Für die initiale Erkennung und Bewertung von Sicherheitsereignissen werden Netzwerk-Anomalie-Erkennungslösungen auf Basis Künstlicher Intelligenz (KI) und Machine Learning (ML) eingesetzt, die gleichzeitig auch als Input für SIEM-Systeme genutzt werden. Ziel dabei ist es, getarnte Angriffe zeitnah zu erkennen und sicher erkannte Angriffe möglichst zu verhindern. Automatisierungsprozesse unterstützen uns dabei, für jeden Kunden eine Knowledge Base aufzubauen, in der die Besonderheiten seiner IT-Infrastruktur festgehalten werden, die eventuell Falschmeldungen generieren können. Die Falschmeldungen werden dann automatisiert verarbeitet. So können sich die Controlware SOC-Analysten auf tatsächlich relevante Ereignisse konzentrieren.

Dennoch kann es passieren, dass trotz Automatisierung Fehlalarme aufschlagen. Hersteller von Sicherheitslösungen haben in den Bereichen KI und ML erhebliche Fortschritte gemacht, um Angriffe zu erkennen. Den Algorithmen fehlt leider noch allgemeines Grundverständnis für den Kontext. Zwar kann ein Algorithmus beispielsweise erkennen, ob eine E-Mail typische Eigenschaften eines Phishing-Angriffs besitzt, aber nur ein menschlicher Analyst versteht, dass die E-Mail eigentlich nur ein Vorwand zum Stehlen von Zugangsdaten darstellt.
 
Der Controlware Cyber Defense Service dient der Reduzierung der Alarme auf wenige relevante Meldungen, die durch Analysten bewertet und priorisiert wurden – mit dem Ziel, den Sachverhalt objektiv einzuschätzen und klare Handlungsempfehlungen zu geben.

• Erkennung von Malware und Anomalien im Netzwerk durch KI-unterstützte Technologien
• Kontext-Analyse in Verbindung mit ALA möglich
• Konkrete Handlungsempfehlung
• Sofortiger Schutz vor Cyber-Attacken über E-Mail