SecOps sind voller Lärm. Das ist für jeden, der an der Black Hat teilnimmt, keine Neuigkeit. Überraschender ist jedoch, dass ein Großteil des Rauschens von genau den Systemen erzeugt wird, die es reduzieren sollen. Den Erkennungen fehlt der Kontext. Warnungen häufen sich ohne Erklärung. Die Automatisierung gerät ins Stocken, weil niemand mehr dem Signal traut.
Trotz alledem bleibt das Ziel dasselbe: Sicherheitsteams zu helfen, sich auf das Wesentliche zu konzentrieren, und zwar schnell.
Die Branche hat echte Anstrengungen unternommen, um dieses Ziel zu erreichen. Wir haben mehr Protokolle, bessere Regeln, mehrschichtige Anreicherung und maschinelles Lernen eingeführt. Wir haben LLMs trainiert, Alerts zusammenzufassen. Wir haben Detection-as-Code eingeführt, um die Erkennungslogik zuverlässiger zu verwalten. Aber irgendwie kehren wir immer wieder zu demselben Problem zurück: Ist dieser Alert echt? Ist er von Bedeutung? Was soll ich als nächstes tun?
Die Erkennungslogik der meisten modernen Sicherheitstools basiert immer noch auf Ereignissen und nicht auf Entitäten – auf dem Zeitpunkt des Geschehenen und nicht auf dem Angreifer. In schnelllebigen Cloud-First-Umgebungen, in denen sich die Identitäten ständig ändern, ist dieser Ansatz nicht mehr zeitgemäß.
Deshalb werden wir auf der Black Hat 2025 an Stand Nr. 5812 zeigen, wie wichtig eine entitätszentrierte Erkennung ist.
Warum die herkömmliche Threat Detection ein neues Fundament braucht
Die herkömmliche Erkennungslogik wurde für eine andere Zeit entwickelt, als die Infrastrukturen statisch waren, die Benutzer von bekannten Standorten aus arbeiteten und die meisten Bedrohungen erkennbaren Signaturen folgten. In dieser Welt funktionierte die Ereigniskorrelation. Man musste nur genügend Protokollzeilen in einem engen Zeitfenster abgleichen, und schon konnte man in der Regel herausfinden, was passiert war.
Heutzutage sind Infrastrukturen jedoch flüchtig, Zugriffsmuster sind unvorhersehbar und Angreifer ahmen zunehmend legitimes Verhalten nach. Was in einem Kontext verdächtig ist, kann in einem anderen harmlos sein.
Ereigniszentrierte Modelle können diese Nuance nicht erkennen. Sie können sich nicht daran erinnern, was vorher war. Sie können nicht auf die Absicht schließen.
Und so müssen die Analysten zwischen verschiedenen Tools hin- und herwechseln, Signale manuell korrelieren und versuchen, aus einer Reihe unzusammenhängender Protokolle eine Erzählung zusammenzufügen.
Der derzeitige Stand der Sicherheit verlangt nach einer besseren Grundlage.
Entitätszentrierte Erkennung: ein intelligenteres Modell
Entitätszentrierte Erkennung basiert auf einem einfachen Prinzip: Das Risiko steckt im Akteur. Das umfasst Benutzer, Hosts, Service-Konten, Cloud-Workloads und alle anderen Einheiten, die Verhalten auslösen oder über Zugriffsrechte verfügen.
Anstatt bei isolierten Ereignissen auszulösen, erstellt und pflegt das Erkennungssystem ein Gedächtnis für jede Entität, um normale und riskante Muster zu erkennen und festzustellen, ob sich etwas verändert hat. Und wenn etwas von dieser Basislinie abweicht, schlägt das System Alarm und verbindet die Punkte, um den Vorfall richtig zu erklären.
Stellen Sie sich Folgendes vor: Ein Entwickler führt zum ersten Mal Systeminfo auf einem Host aus. Ein paar Minuten später greift er auf einen S3-Bucket zu, den er noch nie angerührt hat. Dann initiiert der Host eine abgehende Kommunikation zu einem unbekannten IP-Bereich.
Die traditionelle Erkennung würde möglicherweise drei separate Alerts erzeugen, die für sich genommen nur sehr wenig „Actionability“ besitzen. Analysten müssten die einzelnen Hinweise miteinander verknüpfen, um der Ursache auf den Grund zu gehen. Vielleicht tun sie das. Vielleicht auch nicht.
In einem entitätszentrierten Modell sind alle diese Aktivitäten miteinander verbunden. Das System weiß, dass es sich um denselben Benutzer handelt. Es sieht die Abweichung vom typischen Verhalten. Es versteht den Zeitrahmen. Es erhöht die Risikobewertung. Und es liefert ein einziges, zusammenhängendes Signal, das der Automatisierung genügend Kontext gibt, um ohne zu zögern Maßnahmen zu ergreifen.
Die entitätszentrierte Erkennung ergänzt und verbessert die folgenden Merkmale anderer Erkennungsmodelle.
- Die signaturbasierte Erkennung ist hervorragend geeignet, um bekannte Bedrohungen zu identifizieren. Aber sie ist brüchig. Eine Änderung in der Nutzlast oder eine Veränderung der TTPs, und sie versagt. Ist sie jedoch an eine Entität gebunden, gewinnt sie an Gedächtnis und Relevanz.
- UEBA brachte Verhaltenskontext in die Erkennung, aber zu oft in Blackbox-Implementierungen. Analysten konnten die Regeln nicht lesen, sie nicht anpassen und ihnen nicht vertrauen. Ein Entitätsmodell stellt die Erklärbarkeit wieder her.
- Ereigniskorrelation, wie sie in den meisten älteren SIEMs integriert ist, ist auch heute noch die Grundlage für die Erkennung, aber es fehlt ihr an langfristigem Bewusstsein. Sie sieht Muster, aber keine Eskalation. Zeitleisten sind hilfreich, aber nur, wenn sie an dauerhafte Akteure gebunden sind.
Die entitätszentrierte Erkennung ändert den Ort, an dem die Logik angesiedelt ist, und verankert alles in den Entitäten, die wirklich wichtig sind.
Das aktuelle Betriebsumfeld ist komplexer geworden. Cloud-Dienste werden in Minutenschnelle eingerichtet und wieder entfernt. Identitäten wechseln zwischen Anbietern und Regionen. Und Bedrohungen verstecken sich im normalen Verhalten.
Mit dieser veralteten Erkennungslogik verbringen Analysten zu viel Zeit mit der Bearbeitung irrelevanter Alarme, Automatisierungs-Engines bleiben ungenutzt, und SOCs arbeiten im reaktiven Modus, da ihre Tools den Kontext nicht verstehen.
Die entitätszentrierte Erkennung soll diese Lücke schließen.
Indem wir die Erkennungslogik in den Menschen, Hosts, Systemen und Diensten verankern, die tatsächlich ein Risiko tragen, verlagern wir uns von einer flachen, transaktionalen Erkennung zu etwas, das sich Dinge merkt und erklärt, wie und warum ein Risiko eingetreten ist.
Dieses Modell ist für moderne Unternehmen unerlässlich, denn der Preis dafür sind entgangene Bedrohungen, nicht funktionierende Automatisierung und ein Sicherheits-Stack, der sich nicht an das Tempo des Unternehmens anpassen kann.
Was Sie auf der Black Hat sehen werden
An unserem Stand führen wir Live-Szenarien mit der entitätszentrierten Detection Machine des Sumo Logic Cloud-SIEMs durch. Sie werden Folgendes sehen:
- Entity Tracking mit mehreren Identitätsanbietern und Telemetriequellen: Wir erfassen und verfolgen Benutzer, Hosts, Workloads und Servicekonten in Ihrer gesamten Umgebung, unabhängig davon, woher das Signal stammt.
- Rollierende 14-Tage-Verhaltensfenster: Jede Entität unterhält ihre eigene jüngste Aktivitätshistorie. Sie werden sehen, wie wir erkennen, was typisch ist, was selten ist und was eskaliert.
- Intelligente Signaldeduplizierung: Anstelle wiederholter Alarme für dasselbe Verhalten fassen wir verwandte Signale zu einer einzigen, aussagekräftigen Erkennung zusammen.
- Automatische, erklärbare Risikobewertung: Erkennungen werden nach Schweregrad, Seltenheit und Verhaltenskontext priorisiert, damit Sie sich auf das Wesentliche konzentrieren können.
- Verhaltenserkennungsregeln, die Analysten anpassen können: Sehen Sie, wie unsere Erkennungen auf einer klaren Logik und nicht auf Blackbox-KI beruhen.
- Zeitleisten und Beziehungsdiagramme: Beobachten Sie, wie sich vollständige Angriffspfade in Echtzeit entfalten, ohne zwischen den Registerkarten zu wechseln.
- Integrierte Automatisierung: Erkennungen mit hoher Wahrscheinlichkeit lösen sofort Playbooks aus, ohne dass ein Anreicherungsschritt erforderlich ist.
Sehen Sie sich das aktuelle Produkt an, das in Echtzeit auf reale Bedrohungen reagiert.
Die Zukunft gehört den Entitäten
Jeder Anbieter wird behaupten, sein System sei intelligenter, und jedes Tool wird behaupten, es sei schneller. Aber irgendwann müssen wir aufhören, das alte Modell zu optimieren, und anfangen, ein besseres zu entwickeln.
Die entitätszentrierte Erkennung bietet einen neueren, moderneren Ansatz zur Threat Detection. Sie reduziert das Rauschen, verknüpft alle Punkte und erkennt Bedrohungen, die tatsächlich von Bedeutung sind, so dass Analysten mehr Zeit haben, um zu reagieren.
Klingt interessant? Erleben Sie es live auf der Black Hat an Stand Nr. 5812.
