktionen von AgenTik? Ich denke, die Funktion, die Sie gerade für Ontinue-Kunden gezeigt haben. Gibt es eine Möglichkeit, mit diesen erweiterten Funktionen zu spielen? Ich bin immer auf der Suche nach Möglichkeiten, mit der neuen KI als Funktion zu spielen. Sicher. Wir werden Ihnen also in den nächsten zwei Wochen buchstäblich unser erstes KI-Material zur Verfügung stellen. Unsere vorläufige KI-Analyse. Das ist allerdings ein ziemlicher Brocken. Aber wir werden sie in den nächsten zwei Wochen buchstäblich in Betrieb nehmen. Aber Sie können mit Ihrem Cyber-Berater sprechen, und wir können es fast sofort einschalten, wenn Sie einen Blick darauf werfen wollen. Das ist überhaupt kein Problem. Sehr gut. Sehr gut. Ich danke Ihnen. Hoffentlich hat das jeder mitbekommen. Wenn Sie frühzeitigen Zugang wünschen, wenden Sie sich einfach an Ihren Cyber-Berater, und in den nächsten Wochen sollte jeder Zugang haben. Was die Auswirkungen betrifft, so wollen wir, dass Sie bis zu einem gewissen Grad sehen, was wir sehen. Es bietet Ihnen eine Art Bereicherung, die Sie sonst nur von einem anderen Tool eines Drittanbieters erhalten würden, das Sie kaufen müssten, aber wir bieten es als Teil des Dienstes an. Und ehrlich gesagt, ich halte es für einen großen Segen. Wissen Sie, ich denke, es ist eine wirklich nützliche Ergänzung zu Ihrem gesamten Tool und und und Produkt. Das ist es. Oh, und eine Folgefrage. Was ist mit der Automatisierung? Automatisierung. Nun, Sie sehen immer noch unsere Automatisierung. Ich meine, alle unsere Automatisierungen werden in unseren Aktivitätsprotokollen veröffentlicht. Wenn Sie also auf der Suche nach einer benutzerdefinierten Automatisierung sind, werden wir in diesem Jahr vielleicht schon bald einige Ankündigungen dazu machen. Also, ja, bleiben Sie dran. Großartig. Sehr gut. Sehr gut. Sehr gut. Ja, gut. Ich danke euch. Ich danke Ihnen für die Frage. Ich danke Ihnen für diese Frage. Und noch eine weitere Frage, bevor wir hier zum Schluss kommen. Wir haben darüber gesprochen, Craig, dass die Mitarbeiterbindung bei Ontinue ungewöhnlich hoch ist, insbesondere bei SOC. Wissen Sie, für einen Job, der in vielen Unternehmen eine Herausforderung sein kann, eine Art Plackerei, hat Ihr Team eine sechsundneunzigprozentige Bindungsrate, was unglaublich ist. Worauf führen Sie das zurück? Ja, darauf. Das ist eine gute Frage, um ehrlich zu sein. Ich denke, es ist eine Zahl. Ihre blendend brillante Führung, die in diesem Stil gut damit umgehen kann. Nun, ja. Ich danke Ihnen. Ich denke, in Wirklichkeit kommt es auf verschiedene Dinge an. Ich meine, es ist hier keine Plackerei. Wir haben Werkzeuge, die diese Dinge ziemlich, ich würde nicht sagen, einfach machen, aber sie machen das Leben ein wenig leichter. Wir hören auch wirklich auf unsere Analysten. Ihr Feedback zu den Tools, zur Automatisierung, zu den Ergebnissen, zu den Erkennungen - wir nehmen es auf. Ich glaube, wenn Sie ein unzuverlässiger Analytiker sind, haben Sie es schwer. Ich glaube, das ist bei vielen MSSPs ziemlich einzigartig. Wir haben unsere Teams auch in andere Projekte eingebunden. Sie arbeiten also nicht nur den ganzen Tag an Tickets. Sie befassen sich mit Dingen wie Detection Engineering, Automatisierung, Bedrohungsjagd. Wir haben natürlich auch unsere KI-Teams. Und, wissen Sie, einige von ihnen produzieren Feedback für diesen Sommer, indem sie sich Runbooks in unseren Automatisierungsstapeln anschauen. Wir haben eine Menge zu tun. Ich denke, das ist auch ein Teil davon. Das hält alles irgendwie interessant. Da wir hauptsächlich remote arbeiten, versuchen wir, unsere Teams zweimal im Jahr zusammenzubringen. Also unsere SOC-Teams in der Region. Unser europäisches Team hat sich zum Beispiel erst letzte Woche in Porto getroffen. Ich denke, das ist wirklich wichtig. Wissen Sie, wenn wir alle hauptsächlich an verschiedenen Orten arbeiten, hilft ein wenig Zusammengehörigkeit wirklich dabei, das Team aufzubauen und den Teamgeist zu stärken und so weiter. Ich glaube, solche kleinen Dinge tragen dazu bei, dass wir ein bisschen glücklicher sind. Und wissen Sie, wenn man glückliche Analysten hat, hat man auch stabile Analysten. Und wenn man dann stabile Analysten hat, wissen wir, dass wir nicht dieses Problem mit der Qualität und einer Menge neuer Analysten haben, die immer wieder neu reinkommen und jedes Mal massiv geschult werden müssen. Wissen Sie das? Wir sind, glaube ich, sehr privilegiert in dieser Position. Ja, das stimmt. Stimmt. Und wir brennen sie nicht aus, weil wir diesen "Follow the Sun"-Modell-Ansatz verfolgen, also sind sie Ja. Ganz genau. Das war mein anderer Punkt. Ich hatte natürlich gehofft, dass das offensichtlich ist. Ja. Ich meine, wir folgen nur der Sonne, also haben wir keine Analysten, die Nachtschichten arbeiten. Es sind nur Tage. Also übergibt Indien an Europa, das an Nordamerika und Kanada übergibt, zurück nach Indien, zu den Königen. So kommen wir in eine Situation, in der die Jungs quasi nur tagsüber arbeiten. Es ist also ein viel angenehmeres Arbeitsumfeld. Das ist gut. Das ist ausgezeichnet. Ausgezeichnet. Hey, Craig. Vielen Dank, dass Sie sich heute Zeit genommen haben. Wir werden hier abschließen, als Follow-up für alle. Wir werden die Aufzeichnung verteilen, so dass Sie später darauf zugreifen können. Und ich werde den Bericht über den Angriff auf den China Cyber Nexus von Craig und seiner Zeit bei Sophos verschicken. Wir werden auch den jüngsten Bericht von Rhys Downing über den VoidLink-Exploit veröffentlichen. Und halten Sie demnächst Ausschau nach Ankündigungen über einige der Automatisierungsfunktionen und die Nutzung einiger unserer AgenTic AI-Funktionen in Ihrer Umgebung. Nochmals vielen Dank an alle, die mitgemacht haben. Das war's dann auch schon. Und Craig, ich danke Ihnen nochmals, dass Sie sich heute die Zeit genommen haben.

Die Sicherheit ändert sich in der Regel nicht in sauberen, schrittweisen Schritten. Sie ändert sich in Momenten, die oft unangenehm sind, wenn die Verteidiger gezwungen sind, sich schneller anzupassen, als ihre Gegner erwarten.

Kürzlich in einem Kamingespräch, Craig Jones, leitender Sicherheitsbeauftragter bei Ontinue, teilte Geschichten und Erkenntnisse aus mehr als zwei Jahrzehnten im Sicherheitsbereich. Zu seinen Erfahrungen gehören das Aufspüren von staatlichen Angreifern, die Reaktion auf eine der größten Firewall-Kompromittierungskampagnen, die jemals beobachtet wurden, und der Aufbau eines KI-gesteuerten SOC, das für die heutige Bedrohungslandschaft entwickelt wurde.

Das Gespräch deckte ein breites Spektrum ab, aber drei Themen stachen deutlich hervor: wie moderne Angriffe wirklich ablaufen, warum Identität und Cloud jetzt die wichtigsten Schlachtfelder sind und wie KI, wenn sie richtig eingesetzt wird, Sicherheitsabläufe grundlegend verändern kann.

Nationalstaatliche Angriffe sind nicht laut, sie sind geduldig

Einer der eindrucksvollsten Teile von Craigs Geschichte stammt aus seiner Zeit, in der er chinesische Advanced Persistent Threat-Aktivitäten verfolgte, die auf Edge-Geräte abzielten.

Im Gegensatz zu der Hollywood-Version von Cyberangriffen waren diese Kampagnen nicht auffällig. Sie waren leise, wohlüberlegt und zutiefst strategisch.

Die Angreifer konzentrierten sich auf:

Langfristiger Zugang statt sofortiger Unterbrechung
Edge-Geräte, insbesondere Firewalls, als dauerhafte Standbeine
Auslesen von Zugangsdaten und Persistenz anstelle von destruktiver Malware

In einer Kampagne nutzten die Angreifer Zero-Day-Schwachstellen in der Firewall-Software aus und verschafften sich unbemerkt Zugang zu Zehntausenden von Geräten. Was die Aktivitäten letztlich aufdeckte, war kein dramatischer Alarm. Es war ein einzelnes, kleines Artefakt, das durch einen Tippfehler in einem Skript hinterlassen wurde.

Dieser winzige Fehler löste eine Reaktion aus, die sich zu einer der größten koordinierten Operationen dieser Art ausweitete. Die Bemühungen umfassten schnelle Infrastrukturänderungen, benutzerdefinierte Abhilfemaßnahmen und ständige Gegenmaßnahmen, während die Angreifer versuchten, sich wieder Zugang zu verschaffen.

Dies ist eine wichtige Lektion für moderne Verteidiger. Die gefährlichsten Angriffe von heute sehen oft langweilig aus, bis sie es nicht mehr sind.

Identität ist die neue Steuerungsebene

Als sich die Diskussion von historischen Kampagnen zu aktuellen Untersuchungen verlagerte, zeigte sich ein einheitliches Muster. Angreifer haben es zunehmend auf Identitäts- und Cloud-Workflows abgesehen und nicht auf herkömmliche Endpunkte.

Jüngste Bedrohungsforschung im Webinar erörterten Kampagnen hervorgehoben, die:

Minimale oder gar keine Malware verwenden
Missbrauch legitimer Cloud-Funktionen und Authentifizierungsabläufe
Persistieren durch Session-Hijacking, Token-Missbrauch und Privilegienmanipulation

Dieser Wandel erschwert die Erkennung. Wenn sich Angreifer in Cloud-Umgebungen normal verhalten, können herkömmliche indikatorbasierte Ansätze nur schwer mithalten.

Aus der Sicht des Verteidigers verändert dies das Spiel:

Sie können sich nicht allein auf Malware-Signaturen verlassen
Der Kontext zählt mehr als das Volumen
Untersuchungsgeschwindigkeit wird kritisch

An dieser Stelle kommt die KI ins Spiel.

Was agentenbasierte KI in einem modernen SOC tatsächlich leistet

KI im Sicherheitsbereich wird oft in abstrakten Begriffen diskutiert. Bei Ontinue ist sie einsatzbereit.

Craig beschrieb, wie Ontinue's SOC verwendet jetzt agentenbasierte KI um jeden Alarm, der in der Umgebung eingeht, automatisch, konsistent und innerhalb von Minuten zu untersuchen.

Statt als Blackbox zu fungieren, ist die KI:

Priorisierung von Warnmeldungen und Erstellung von Untersuchungsplänen
Sammelt Kontext aus Identitäts-, Endpunkt- und Cloud-Daten
Durchführung von Anreicherungen und historischen Analysen
Erzeugt eine transparente Bewertung, die von Analysten überprüft werden kann

Jede Warnung wird vorab untersucht, wobei Beweise, Argumente und unterstützende Daten bereits zusammengestellt sind. Menschliche Analysten konzentrieren sich auf das Urteilsvermögen und die Entscheidungsfindung und nicht auf die manuelle Datenerfassung.

Das Ergebnis sind schnellere Reaktionszeiten, weniger Falschmeldungen, die den Kunden erreichen, und Analysten, die Zeit für sinnvolle Aufgaben aufwenden können, anstatt sich mit der Triage zu beschäftigen.

Es geht nicht darum, dass die KI die Analysten ersetzt. Es ist KI, die die Arbeit erledigt, die Analysten nicht mehr machen sollten.

Artikel von

Craig Jones

Leiter der Sicherheitsabteilung

Craig Jones leitet das globale Netzwerk der Security Operations Center (SOCs) von Ontinue. Zu seinen Aufgaben gehören die Leitung und Optimierung der Teams, die für die Sicherheitsüberwachung, die Reaktion auf Vorfälle und die Erkennung von Bedrohungen in den vier SOCs des Unternehmens verantwortlich sind. Zuvor war Craig Jones Vice President of Security Operations bei Ontinue. Bevor er zu Ontinue kam, war Craig acht Jahre lang bei Sophos tätig, wo er zum Senior Director of Global Security Operations aufstieg. Bei Sophos war Craig für die operativen Aspekte des weltweiten Sicherheitsprogramms des Unternehmens verantwortlich und stellte sicher, dass die globale Sicherheitsinfrastruktur der Organisation robust und skalierbar war.

Craig ist ein angesehener Experte auf dem Gebiet der Cybersicherheit und verfügt über Zertifizierungen wie GCIH und CISSP. Er engagiert sich aktiv in der Cybersicherheits-Community, ist seit 2019 ehrenamtlich als Direktor von BSides Cymru/Wales tätig und hält regelmäßig Vorträge auf Branchenveranstaltungen. Seine Vordenkerrolle umfasst Themen wie Incident Response, SOC-Automatisierung, Threat Intelligence und SIEM. Craig hat einen Bachelor-Abschluss in Informationstechnologie von der University of South Wales.

Schlüsselwörter

Von nationalstaatlichen Bedrohungen zu agentenbasierter KI: Lektionen von der Frontlinie moderner Sicherheitsoperationen

Verwandte Artikel