Sophos

Andrea Gillhuber,

Warum KI-Agenten im SOC nicht dazulernen

KI-Agenten unterstützen Security Operations Center (SOC) bereits bei der Analyse von Sicherheitsvorfällen. Ein grundlegendes Problem bleibt jedoch bestehen: Den Systemen fehlt ein dauerhaftes Gedächtnis, um Erfahrungen zu speichern und für künftige Entscheidungen zu nutzen.

© Robert Kneschke/stock.adobe.com

Künstliche Intelligenz übernimmt in Security Operations Centern zunehmend Aufgaben wie die Analyse von Sicherheitsmeldungen, SIEM-Abfragen (Security Information and Event Management) oder die Ausführung automatisierter Playbooks. Nach Ansicht des Securityspezialisten Sophos fehlt den meisten KI-Agenten jedoch eine entscheidende Fähigkeit: Sie können frühere Erkenntnisse nicht dauerhaft speichern und für spätere Entscheidungen nutzen.

Fehlender Kontext erschwert Entscheidungen

Während erfahrene Sicherheitsanalysten frühere Vorfälle, Angriffsmuster oder bekannte Fehlalarme in ihre Bewertung einbeziehen, behandeln viele heutige KI-Systeme jeden neuen Vorfall isoliert. Frühere Bewertungen von IP-Adressen, wiederkehrende Nutzeraktivitäten oder bereits analysierte Angriffsmuster fließen nicht automatisch in neue Analysen ein. Dadurch gehen Erkenntnisse verloren, die bei der Einordnung neuer Sicherheitsereignisse hilfreich wären.

Als Lösungsansatz gilt unter anderem Retrieval-Augmented Generation (RAG), bei der Sprachmodelle auf externe Wissensquellen zugreifen. Allerdings macht diese Technik Informationen lediglich auffindbar, schafft aber kein dauerhaftes Erinnerungsvermögen.

Anzeige

Ein funktionierendes KI-Gedächtnis müsste unterschiedliche Wissensarten miteinander verbinden. Dazu zählen historische Incident-Daten, Informationen über die IT-Umgebung, frühere Bewertungen sowie deren zeitlicher und fachlicher Kontext. Erst dadurch könnten KI-Agenten wiederkehrende Muster erkennen oder Fehlalarme eigenständig identifizieren.

Forschung arbeitet an neuen Ansätzen

Untersucht werden derzeit verschiedene Konzepte, darunter Mechanismen zur Wissenskonsolidierung, dynamisch verknüpfte Wissensstrukturen und zeitbasierte Datenmodelle. Gleichzeitig entstehen neue Herausforderungen bei Themen wie Auditierbarkeit, Datenschutz und Compliance.

Insbesondere Anbieter von Managed Detection and Response (MDR) stehen vor der Frage, wie sich Erkenntnisse aus unterschiedlichen Kundenumgebungen nutzen lassen, ohne Datenschutzvorgaben zu verletzen.

Autonome SOC-Agenten bleiben Zukunftsthema

Der Securityspezialist kommt zu dem Schluss, dass viele heutige KI-Systeme eher hochentwickelte Automatisierungswerkzeuge als vollständig autonome Agenten sind. Sie beschleunigen Analysen und unterstützen Sicherheitsanalysten, verfügen jedoch bislang nicht über die Fähigkeit, nachhaltig aus eigenen Erfahrungen zu lernen.

  • Xing Icon
  • LinkedIn Icon
Anzeige
Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige

Illumio

Warum IT/OT-Grenzen neu gedacht werden müssen

Smart Factories verbinden Produktionsanlagen, Steuerungen und IT-Systeme über gemeinsame Netzwerke – eine Entwicklung, die die Effizienz zwar steigert, aber auch zusätzliche Angriffsflächen schafft. Um diese Risiken zu beherrschen, müssen...

mehr...
Anzeige

Axians

Fünf unbequeme Wahrheiten über OT‑Security

Firewalls kaufen kann jeder. OT-Security machen die wenigsten wirklich. Timmi Hopf, Business Development Manager OT Cybersecurity bei Axians, benennt in seinem Kommentar fünf unbequeme Wahrheiten aus der Praxis und erklärt, warum der erste Schritt...

mehr...

Parasoft

So entspricht Software der EU-Verordnung

Neue gesetzliche Vorgaben zur Cybersicherheit betreffen nahezu alle Anbieter digitaler Produkte im EU-Markt. Die Cyberresilienz-Verordnung definiert verbindliche Standards und Meldepflichten. Dieser Beitrag gibt einen strukturierten Überblick über...

mehr...
Anzeige
Anzeige
Anzeige
Jetzt Newsletter abonnieren