Sophos
Warum KI-Agenten im SOC nicht dazulernen
KI-Agenten unterstützen Security Operations Center (SOC) bereits bei der Analyse von Sicherheitsvorfällen. Ein grundlegendes Problem bleibt jedoch bestehen: Den Systemen fehlt ein dauerhaftes Gedächtnis, um Erfahrungen zu speichern und für künftige Entscheidungen zu nutzen.
Künstliche Intelligenz übernimmt in Security Operations Centern zunehmend Aufgaben wie die Analyse von Sicherheitsmeldungen, SIEM-Abfragen (Security Information and Event Management) oder die Ausführung automatisierter Playbooks. Nach Ansicht des Securityspezialisten Sophos fehlt den meisten KI-Agenten jedoch eine entscheidende Fähigkeit: Sie können frühere Erkenntnisse nicht dauerhaft speichern und für spätere Entscheidungen nutzen.
Fehlender Kontext erschwert Entscheidungen
Während erfahrene Sicherheitsanalysten frühere Vorfälle, Angriffsmuster oder bekannte Fehlalarme in ihre Bewertung einbeziehen, behandeln viele heutige KI-Systeme jeden neuen Vorfall isoliert. Frühere Bewertungen von IP-Adressen, wiederkehrende Nutzeraktivitäten oder bereits analysierte Angriffsmuster fließen nicht automatisch in neue Analysen ein. Dadurch gehen Erkenntnisse verloren, die bei der Einordnung neuer Sicherheitsereignisse hilfreich wären.
Als Lösungsansatz gilt unter anderem Retrieval-Augmented Generation (RAG), bei der Sprachmodelle auf externe Wissensquellen zugreifen. Allerdings macht diese Technik Informationen lediglich auffindbar, schafft aber kein dauerhaftes Erinnerungsvermögen.
Ein funktionierendes KI-Gedächtnis müsste unterschiedliche Wissensarten miteinander verbinden. Dazu zählen historische Incident-Daten, Informationen über die IT-Umgebung, frühere Bewertungen sowie deren zeitlicher und fachlicher Kontext. Erst dadurch könnten KI-Agenten wiederkehrende Muster erkennen oder Fehlalarme eigenständig identifizieren.
Forschung arbeitet an neuen Ansätzen
Untersucht werden derzeit verschiedene Konzepte, darunter Mechanismen zur Wissenskonsolidierung, dynamisch verknüpfte Wissensstrukturen und zeitbasierte Datenmodelle. Gleichzeitig entstehen neue Herausforderungen bei Themen wie Auditierbarkeit, Datenschutz und Compliance.
Insbesondere Anbieter von Managed Detection and Response (MDR) stehen vor der Frage, wie sich Erkenntnisse aus unterschiedlichen Kundenumgebungen nutzen lassen, ohne Datenschutzvorgaben zu verletzen.
Autonome SOC-Agenten bleiben Zukunftsthema
Der Securityspezialist kommt zu dem Schluss, dass viele heutige KI-Systeme eher hochentwickelte Automatisierungswerkzeuge als vollständig autonome Agenten sind. Sie beschleunigen Analysen und unterstützen Sicherheitsanalysten, verfügen jedoch bislang nicht über die Fähigkeit, nachhaltig aus eigenen Erfahrungen zu lernen.










