Interview mit Rick McElroy von VMware Carbon Black
Vom Hexenwerk zur „Sicherheit ab Werk“
Es knarzt im IT-Sicherheitsgebälk: Ransomware legt tagelang Garmin lahm, einen Anbieter, der kritische Navigationsdienste für Verbraucher und die Luftfahrtindustrie erbringt. Und ein 17-Jähriger kapert Twitter, einen Kurznachrichtendienst, der heute eine elementare News-Quelle darstellt (oder Fake-News-Quelle, je nach Präferenz). Zeitgleich hängt die Industrie alles ans Internet, was bis dato wohlweislich physisch separiert blieb. Zum Glück dachte man sich bei VMware schon längst, dass eigentlich eine in die (virtuelle) IT-Infrastruktur eingebackene Security gar keine so schlechte Idee wäre. Seither wirbt der Konzern mit „intrinsischer Sicherheit“.
Darunter versteht man bei VMware eine einheitliche Strategie für kontextbezogene End-to-Ende-Sicherheit mit mehreren Pfeilern: Netzwerksegmentierung samt Traffic-Inspektion mittels der Netzwerkvirtualisierung NSX, die Absicherung digitaler Workspaces einschließlich mobiler Endgeräte (mit AirWatch), die Abwehr von Bedrohungen der Cloud-Instanzen (durch CloudHealth) sowie Schutz für Endpunkte und Workloads (Endpoint Detection and Response, EDR). Für letzteren Baustein akquirierte der Konzern vor ziemlich genau einem Jahr Carbon Black, einen Spezialisten für ML-basiertes (Machine Learning) EDR, mit dem Ziel, dessen Software in das Portfolio für intrinsische Sicherheit zu integrieren. Deshalb habe ich mich mit Rick McElroy, seines Zeichens Head of Security Strategy bei VMware Carbon Black, darüber unterhalten, was hier der Stand der Dinge ist.
Ein Kernproblem der Unternehmenssicherheit ist laut dem Carbon-Black-Chefstrategen, dass zahlreiche Security-Tools heute eine kaum mehr überschaubare Fülle von Sicherheitsinformationen generieren. Das erschwert es, den Überblick zu erlangen und Abwehrmaßnahmen vernünftig zu priorisieren (im SOC, wie in der Medizin, „Triage“ genannt). „Vor diesem Hintergrund ist es wichtig, ein besseres Bild des Geschehens zu erhalten“, betont McElroy. „Es geht also um Kontext und Verhaltensanalyse.“
Der „deus ex machina“, der hier zur Hilfe eilen soll, ist künstliche Intelligenz – in diesem Fall eben in Form von ML. Das Problem für Anwenderunternehmen (wie auch für neugierige Journalisten): Die Funktionsweise von Machine Learning stellt sich prinzipbedingt als „Black Box“ dar. In dieser schwarzen Schachtel treiben sogenannte „Algorithmen“ ihr Unwesen – und konkreter wird’s meist nicht. Auf die Frage, wie er denn die Fortschritte bei ML-gestützter Sicherheit verständlich machen könne, erklärte McElroy: „Mit je mehr Daten man Machine-Learning-Argorithmen füttert, desto besser kann ML arbeiten. Inzwischen verarbeiten wir 8 TByte pro Tag. Dies erlaubt es uns, die ML-Modelle besser zu trainieren und zu tunen.“ Dies wiederum steigere den Genauigkeitsgrad der Ergebnisse für Klassifizierung und Triage. „Wir nehmen laufend Verbesserungen vor“, so McElroy, „um von der Erkennung möglichst zur Prävention zu gelangen. Denn es ist einfacher, Angriffe zu erkennen, als sie zu verhindern.“ Deshalb gehe es darum, möglichst nah an den Anfang einer Angriffskette vorzustoßen.
„‚Algorithmus‘ sagt der Entwickler, wenn er nicht verraten will, wie’s funktioniert“, so ein altbekannter IT-Scherz. Damit stellt sich die Frage, wie ein Interessent die Wirksamkeit der schwarzen Schachtel für seine IT-Umgebung überprüfen kann. „Ich würde einem Unternehmen generell davon abraten, bei Tests von ML-Lösungen auf die Empfehlungen der Anbieter zu hören, wie man diese Lösungen testen sollte“, so McElroy. Viele Unternehmen haben laut McElroy das MITRE-Framework übernommen, um Bedrohungen und Angreifergruppen zu klassifizieren. Dieses liefere ein gutes Raster, um die Wirksamkeit von Security-Lösungen zu testen. „Am effektivsten ist es sicher, beim Testen von Security-Lösungen so vorzugehen, wie Angreifer es tun würden“, sagt der Experte. „Dann stellt man fest: Mit dem einen Tool sehe ich Seitwärtsbewegungen von Angreifern im Netzwerk, mit einem anderen hingegen nicht.“ Er verweist darauf, dass einige der größten MSSPs weltweit die Carbon-Black-Lösung nutzen, um genau solche Verhaltensmuster aufzudecken.
EDR für intrinsische Sicherheit
Soweit Carbon Black als Standalone-Lösung. Ziel der Akquisition durch VMware im August letzten Jahres war es aber natürlich, die Software in seine umfassende Security-Architektur einzubauen. Zum Stand dieses Vorhabens erläuterte McElroy: „Schon vor der Akquisition unterhielten wir eine Partnerschaft mit VMware. Derzeit arbeiten wir noch an der Integration der Lösungen, das Ziel für nächstes Jahr ist dann intrinsische Sicherheit.“
Kurzfristiges Ziel sei die Integration der XDR-Technologie (XDR: EDR für „x“, also beliebige Instanzen) in vSphere. Kubernetes und Tanzu sollen später folgen. Zudem arbeite man an einer Integration in VMwares Mobility-Management-Lösung AirWatch: Heute schon kann man laut McElroy die Carbon-Black-Software mit AirWatch an Endpunkte verteilen – was nicht weiter verwunderlich ist, ist dies doch eine Kernfunktion der AirWatch-Software. „Der nächste Schritt ist es, EDR schneller auf Mobilgeräte ausbringen zu können. Das soll künftig auf Knopfdruck geschehen, ohne erst Software-Packages erstellen zu müssen.“ Als weiteren wichtigen Aspekt erachtet er das Sharing von Security-Informationen mit der AirWatch-Plattform. Dies soll künftig eine bessere Kontextualisierung der Security-Informationen ermöglichen.
Wie so viele in der Security-Branche, so warnt auch McElroy davor, sich auf den ML-Lorbeeren auszuruhen: „Auch die Angreifer werden künftig verstärkt KI nutzen. Es gibt zum Beispiel bereits offensive KI auf Maschinencode-Level“, warnt er. Eben deshalb bräuchten Unternehmen eine bereits eingebaute, also intrinsische Sicherheit in ihrer IT. Diesen Ansatz sieht er nicht nur für Großunternehmen als relevant an, sondern auch für den KMU-Markt: „Die breite Masse der kleineren und mittleren Unternehmen wird dabei von der Vorarbeit profitieren, die Großunternehmen und MSSPs heute leisten“, sagt er. So könnten Unternehmen jeder Größe ML-basierte Lösungen zum Teil ihres Präventionsmodells machen.
Das Ziel muss laut Rick McElroy sein, „dass IT-Teams sagen können: IT-Security, das ist doch kein Hexenwerk!“ Die Entwicklung laufe bereits in diese Richtung: „Ich kenne zum Beispiel kleinere Unternehmen, die ihr eigenes Threat Hunting betreiben“, so der Security-Fachmann. „Der Wert von ML-basierter Security wird damit immer offensichtlicher, selbst für kleinere Unternehmen.“
Lesen Sie mehr zum Thema
