Schwerpunkte

KI-gestützter Schutz

Sicherheit ohne Korsett

01. September 2021, 14:30 Uhr   |  Autor: Bernd Mährlein / Redaktion: Diana Künstler | Kommentar(e)

Sicherheit ohne Korsett
© Norbert Preiss, funkschau

Aufgrund der Erfahrungen aus dem Lockdown treiben viele Unternehmen ihre Digitale Transformation mit Nachdruck voran. Ein übergreifendes Cloud-Management ist dabei aber nur teilweise sichtbar – und das kann insbesondere hinsichtlich Sicherheit und Compliance gravierende Folgen haben.

Im Verlauf der letzten Monate haben viele Unternehmen ihre Digitale Transformation beschleunigt, um die Resilienz kritischer Prozesse zu steigern und flexibler auf unvorhersehbare Situationen reagieren zu können. In einer IDC-Studie aus dem Juni 2020 gaben bereits 87 Prozent der befragten deutschen Unternehmen an, multi-ple Public-Cloud-Ressourcen zu nutzen. Gartner prognostiziert, dass 75 Prozent der mittleren und großen Unternehmen ab 2021 Multi Clouds einsetzen. Eine Reihe von Gründen befeuert diesen Trend, darunter die Vermeidung von Anbieterabhängigkeiten, die optimierte Kombination verschiedener Cloud Services und der erweiterte Schutz vor Betriebsstörungen durch Segmentierung und Redundanzen.

Multi Clouds verschärfen vorhandene Probleme

Multi Cloud, IDC
© Cloud in Deutschland 2020+, IDC

IDC beobachtet, dass die Entwicklung unaufhaltsam in Richtung von Multi Clouds geht. Immer mehr Unternehmen nutzen unterschiedliche Cloud-Typen beziehungsweise die Services verschiedener Cloud-Anbieter. 87 Prozent der Teilnehmer einer IDC-Umfrage geben an, Multi-Cloud-Umgebungen zu betreiben oder deren Betrieb zu planen. Es stehe damit laut den IDC-Experten außer Frage, dass sich die Multi-Cloud zum dominierenden Modell entwickeln werde. Jedes Unternehmen sei gut beraten, sich das Know-how für Multi-Cloud-Management aufzubauen.

Mit der schnellen Verbreitung von Multi-Cloud-Umgebungen tritt nun aber immer deutlicher ein Problem hervor, das sich schon in einfacheren Public-Cloud-Umgebungen abgezeichnet hat: Die Komplexität der Sicherheit kann mit herkömmlichen Methoden nur bedingt beherrscht werden. Eine Reihe von Faktoren ist dafür verantwortlich, dass Unternehmen aktuell einen Point of no Return erreichen:

  • Interdependenzen: Multi-Cloud-Komponenten sind auf vielfältige Weise miteinander verbunden, sodass sich die Angriffsoberfläche vergrößert und Vektoren kaum nachvollzogen werden können.
  • Sichtbarkeit: Isolierte Punktlösungen führen zu Informationssilos und haben einen zu begrenzten Blickwinkel. Events werden nicht übergreifend erfasst und im Kontext bewertet. Das führt zu einer Flut von Alarmen ohne sinnvolle Priorisierung.
  • Regel-Fixierung: Statische Regelsets können nicht mit dynamischen Cloud-Umgebungen und DevOps-Prozessen Schritt halten. Viele Cloud-Bedrohungen lassen sich durch Regeln nur unzureichend erfassen.
  • Fachkräftemangel: Spezialisierte Fachkräfte sind kaum verfügbar und Know-how muss in immer kürzeren Zyklen erneuert werden.

Regel- und signaturbasierte Sicherheitslösungen haben sich in traditionellen IT-Umgebungen mit klar abgesteckten Perimetern und langfristigen Change-Prozessen bewährt. Die Übertragung der bekannten Konzepte auf Cloud-Umgebungen stößt nun aber an Grenzen: Die Definition granularer Regeln für alle Aspekte von Multi-Cloud-Umgebungen verursacht große Aufwände und ist aufgrund der Dynamik nie abgeschlossen. Ein Beispiel: Mit „Cloud Formation“ können Entwickler in AWS Infrastrukturressourcen bereitstellen und verwalten, vergleichbare Services sind der „Azure Resource Manager“ und der „Google Cloud Deployment Manager“. Wenn nun gewährleistet werden soll, dass die Ausführung der Build Skripts in allen drei Clouds immer den aktuellen Sicherheitsregeln des Unternehmens entspricht, so verdreifacht sich der Aufwand. Um False Positives zu vermeiden, werden Regeln zudem meist für eindeutig definierte Bedrohungsszenarien geschrieben, was die Effektivität bei neuen Bedrohungen limitiert und bestimmte Risiken kaum erfassen kann, zum Beispiel den Datenabfluss bei Zweckentfremdung legitimer Login Credentials.

Hinzu kommen architekturbedingte blinde Flecken herkömmlicher Sicherheitsansätze, die sich nicht ohne Weiteres kompensieren lassen. In containerisierten Umgebungen können Network-Intrusion-Detection-Systeme zum Beispiel eingesetzt werden, um den ein- und ausgehenden Datenverkehr zu AWS-EC2-Instanzen zu überwachen, aber meist bleibt dabei der Datenverkehr zwischen Containern auf derselben EC2-Instanz unsichtbar. Ein weiteres Problem für die Sichtbarkeit sind Microservices, Data Caches und temporäre IP-Adressen, die nur wenige Minuten aktiv sind und dann gelöscht werden. Alle Aktivitäten, die nicht in dieser kurzen Zeit erfasst werden, sind für Sicherheitsanalysen verloren.

Verhaltens- statt regelbasierte Sicherheit

Cloud, Security, Komplexität
© Norbert Preiss, funkschau

IT-Infrastrukturen haben sich durch Hybrid und Multi Clouds, Container oder Serverless Computing innerhalb kürzester Zeit grundlegend gewandelt – und ein Ende der Entwicklung ist nicht in Sicht. Um sich diesem Tempo anzupassen, muss die Sicherheit selbst so dynamisch wie die Cloud werden. KI-gestützte Methoden tragen dazu bei, Anomalien und Bedrohungen zu identifizieren.

Für Unternehmen ist absehbar, dass sich die Spirale der Komplexität weiterdrehen wird und selbst bei maximalem Einsatz nicht mit vorhandenen Ressourcen abgefedert werden kann. Strategien für langfristige Multi-Cloud-Sicherheit sollten sich daher an den folgenden zwei Prämissen orientieren:

  1. Umfassend: Ausnahmslos jede Komponente und Aktivität in der Multi Cloud sollte zentral überwacht werden, damit Angreifer kein Schlupfloch finden und eine konsolidierte Reaktion auf akute Bedrohungen möglich ist.
  2. Automatisch: Bei einer umfassenden Überwachung der Multi Cloud fallen gigantische Datenmengen an, die nur automatisiert ausgewertet werden können. Manuelle Eingriffe durch Regeln und Log-Auswertungen gilt es zu eliminieren.

Um diese beiden Ziele zu erreichen, ist ein verhaltensbasierter Ansatz erforderlich, der zunächst selbstständig per Machine Learning und Künstlicher Intelligenz den Normalzustand der Aktivitäten in der Multi Cloud erkennt. Vor dem Hintergrund dieser Baseline können dann riskante Anomalien mit hoher Genauigkeit identifiziert werden, sodass sich die Anzahl der False Positives auch bei bislang unbekannten Bedrohungen reduziert. Die Notwendigkeit zur vorgreifenden Regel-Definition und fortlaufenden Pflege entfällt vollständig.

Seite 1 von 2

1. Sicherheit ohne Korsett
2. Konzentration auf Prozesse

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Cloud