Die Integration generativer künstlicher Intelligenz in Cybersicherheitsprozesse löst sowohl Begeisterung als auch Bedenken aus. Einerseits versprechen die Anbieter 100 % autonome Security Operations Center (SOCs), die in der Lage sind, Angriffe ohne menschliches Eingreifen abzuwehren. Andererseits befürchten Informationssystemdirektoren (ISDs), die Kontrolle über ihre Infrastruktur zu verlieren.
Die zentrale Frage ist ethischer und betrieblicher Natur: Sollen wir KI einen Produktionsserver isolieren oder ein Verwaltungskonto selbst sperren lassen? Bei Akuity glauben wir an einen radikal anderen Ansatz: KI sollte kein blinder Autopilot sein, sondern einKopilotäußerst mächtig im Dienste der menschlichen Urteilskraft.
Die Gefahr der blinden Automatisierung (Autonomous SOAR)
Die Idee, die Reaktion auf Vorfälle vollständig von einem Algorithmus verwalten zu lassen (Autonomous SOAR), ist auf dem Papier attraktiv, da dadurch die MTTR auf Null reduziert wird. In der Realität von Geschäftsumgebungen (IT und OT) ist dieser Ansatz jedoch äußerst gefährlich.
Stellen wir uns vor, die KI erkennt ungewöhnliches Verhalten (eine algorithmische Anomalie) auf dem Arbeitsplatzrechner des Vorstandsvorsitzenden (CEO) kurz vor einer Spendenaktion oder auf einem Server, auf dem die Buchhaltungssoftware am Ende des Monats gehostet wird. Wenn SOAR im 100 % autonomen Modus konfiguriert ist, ordnet es ohne Bedenken die Netzwerkisolation der Maschine an und legt so einen kritischen Betrieb des Unternehmens lahm.
Wenn sich herausstellt, dass es sich bei der Anomalie um eine handeltfalsch positiv(z. B. ein neues legitimes Update, das von der IT bereitgestellt wird und Registrierungsschlüssel ändert), wird die KI mehr geschäftlichen Schaden verursacht haben (interner Denial-of-Service) als die Phantombedrohung, die sie blockieren sollte. Das Risiko einer Betriebsunterbrechung ist zu hoch.
Der Akuity-Ansatz: Der Mensch im Mittelpunkt, angetrieben durch KI
Die Akuity SOC-Philosophie basiert auf absoluter Ausgewogenheit:die Geschwindigkeit der Maschine zum Verstehen, die Weisheit des Menschen zum Entscheiden.In unserem Orchestrator hat die Google Gemini AI keinen Zugriff auf Korrekturschaltflächen. Es fungiert als virtueller Analyst der Stufe 3 (L3), der die Arbeit des Bedieners der Stufe 1 (L1) durchkaut und es ihm ermöglicht, in Sekundenschnelle eine fundierte Entscheidung zu treffen.
1. Synthese und Qualifizierung (KI erklärt)
Sobald eine komplexe Warnung von Microsoft Defender zurückkommt, übersetzt die KI die rohe JSON-Datei in natürliche Sprache. Es wird ein „doppelter Diskurs“ angewendet: ein detaillierter technischer Bericht und eine klare Zusammenfassung für die Comex. Wenn es der Meinung ist, dass die Warnung stark einem internen Wartungsskript ähnelt, fügt es das Abzeichen „Wahrscheinlich falsch positiv“ an, aberSie schließt das Ticket nicht alleine. Es ist Sache des Analysten, die Empfehlung zu lesen und zu validieren.
2. Kontextueller Chat (KI empfiehlt)
Die interaktive Untersuchung ist das Herzstück des Copilot-Ansatzes. Die Registerkarte „Diskussion“ (TicketChat.tsx) ermöglicht es dem Analytiker, sich mit Zwillingen zu unterhalten. Es kann Details zum Netzwerkverhalten abfragen oder die KI bitten, die Reputation einer IP-Adresse zu analysieren. KI stellt OSINT und technisches Fachwissen in Echtzeit bereit und erspart dem Analysten die Suche nach Antworten bei Google oder VirusTotal.
3. Strenge Validierung der Aktion (menschliche Ausführung)
Sobald der Zweifel beseitigt ist, ist es der Mensch, der seine Hand am Abzug hält. Um eine kritische Behebung auszulösen (z. B. das Isolieren eines Computers über Intune oder das Löschen von E-Mails auf dem Mandanten), erfordert das System nicht nur eine freiwillige Aktion des Analysten, sondern auch eine Sicherheitserhöhung.
Die Bestellung wird nur ausgeführt, wenn der Bediener seinen doppelten Authentifizierungscode (MFA) eingibt und damit eine Level-Sitzung validiertAAL2. Dieser Schritt bescheinigt (und verfolgt in den JSON-Prüfprotokollen für den SOC 2-Standard), dass der menschliche Eingriff bewusst, maßvoll und souverän war.
Fazit: Augmented statt Artificial Intelligence
Cyber-Analysten durch autonome Algorithmen zu ersetzen, ist eine gefährliche Utopie. Die eigentliche Innovation besteht darin, ihnen die lästige Arbeit zu ersparen (Lesen von JSON, Sammeln von Daten, Berichten), sodass sie sich auf kognitive Untersuchungen und Reaktionsstrategien konzentrieren können. Dies ist die Ära des KI-gestützten SOC.
Behalten Sie die Kontrolle und steigern Sie gleichzeitig Ihre Effizienz.> Entdecken Sie, wie das Modul funktioniertAkuity SOC-Untersuchungs- und Tötungsketteintegriert KI als echten Entscheidungs-Copiloten.