Funtap - stock.adobe.com
Wie der Einsatz von AIOps die Cloud-Sicherheit erhöhen kann
Betrugserkennung, Datenklassifizierung und Identifizieren von Schadsoftware – der Einsatz von AIOps in den richtigen Anwendungsfällen kann die Cloud-Sicherheit verbessern.
Bis zum Jahr 2023 werden rund 30 Prozent aller Unternehmen bereits AIOps einsetzen, schätzt die Marktforschungsgesellschaft Gartner. Die Abkürzung steht für Artificial Intelligence for IT Operations. Da die Verbreitung der Cloud ebenfalls weiter stark zunimmt, ist nun ein guter Zeitpunkt, um sich ausführlicher mit dieser modernen Monitoring-Technik und der Frage zu beschäftigen, wie sich damit die Sicherheit Ihrer Cloud-Bestrebungen erhöhen lässt.
AIOps befasst sich mit der Überwachung von Daten und ihrer Analyse in großem Maßstab, um so für schnellere und bessere Alerts sowie eine effizientere Identifizierung von Problemen in einer IT-Umgebung zu sorgen. Dazu kommen Fähigkeiten zur Verhaltensanalyse und in manchen Fällen auch zur automatischen Reaktion auf erkannte Vorfälle.
Die meisten AIOps-Lösungen verfügen über folgende wesentliche Fähigkeiten:
- Sie können mit unterschiedlichsten Daten umgehen;
- sie eine bieten eine große Plattform, um Daten über Ereignisse aller Art zu sammeln;
- sie nutzen Algorithmen aus den Bereichen Maschinelles Lernen sowie Analytics;
- zusätzlich haben sie APIs (Application Programming Interfaces) sowie Funktionen zur Automatisierung und nicht zuletzt
- ein fein justierbares Reporting.
Mit AIOps-Anwendungsfällen die Cloud-Security verbessern
Die Kombination von Big Data, Machine Learning sowie Automatisierung, auf die AIOps setzt, wirkt sich auf zahlreiche Arten positiv auf die IT-Sicherheit von Cloud-Lösungen aus. Bedenken Sie dabei aber, dass Anwendungsfälle für AIOps meist spezielle Voraussetzungen haben. Unvermeidbar sind zudem teils erhebliche monetäre Investitionen sowie Änderungen an der Architektur. Außerdem benötigen Ihre Mitarbeiter besondere Kenntnisse. Nur so wird die Umsetzung ein Erfolg.
Im Folgenden beschreiben wir sechs AIOPS-Anwendungsfälle, mit denen Sie sowohl den alltäglichen Betrieb als auch die IT-Security optimieren. Ergänzt werden die Beschreibungen von Hinweisen, wie sich die Umsetzung in der Praxis realisieren lässt.
1. Threat Intelligence
Threat Intelligence ist hilfreich, um mehr über Angreifer, über Hinweise auf Attacken und über verhaltensbasierte Trends bei der Nutzung von Cloud-Diensten zu erfahren. Zudem sind diese Dienste nützlich, um über aktuell stattfindende Angriffe auf Cloud Services auf dem Laufenden zu bleiben.
Von externen Providern bereitgestellte Threat-Intelligence-Feeds können zusammengefasst und auch in größerem Umfang mit Hilfe von Methoden aus dem Machine Learning aggregiert und gemeinsam analysiert werden. Daraus lassen sich Modelle erstellen und Voraussagen berechnen. Zusätzlich können die durch AIOps anfallenden Daten über den IT-Betrieb durch das Security-Team genutzt werden, um Angriffe auf die Cloud-Infrastruktur vorauszusagen und zu verhindern. Das gilt ganz besonders für Attacken mit geklauten Nutzerdaten.
Für diesen AIOps-Anwendungsfall und um Muster zu erkennen, werden Fähigkeiten zur Integration und Analyse von Threat-Intelligence-Feeds sowie weiterer anfallender Daten benötigt.
2. Security Event Management
Log- und Event-Daten entstehen in vielen Unternehmen in enormen Mengen. Ihre Security-Teams müssen daher in der Lage sein, schnell Hinweise auf Angriffe und gefährliche Muster sowie Ereignisse in den Cloud-Umgebungen zu erkennen, sobald sie auftreten. Machine Learning und KI-Fähigkeiten, die durch AIOps bereitgestellt werden, unterstützen das Verarbeiten von zahlreich anfallenden Daten. So können die Erkennung und das Auslösen von Alerts beschleunigt werden.
Dafür benötigen Sie engagierte Mitarbeiter, die in diesen Datenbergen Verbindungen erkennen und die richtigen Schlüsse ziehen. Der Aufbau eines erfahrenen Teams, das das Security Event Management automatisieren kann, ist allerdings ein zeitaufwendiger und schwieriger Prozess, da es derzeit bekanntermaßen viel zu wenig verfügbare Fachkräfte auf dem Arbeitsmarkt gibt.
3. Modelle für Verhaltensanalysen auf den Endpoints und im Netzwerk
Das Erstellen von Modellen über die Kommunikation zwischen den Endpunkten im Unternehmen und über die dabei auftretenden Verhaltensmuster ist hilfreich, um auch subtile Hinweise auf Eindringlinge und Angriffe zu entdecken. Im Idealfall erfolgt dies sogar noch bevor ein signifikanter Fremdzugriff auf Ihre Daten oder ein anderweitiger Schaden eingetreten ist. Das Modellieren der Datenflüsse im Netzwerk ist ebenfalls ein erfolgversprechender Anwendungsfall für AIOps, um die Sicherheit in der Cloud zu verbessern. Zwischen den einzelnen Systemen und der Backplane des Cloud-Anbieters werden in der Regel erhebliche Datenmengen übertragen, die zum Erfassen des „normalen Verhaltens“ im Netzwerk genutzt werden können.
Das Modellieren des Verhaltens auf den Endpunkten und im Netzwerk ist ebenfalls ein sehr zeitaufwendiger Prozess. Er erfordert die Unterstützung verschiedener Fachbereiche im Unternehmen, die sich um das Administrieren der Clients kümmern, über die Experten für die verwendeten Betriebssysteme, Netzwerkspezialisten bis zu den Mitarbeitern des Security-Teams. Der Aufbau von Modellen auf Basis der zur Verfügung stehenden Daten und Algorithmen kann daher auch sehr teuer werden, so dass eventuell eine Unterstützung durch höhere Managementebenen nötig ist.
4. Erkennung von Betrugsversuchen
Besonders für Firmen in den Bereichen Finanzen und Versicherungen ist für das Erkennen von Betrugsversuchen die Aufzeichnung von extrem vielen Daten aus den verschiedensten Bereichen nötig, die anschließend genauestens analysiert werden müssen. Das Prüfen von Texten, Suchen in Datenbanken, Analysen in sozialen Netzwerken und die Erkennung von ungewöhnlichem Verhalten sollten mit geeigneten Modellen in großem Maßstab kombiniert werden, um einen potenziellen Missbrauch rechtzeitig zu erkennen.
Der Einsatz von Cloud-AIOps kann hier äußerst hilfreich sein. Dieser Anwendungsfall kann sogar noch auf alle Arten der missbräuchlichen Nutzung von Cloud-Diensten erweitert werden. Ein Beispiel dafür ist etwa ein Phishing-Angriff via Microsoft 365, für den ein gekaperter Account genutzt wird.
5. Erkennung von Malware
Das Verarbeiten von Daten und Dateiattributen in großem Umfang wirkt sich auch positiv auf eine frühzeitige Erkennung von Ransomware und anderer Schadsoftware aus. Das gilt besonders für neue Varianten, zu denen es bisher noch keine bekannten Signaturen gibt. Viele der marktführenden Antivirus-Anbieter nutzen mittlerweile die Cloud sowie Machine Learning und KI für genau diesen Zweck. Eine sinnvolle Ergänzung sind intern eingesetzte Sandbox-Techniken, die sowohl KI-Technologien als auch die Cloud zur Erkennung von Schadcode nutzen.
Denken Sie aber daran, dass auch hier jede durch den Benutzer definierte Erkennung von Malware Sicherheitsexperten mit hoch spezialisierten Fähigkeiten benötigt.
6. Klassifizierung von Daten und Schutz durch Monitoring
Auf der Basis von bekannten Inhaltstypen und Mustern analysieren und verarbeiten AIOps-Engines alle hochgeladenen und in einer Umgebung erstellten Daten, um sie mit Hilfe von vordefinierten Richtlinien zu klassifizieren und mit Markierungen zu versehen. Zudem lassen sich damit auch die Zugriffe überwachen.
Ein spezialisiertes Monitoring erfordert aber in der Regel die Zustimmung der diversen Fachbereiche im Unternehmen. Außerdem setzt es voraus, dass die verantwortlichen Admins mit den unterschiedlichsten Datenformaten und -typen arbeiten können. Das Security-Team muss zudem die verschiedenen Datentypen und -muster mit Tags versehen und tracken können.
Abschließende Überlegungen
AIOps richtet sich direkt an den wichtigsten sicherheitsspezifischen Anwendungsfällen aus. Es gibt aber trotzdem mehrere potenzielle Probleme zu beachten, bevor Sie AIOps erfolgreich einsetzen können. Dazu kommen Herausforderungen bei der Bereitstellung passender Kenntnisse und Fähigkeiten sowie bei den Kosten beim Import und Export der Daten. Außerdem muss meist eine Abstimmung mit anderen relevanten Stakeholdern im Unternehmen und beim Betrieb der IT erfolgen.
Derzeit werden die meisten Methoden zur KI- oder ML-gestützten Analyse von Daten getrennt von anderen Werkzeugen, Plattformen oder Anbietern genutzt, die bislang schon in der jeweiligen IT-Umgebung eingesetzt werden. Die Kombination von IT-Betrieb und Security erfordert daher viel an Aufwand.