KI-Plattform automatisiert CTEM, Threat Intelligence und Remediation

Cybersecurity-Teams kämpfen nicht mehr nur gegen Angreifer, sondern gegen die Geschwindigkeit, mit der neue Schwachstellen, Kampagnen und Bedrohungsdaten entstehen. Genau hier setzt Filigran mit XTM One an. Die neue Plattform soll Continuous Threat Exposure Management erstmals über eine KI-native Agentenebene durchgängig automatisieren – von Threat Intelligence bis zur validierten Abwehrmaßnahme.

Das europäische Open-Source-Cybersecurity-Unternehmen Filigran stellt mit XTM One eine neue KI-native Plattform für Continuous Threat Exposure Management vor. Ziel ist es, Sicherheitsabteilungen dabei zu unterstützen, Bedrohungsinformationen, Angriffssimulationen und Remediation-Prozesse deutlich schneller und konsistenter zu verbinden.

XTM One erweitert die bestehende Filigran XTM-Plattform um eine spezialisierte KI-Orchestrierungsebene. Diese verbindet OpenCTI für Cyber Threat Intelligence und OpenAEV für Angriffsemulation und Validierung zu einem durchgängigen Workflow. Statt Bedrohungsdaten, Angriffsszenarien und Maßnahmenverfolgung manuell über verschiedene Werkzeuge hinweg zu koordinieren, sollen KI-Agenten diese Übergänge automatisiert übernehmen.

Damit adressiert Filigran ein zentrales Problem vieler Security-Teams: Die Menge an CVEs, Bedrohungsakteuren, Angriffskampagnen und Alerts wächst schneller, als Analystinnen und Analysten sie manuell priorisieren, prüfen und in konkrete Maßnahmen übersetzen können. XTM One soll diesen Prozess beschleunigen, ohne Transparenz und Kontrolle aus der Hand zu geben.

KI-Orchestrierung statt einzelner KI-Funktionen

Filigran positioniert XTM One nicht als zusätzliche KI-Funktion innerhalb eines bestehenden Tools, sondern als übergreifende Agentenebene für das Bedrohungsmanagement. Die Plattform koordiniert KI-Agenten produktübergreifend und automatisiert Abläufe über den gesamten CTEM-Lebenszyklus hinweg.

„Das Volumen an CVEs, Bedrohungsakteuren und Angriffskampagnen hat ein Ausmaß erreicht, das kein menschliches Team manuell bewältigen kann“, sagt Julien Richard, Mitgründer von Filigran . „XTM One ist keine KI als Funktion, sondern KI als Betriebssystem für das Bedrohungsmanagement. Damit wollen wir Sicherheitsteams Automatisierung bieten, die ihre Fähigkeiten erweitert und ihrer Arbeitsweise gerecht wird.“

Zu den automatisierten Workflows gehören unter anderem:

• Erfassung und Anreicherung von Cyber-Threat-Intelligence-Daten
• Zusammenfassung und Reporting zu aktuellen Bedrohungen
• Erstellung und Validierung von Angriffsszenarien
• Priorisierung und Anleitung zur Behebung von Schwachstellen
• Aufbau von Dashboards für Exposure Management und Risikoreduktion

Die Agenten sollen miteinander interagieren und einen kontinuierlichen Kreislauf schaffen: von Rohdaten aus der Threat Intelligence über die Bewertung der Ausnutzbarkeit bis hin zur Validierung konkreter Abwehrmaßnahmen.

Schnellere Reaktion auf Bedrohungen und weniger Aufwand für Tests

Nach Angaben von Filigran zeigen erste Plattform-Benchmarks deutliche Effizienzgewinne. Unternehmen, die die XTM-Plattform einsetzen, konnten demnach ihre Zyklen bei Bedrohungserkennung und Reaktion um bis zu 70 Prozent beschleunigen. Die Vorbereitungszeit für offensive Sicherheitstests wurde laut Filigran um bis zu 80 Prozent reduziert.

Für Security Operations Center, CTI-Teams und Verantwortliche im Schwachstellenmanagement könnte diese Automatisierung besonders relevant werden. Denn CTEM verlangt nicht nur die Identifikation von Risiken, sondern auch deren kontinuierliche Validierung und Priorisierung im Kontext realer Angriffspfade.

Melinda Marks, Cybersecurity Practice Director bei Omdia, sieht in agentenbasierter KI-Orchestrierung einen notwendigen Schritt für die Skalierung von CTEM. Wenn Bedrohungen schneller wachsen, als Menschen auf Alerts reagieren können, geraten Security-Teams bei der Optimierung von Remediation-Maßnahmen zunehmend an Grenzen. Eine automatisierte Aufbereitung von Kontext für Threat Intelligence und Gegenmaßnahmen könne deshalb Geschwindigkeit, Transparenz und evidenzbasierte Risikoreduktion zusammenbringen.

Natürliche Sprache soll Einstiegshürden senken

Ein weiterer Schwerpunkt von XTM One liegt auf der Interaktion in natürlicher Sprache. Damit will Filigran fortschrittliches Bedrohungsmanagement auch für Teams zugänglicher machen, die nicht über große Spezialistenteams verfügen.

„Das größte Hindernis für die Einführung von Threat Intelligence war schon immer die Komplexität“, sagt Jean-Philippe Salles, VP of Product Management bei Filigran. „XTM One macht fortschrittliches Bedrohungsmanagement durch Interaktion in natürlicher Sprache für mehr Teams zugänglich. Nachwuchskräfte können schneller produktiv werden, während erfahrene Fachleute von Automatisierungen profitieren, die redundante Arbeiten überflüssig machen.“

Gerade in Organisationen mit begrenzten Ressourcen könnte dieser Ansatz die Time-to-Value verkürzen. Analysten müssen weniger Zeit mit manueller Datenaufbereitung, Tool-Wechseln und wiederkehrender Dokumentation verbringen und können sich stärker auf Bewertung, Entscheidung und Umsetzung konzentrieren.

Modellflexibilität, On-Premise-Betrieb und Datenhoheit

Filigran betont, dass XTM One auf Anpassbarkeit und Kontrolle ausgelegt ist. Unternehmen können eigene Agenten, Workflows, Fähigkeiten und Integrationen erstellen und bereitstellen. Über Bring Your Own LLM können sie entweder von Filigran angebotene Modelle nutzen oder eigene Sprachmodelle einbinden.

Besonders für regulierte Branchen, Behörden und kritische Infrastrukturen ist zudem die On-Premise-Bereitstellung relevant. Sensible Sicherheitsdaten können damit innerhalb der eigenen Infrastruktur verarbeitet werden. Das adressiert zentrale Anforderungen an Datenschutz, Compliance und Datenhoheit beim Einsatz von KI in der Cybersicherheit.

Karine Peters, Managing Director bei T.Capital, sieht Filigran damit in einer starken Marktposition. Der KI-basierte Ansatz für Extended Threat Management in Kombination mit einer aktiven Open-Source-Community könne dazu beitragen, Threat Intelligence auf Unternehmensebene skalierbarer umzusetzen.

Verfügbarkeit von XTM One

XTM One wird in drei Stufen angeboten. Bestandskunden der Enterprise Edition von OpenCTI oder OpenAEV erhalten ohne zusätzliche Kosten ein integriertes Paket vorgefertigter KI-Agenten, ein Nutzungskontingent sowie BYOLLM-Unterstützung.

Unternehmen mit erweiterten Anforderungen können XTM One separat lizenzieren. Dazu gehören Funktionen wie benutzerdefinierte Agenten, Workflow-Orchestrierung, MCP-Integrationen und Premium-Modellpakete.

Zusätzlich stellt Filigran einen eigenständigen, kostenlosen Open-Source-MCP-Server bereit. Damit können Unternehmen Filigran-Produkte unabhängig von ihrer Lizenzstufe in eigene KI-Architekturen integrieren.

Einordnung: Warum XTM One für CTEM wichtig ist

Mit XTM One verschiebt Filigran den Fokus von punktueller Sicherheitsautomatisierung hin zu einem agentenbasierten Betriebssystem für Exposure Management. Für Unternehmen, die Cyber Threat Intelligence, Angriffssimulation und Schwachstellenbehebung enger verzahnen wollen, könnte die Plattform ein wichtiger Baustein werden.

Entscheidend wird sein, wie gut sich die KI-Agenten in bestehende Sicherheitsprozesse integrieren lassen und wie transparent ihre Entscheidungen nachvollziehbar bleiben. Gelingt das, könnte XTM One dazu beitragen, CTEM von einem anspruchsvollen Framework zu einem praktisch skalierbaren Betriebsmodell für moderne Cyberabwehr zu machen.