Blick in ein Security Operation Center SOC (Bild: aDvens)

Die Bedeutung des Einsatzes von Large Language Models (LLMs) im Bereich Security Operations Center (SOC) steigt im neuen Jahr weiter an, wie die Cybersecurity-Spezialistin aDvens in ihrem Security-Outlook betont. LLMs sind eine Art der künstlichen Intelligenz (KI), die durch Machine Learning in der Lage sind, Textinhalte zu verstehen und zu generieren. Angewendet wird KI in modernen SOCs schon lange, insbesondere wenn es um das Identifizieren von potenziellen Bedrohungen geht.

Die Aufgabe eines Security Operations Center (SOC) besteht im Wesentlichen darin, sicherheitsrelevante Vorfälle in einem Netzwerk oder System in Echtzeit zu identifizieren, zu analysieren und zu beheben. Für diesen Prozess muss eine gewisse Flexibilität gegeben sein – die Experten im SOC müssen sich dynamisch an verschiedene Fälle und Situationen anpassen. Gleichzeitig beginnt ein Wettlauf gegen die Zeit, wenn ein sicherheitsrelevanter Vorfall identifiziert wird. Es muss eine grosse Menge an Informationen verarbeitet und analysiert werden, um festzustellen, ob es sich um eine tatsächliche Bedrohung handelt oder nicht.

"LLMs sind die Scouts im SOC. Bei einem potenziellen Vorfall dienen sie dazu, alle möglichen Eventualitäten abzubilden und die ersten Schritte hin zu verschiedenen Erklärungsansätzen zu erarbeiten. Im nächsten Schritt entscheiden dann die menschlichen Experten, welcher dieser Ansätze verfolgt werden soll", sagt Arthur Tondereau, Data Scientist bei aDvens.

Das Besondere an LLMs ist, dass sie natürliche Sprache verstehen und in Maschinensprache übersetzen können. Beispielsweise können die Experten im SOC die simple Frage "Was geschah eine Stunde vor dem Vorfall X?" stellen, worauf ein LLM über Schnittstellen zu anderen SOC-Tools die gewünschten Informationen einholt und verständlich zusammenfasst. Die Reaktionszeit auf Vorfälle verkürzt sich auf diese Weise signifikant.

Dieser Effizienzgewinn fällt noch einmal grösser aus, wenn die LLMs zu KI-agentenähnlichen Lösungen weiterentwickelt werden. Dabei handelt es sich um LLMs, die darauf trainiert werden, entsprechend den individuellen Anforderungen der Experten eine bestimmte Aufgabe zu erfüllen, zum Beispiel über eine Schnittstelle mit dem Log-Analyse-Tool oder der Wissensdatenbank des SOC. Das LLM bzw. der KI-Agent wird damit zu einem wichtigen Teil des SOC-Werkzeugkastens zum Identifizieren, Analysieren und Beheben von potenziellen Bedrohungen.

Gleichzeitig sind LLMs gemäss aDvens jedoch nach wie vor ein Werkzeug, das die menschliche Expertise nicht ersetzen sollte und nicht ersetzen kann. Standardmässig seien LLMs nämlich darauf ausgelegt, eine Antwort geben zu müssen, "koste es, was es wolle", und werden deshalb im Zweifelsfall eine entsprechende Information erfinden – das "Halluzinieren", das auch beispielsweise bei ChatGPT bekannt ist. Um dies zu verhindern, brauche es einerseits Leitplanken: SOC-Teams könnten Sicherheitsschleifen in den Prozess integrieren, die sicherstellen, dass Informationen und Quellenangaben systematisch auf inhaltliche Korrektheit überprüft werden. Dafür müsse in jeder Phase des Prozesses Transparenz gewährleistet werden. Jede Anfrage müsse für die Experten einsehbar sein, genau wie die Argumentation und Herleitungen der LLMs. Und nicht zuletzt brauche es deshalb weiterhin menschliche SOC-Mitarbeiterinnen und -Mitarbeiter, denn nur Teams mit der notwendigen Expertise könnten überprüfen, ob die vom LLM gelieferten Informationen korrekt seien.

Mit der zunehmenden Integration von LLMs in SOCs sind auch regulatorische Aspekte zu berücksichtigen, betont aDvens. So würden mit dem AI Act der Europäischen Union in Zukunft SOCs, die kritische Infrastruktur überwachen, auch selbst als kritische Infrastrukturen gelten – und müssten damit entsprechend geschützt werden. Diese Sicherheitsanforderungen gelten dann auch für die im SOC genutzten LLMs, gerade auch weil LLMs wie jedes andere System Schwachstellen haben, die von Angreifern gezielt ins Visier genommen werden können. Ein Beispiel dafür wäre eine Prompt Injection, die das LLM dazu zwingt, verdächtige Aktivitäten zu ignorieren.

Auf lange Sicht werde die Nutzung von LLMs für SOC-Anbieter unabdinglich werden, um den Anforderungen ihrer Kunden zu entsprechen, betont aDvens. Damit liege es jedoch auch in der Verantwortung jedes einzelnen Anbieters, in ihren SOCs die notwendigen Rahmenbedingungen zu schaffen, um LLMs produktivitätssteigernd, sicher und allen relevanten Vorschriften entsprechend zu integrieren, sodass sie ihre Experten-Teams bestmöglich unterstützen könnten.