Monitoring des Applikationsverhaltens
Komplexe Multi-Clouds überwachen
Eine wachsende Zahl von Unternehmen verteilt Workloads auf AWS, Microsoft, Google und andere Cloud-Provider, um Abhängigkeiten zu vermeiden und die Resilienz kritischer Geschäftsprozesse zu steigern. Dieser Trend zur Multi-Cloud verschärft die Herausforderungen für bereits stark belastete Sicherheitsteams: Komplexe Interdependenzen zwischen Cloud-Komponenten vergrößern die Angriffsoberfläche, während gleichzeitig die Sichtbarkeit der Gesamtinfrastruktur schwindet. Zudem fehlen Fachkräfte, während spezifisches Cloud- und Security-Know-how schnell veraltet.
Sicherheitshersteller haben ihre weit verbreiteten Konzepte und Toolsets nicht für die Elastizität und Komplexität moderner Multi-Clouds entwickelt. Das macht sich jetzt in mehrfacher Hinsicht bemerkbar: Isolierte Punktlösungen haben eine begrenzte Perspektive und führen zu Informationssilos. Der Wechsel zwischen den einzelnen Konsolen ist aufwendig und liefert trotzdem keine übergreifende Sichtbarkeit. Der fehlende Kontext führt zu einer Flut einzelner Alarme ohne sinnvolle Priorisierung.
Hinzu kommt die Regelfixierung: Die vorausschauende Definition von Regeln war jahrzehntelang das A und O der IT-Sicherheit. Dynamische Cloud-Umgebungen erfordern heute aber eine permanente Anpassung dieser starren Regelsätze. Multi-Clouds vervielfachen den Aufwand, denn Sicherheitsverantwortliche müssen vergleichbare Services unterschiedlicher Provider einzeln auf Regelkonformität prüfen (zum Beispiel AWS Cloud Formation, Azure Resource Manager und Google Cloud Deployment Manager).
Architekturbedingt haben traditionelle Sicherheitsansätze zudem Schwierigkeiten mit bestimmten Cloud-Aktivitäten. Network-Intrusion-Detection-Systeme erkennen zum Beispiel keinen Datenverkehr zwischen Containern auf derselben EC2-Instanz. Ein weiteres Problem bilden Micro-Services, Daten-Caches und temporäre IP-Adressen, die nur wenige Minuten aktiv sind und dann wieder verschwinden.
Regelloser Schutz mit Machine Learning
Eine neue Generation Cloud-nativer Sicherheitslösungen will jetzt die Komplexitätsspirale durch ML- (Machine Learning) und KI-gestützte Verfahren entschärfen. Das Versprechen lautet: umfassende Sichtbarkeit aller Cloud-Aktivitäten bei vollständiger Automation.
Im Wesentlichen kann man zwischen zwei Ansätzen unterscheiden: heuristischem und verhaltensbasiertem Machine Learning. Allerdings trennen selbst Hersteller die beiden Begriffe nicht immer eindeutig und bieten Lösungen, die oft Eigenschaften beider Ansätze aufweisen. Die Mehrzahl der heute verfügbaren Sicherheitslösungen mit ML tendiert aber eindeutig zur Heuristik. Dieser Ansatz durchsucht identifizierte Angriffe nach ähnlichen Mustern und sammelt Erkenntnisse für vergleichbare Events in der Zukunft. Besonders effektiv ist diese Methode bei Varianten bekannter Angriffe. Wenn völlig unbekannte Zero-Day-Bedrohungen auftauchen, stößt heuristisches Machine Learning an Grenzen. Die typischen False-Positive-Raten sind in einfacheren Umgebungen akzeptabel, führen aber in komplexen Multi-Cloud-Umgebungen mit vielen Millionen Events zu Problemen.
Verhaltensbasiertes ML verwendet eine andere Herangehensweise: Hier wird fortlaufend der Normalzustand der individuellen Multi-Cloud-Umgebung analysiert. Dazu gehören die Aktivitäten aller Cloud-Entitäten, zum Beispiel Anwender, Workloads und Applikationen. Vor diesem Hintergrund treten Anomalien deutlich hervor. Ob eine Angriffsvariante erstmals auftaucht oder bereits bekannt ist, spielt keine Rolle. Weil die Technologie den Normalzustand erlernt, kann sie viele reguläre Aktivitäten im Cloud-Datacenter als Bedrohung ausschließen. Das reduziert die Zahl der False Positives selbst in komplexen Umgebungen.
- Komplexe Multi-Clouds überwachen
- Bestimmung der Baseline durch Prozessfokus
Lesen Sie mehr zum Thema
