Tierney - stock.adobe.com
Cloud-Sicherheit: Herausforderung für das Datenmanagement
Die Nutzung komplexer, heterogener Cloud-Umgebungen führt zu vermehrten Warnmeldungen, die es einzuordnen gilt. Mit fortschrittlichen Datenlösungen lassen sich diese verringern.
Immer mehr Unternehmen setzen auf Cloud-Lösungen und -Dienste, um ihre sich schnell verändernden zentralen Geschäftsabläufe zu unterstützen und sich in einem immer stärkeren Wettbewerb zu behaupten. Der Cloud-Computing-Markt wächst rasant: Experten schätzen, dass er mit einer jährlichen Wachstumsrate von 15 Prozent bis zum Jahr 2028 auf über 1.100 Milliarden US-Dollar zulegen wird.
Mit der zunehmenden Verbreitung von Cloud-Computing-Lösungen in Unternehmen steigt auch die Zahl der Transaktionen, die jeden Monat in der durchschnittlichen Unternehmens-Cloud generiert werden. Unter diesen Transaktionen verbergen sich wichtige Indikatoren für bösartiges Verhalten, neue Schwachstellen sowie Anzeichen für sich entwickelnde Bedrohungen. Die Sicherheit des Unternehmens hängt stark von den Werkzeugen ab, die dem Sicherheitsteam zur Verfügung stehen, um diese Protokolldateien zu filtern und zu analysieren.
Unternehmen stehen vor der Wahl, entweder ihre Sicherheitsteams zu überfordern oder neue, datenorientierte Lösungen einzuführen. Technologien wie maschinelles Lernen und grafische Analysen bieten Lösungen, bei denen größere Datenmengen mehr Kontext liefern. Sie sind damit nicht überfordert, sondern können durch mehr Daten die Genauigkeit der Warnmeldungen verbessern und die Sicherheit erhöhen.
Es gibt immer noch einige Bereiche der Cloud-Sicherheit, in denen eine effektive wirksame Automatisierung eine Rolle spielt. Der Bericht „Cost of a Data Breach 2019“ (PDF) zeigt, dass 49 Prozent der Datenschutzverletzungen das Ergebnis von Fehlkonfigurationen und menschlichem Versagen sind. Konfigurationsfehler zu vermeiden, ist einfach, wenn sichergestellt wird, dass Richtlinien und Regeln aktuell sind und durchgesetzt werden. In einem modernen Unternehmen ist dies jedoch alles andere als leicht.
Security-Herausforderung heterogene Cloud-Umgebungen
Die meisten Cloud-Sicherheitsteams haben heute mit einer komplexen Heterogenität zu kämpfen und müssen sich mit Multi-Cloud- und Multi-Plattform-Umgebungen auseinandersetzen. Werden die Regeln zu sehr abstrahiert und eine plattformspezifische Konfiguration übersehen, werden entweder Schwachstellen nicht erkannt oder das Sicherheitsteam mit redundanten, oft sehr verwirrenden Warnungen bombardiert.
Um dem entgegenzuwirken, bieten einige Cloud-Sicherheitsplattformen jetzt spezialisierte verwaltete Dienste an, die dafür sorgen, dass wichtige Cloud- und Plattformkonfigurationsregeln von Fachleuten auf dem neuesten Stand gehalten werden. Auf diese Weise lässt sich ein erheblicher Prozentsatz des Schwachstellenrisikos eines Unternehmens sofort beseitigen. Zudem entfällt der Aufwand für die Erstellung und Pflege von Regeln, und die Zahl der Sicherheitswarnungen wird drastisch reduziert.
Maschinelles Lernen kommt vor allem bei der Erkennung von Anzeichen aktiverer Sicherheitsangriffe zum Tragen. Traditionell wurden in diesem Bereich auch statische Regeln verwendet. Als neue Angriffsformen aufkamen, haben Unternehmen Regeln erstellt, um den Angriffsvektor oder damit verbundene Verhaltensmuster zu identifizieren. Für das Sicherheitsteam war dies jedoch per Definition immer ein riskantes Ratespiel.
Das Konzept der statischen Sicherheitsregeln ist auch durch die Dynamik der Cloud-Plattformen selbst überholt worden. In Cloud-Systemen von Unternehmen werden zentrale Dienste und Systemkomponenten angehalten, gestartet, verschoben und kontinuierlich weiterentwickelt. In Kubernetes zum Beispiel kann ein ephemerer Container nur für den Bruchteil einer Sekunde existieren.
Das Schreiben manueller Regeln zur Erkennung sich schnell entwickelnder Bedrohungen in einem System, das sich von einer Sekunde auf die andere wesentlich verändert, wird bald unmöglich. Dies führt wiederum zu einer unmöglichen Gratwanderung zwischen dem Auslassen von Schwachstellen und der Überlastung des Sicherheitsteams mit falsch-positiven Alarmen. Der IDC-Bericht aus dem Jahr 2017 gab an, dass 37 Prozent der Befragten mehr als 10.000 Warnmeldungen pro Monat erhalten, aber eine Umfrage aus dem Jahr 2020, über die in Dark Reading berichtet wurde, ergab, dass der Prozentsatz auf 56 Prozent der Befragten gestiegen ist, die mindestens 1000 Warnmeldungen pro Tag erhalten. Der Cloud Security Alert Fatigue Report von 2022 zeigt, dass 81 Prozent der IT-Experten 20 Prozent und mehr der Cloud-Sicherheitswarnungen als falsch positiv einstufen, 43 Prozent sogar mehr als 40 Prozent als falsch positiv einstufen.
Per Datenanalyse normales Verhalten erkennen
Im Rahmen moderner Datenanalyseplattformen wird jedoch maschinelles Lernen eingesetzt, um hochpräzise Modelle auf der Detailebene zu erstellen, mit denen Unbekanntes aufgespürt werden kann. Damit werden die Spielregeln für die Unternehmenssicherheit neu geschrieben. Die Algorithmen des maschinellen Lernens sind so konzipiert, dass sie sich automatisch verbessern und mit zunehmender Erfahrung lernen, wenn sie im Laufe der Zeit mit mehr Daten konfrontiert werden. Maschinelles Lernen erstellt Modelle, um Entscheidungen und sogar Vorhersagen zu treffen, ohne dafür extra programmiert zu werden.
„Das Schreiben manueller Regeln zur Erkennung sich schnell entwickelnder Bedrohungen in einem System, das sich von einer Sekunde auf die andere wesentlich verändert, wird bald unmöglich.“
Ryan Sheldrake, Lacework
Dieselben modernen Datenanalyseplattformen nehmen im Wesentlichen Milliarden von Cloud-Protokollen auf und analysieren sie, um ein dynamisches Modell für normale Muster des Nutzer- und Systemverhaltens zu erstellen. Die Ausgereiftheit der verwendeten Algorithmen bedeutet auch, dass sich das Modell schnell an neue Muster des rechtmäßigen Verhaltens anpassen kann. Sicherheitswarnungen werden dann nur erzeugt, wenn das Verhalten von der Norm abweicht.
Die Sicherheitsteams müssen die Regeln nicht mehr manuell pflegen und können sich auf die Untersuchung von Warnmeldungen konzentrieren. Noch wichtiger ist, dass sie mit der Entwicklung des maschinellen Lernmodells (in der Regel innerhalb von 48 Stunden) viel weniger Warnmeldungen untersuchen müssen. Mit fortschreitender Zeit verbessert das Modell ständig die Genauigkeit der Alarme. Das Entscheidende ist jedoch, dass das Machine-Learning-Modell nicht überfordert wird, sondern sich mit mehr Daten verbessert.
Wo manuelle Sicherheitsmethoden mit der Menge an Protokollen der Cloud-Plattform überfordert wären, bauen fortschrittliche Datenanalyseplattformen auf diesen Daten mit einem umfassenden System von Agenten und agentenlosen Datenerfassungstechniken auf. Diese sammeln zusätzliche Daten und Kontext von den Plattformen, Containern, VMs sowie den Anwendungen und Workloads selbst. Dadurch wird nicht nur die Genauigkeit des Modells verbessert, sondern auch eine viel umfassendere Überwachung ermöglicht, die den gesamten Stack sichert. Die Benutzer erhalten einen neuen Einblick und zusätzlichen Schutz vor Angriffen auf Systemebene, die durch die Überwachung der Cloud-Protokolle allein möglicherweise unbemerkt bleiben.
Über den Autor:
Ryan Sheldrake ist Field CTO EMEA bei Lacework.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.