KI-gestützter Schutz

Sicherheit ohne Korsett

1. September 2021, 14:30 Uhr | Autor: Bernd Mährlein / Redaktion: Diana Künstler | Kommentar(e)

Fortsetzung des Artikels von Teil 1

Konzentration auf Prozesse

Zur Etablierung einer temporalen Baseline konzentriert sich eine Cloud-native Sicherheitslösung idealerweise auf die Prozesse im Cloud-Rechenzentrum. Prozesse sind in diesem Kontext die kleinstmögliche vom Betriebssystem unterstützte Einheit. Jede Applikation hat dabei verschiedene Prozesse, die nicht zwischen unterschiedlichen Applikationen gemischt werden. Mehrere Faktoren machen Prozesse zur optimalen Analyseeinheit. Da wäre zum einen die Validierbarkeit: Jeder Prozess ist mit einer bestimmten Binärdatei verbunden, die einen spezifischen Hash hat. Des Weiteren gibt es die Nachverfolgbarkeit: Prozesse werden von Anwendern, Applikationen oder anderen Prozessen gestartet. Diese Startumstände können nachverfolgt werden. Die Vorhersagbarkeit ist gegeben, da Prozesse ganz bestimmte Command Lines, Zwecke und Lebenszyklen haben. Und schließlich die Unumgänglichkeit: Prozesse sind verantwortlich für die gesamte Kommunikation. Nur Prozesse sprechen miteinander und mit externen Hosts im Internet.

Auf Grundlage dieses KI-gestützten Technologieansatzes können alle Interaktionen zwischen Prozessen in Echtzeit erfasst werden, auch wenn sie innerhalb derselben Datei stattfinden. Das Monitoring lässt sich dabei auf Prozesshierachien, Prozesse/Machine-Kommunikation, Änderungen an Anwender-Privilegien, interne und externe Datentransfers und alle anderen Cloud-Aktivitäten ausrichten. Durch die Fokussierung auf das Verhalten von Prozessen und Applikationen wird der Blick auf das Gesamtbild nicht mehr durch fragmentierte Detailinformationen verstellt: Stopp und Neustart von VMs und Prozessen, ein A-B-Failover oder sogar der Start einer Applikation in einem neuen Cloud-Account ändern nichts am Verhalten der Applikation. Mehre Millionen Vorgänge in einem Cloud-Rechenzentrum lassen sich so zu einer „Karte der Normalität“ kondensieren.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Veränderliche Natur der Cloud

Die Identifikation von Anomalien anhand eines fortlaufend aktualisierten Normalzustandes entspricht der veränderlichen Natur von Cloud-Umgebungen. Viele Aktivitäten, die sich mit Regeln nur schwer erfassen lassen, können somit im Kontext bewertet werden, darunter der Ab- oder Zufluss ungewöhnlicher Datenmengen, unerwartete Verbindungen von Applikationen oder jedes auffällige Anwenderverhalten. Regelbasierte Sicherheit kann zum Beispiel kaum erkennen, wer sich hinter legitimen Anwender-Credentials verbirgt. Verhaltensbasierte Sicherheit wird hingegen Alarm schlagen, wenn legitime Credentials zu einem ungewöhnlichen Zeitpunkt, nach längerer Inaktivität oder zu einem Zweck genutzt werden, der nicht mit dem bisherigen Verhalten übereinstimmt.

Bernd Mährlein, Area Director Central Europe, Lacework


  1. Sicherheit ohne Korsett
  2. Konzentration auf Prozesse

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Cloud

Künstliche Intelligenz

Anbieterkompass