Executive summary
- Künstliche Intelligenz in der IT-Security als Hilfsmittel gegen neuartige Bedrohungsszenarien.
- Machine Learning (ML)/ Künstliche Intelligenz (KI) innerhalb der IT-Security als neues Werkzeug, mit dem die Automatisierung innerhalb der Cybersecurity noch einmal weiter vorangetrieben werden kann.
- Intelligente Security Services wie Amazon Macie und AWS GuardDuty- Exempel für eine neue Security-Generation.
- Ein kurzer Blick auf den Anbietermarkt im Cybersecurity KI-Umfeld zeigt, dass dieser Markt (noch) sehr fragmentiert ist.
Die aktuellen Fortschritte im KI-Umfeld haben das Potential, die Arbeitsweise der Informationssicherheit neu zu definieren. Mit der traditionellen Fixierung auf Prävention und Verschlüsselung ist es der IT-Sicherheitsabteilung nicht möglich, die Neuausrichtung der IT auf datenzentrische Strategien zu unterstützen, mit denen Unternehmen den Ertrag aus ihrem Datenkapital steigern wollen.
Besondere Aktualität erfährt das Thema durch das erfolgte Release von Amazon Macie in einer europäischen Variante. Amazon Macie ist der Vorreiter einer neuen Kategorie von KI-Tools, die Bestandsdaten analysieren.
KI gegen sträflich unterschätzte Bedrohung durch neuartige Attacken
Durch den zunehmenden Vernetzungsgrad und die steigende Anzahl kognitiver Systeme sowie der daraus resultierenden neuen Geschäftsprozesse verändert sich vor allem auch die Security-Landschaft innerhalb der Unternehmen sehr stark. Der Einsatz von Security KI-Tools ist vor diesem Hintergrund nur folgerichtig. Führungskräfte sind nun gefragt, die richtige IT-Security-Strategie und Datenschutz-Strategie zu definieren und umzusetzen, um Infrastrukturen und Daten vor aktuellen Bedrohungsszenarien und neuartigen Cyberangriffen zu schützen
Anwender wollen KI einsetzen
Dass Anwender das Potential von KI verstehen, zeigt eine gemeinsame Studie „Security by Design“ von TüViT und Cloudflight: Mehr als die Hälfte der Anwender wollen in Zukunft KI-Lösungen einsetzen, ein weiteres Viertel evaluiert derzeit noch. In diesem Expert View wollen wir ein Licht darauf werfen, um welche Produkte es dabei gehen könnte und welche Vorteile konkret zu erwarten sind.
Perspektiven durch Machine Learning
Sicherheitsmaßnahmen im Detail durchzuführen war stets unglaublich mühsam. Um beispielsweise herauszufinden, welche Daten in einer unstrukturierten Sammlung Personenbezug haben, müsste jede Datei einzeln inspiziert werden. Mit menschlichen Operators war das vom Aufwand her faktisch nicht zu machen, mit allgemeinen Filterregeln kam man nicht weit genug.
Die Situation ist durch die DSGVO nicht einfacher geworden, ganz im Gegenteil. Mit Cloud Computing ist das Sammeln und Speichern von Daten und Logs so billig geworden, dass wir es mit ständig wachsenden Datenmengen zu tun haben, die analysiert werden sollten.
Mit Machine-Learning-Security-Anwendungen sind neue Werkzeuge entstanden, mit denen die Automatisierung noch einmal weiter vorangetrieben werden kann. Je kostengünstiger und besser die Analyse wird, desto mehr potentielle Kunden werden sich dafür interessieren. Wir glauben, dass im Laufe der kommenden Jahre Anwender über Vor- und Nachteile unterschiedlicher Verfahren und Datensets zum Training der Security-ML fachsimpeln werden.
Eine neue Kategorie an Tools
Die neue Kategorie an Tools zeichnet sich durch folgende Merkmale aus:
- Machine Learning – verspricht der Game Changer zu sein. Die Analyse von Daten nach Mustern durch Machine Learning hat in der letzten Zeit große Fortschritte gemacht und verspricht komplett neue Einsatzmöglichkeiten, die früher undenkbar waren.
- Cloud native – erschließt neue Sensoren in der Cloud-Infrastruktur und nutzt die Effizienzen von Infrastruktur on demand, um große Datenmengen zu verarbeiten. Gegenüber den früheren agent-based Tools können Implementierungszeiten von Monaten auf Minuten schrumpfen und die Ausführungszeiten von batch auf interaktiv.
Die Verbesserungen zusammengenommen erhöhen den Wert der Analyse und befähigen den Anwender zum sofortigen Handeln. Die kürzere Reaktionszeit verspricht im Falle des Falles eine Minimierung des erlittenen Schadens. Der geringe Zeiteinsatz könnte weitere Anwender überzeugen, die aus Zeitmangel notgedrungen die Risiken ignoriert hatten.
Es gibt dazu bereits eine große Anzahl an Tools von Herstellern aus der Security-Branche, die jeweils spezifische Zielgruppen ansprechen. Doch erst durch die Einführung von “Amazon Macie” und “GuardDuty” ist Machine Learning der Durchbruch in der Security-Branche gelungen. AWS hat dazu in der letzten Zeit zwei Verfahren vorgestellt: Macie zur Inventarisierung von Daten in S3 Buckets sowie GuardDuty zur Analyse von Logfiles.
Amazon Macie
Die Besonderheiten der neuen Generation lassen sich am besten anhand von Macie beschreiben, das von AWS für den europäischen Markt neu veröffentlicht worden ist. Macies Abstammung lässt sich zurückverfolgen auf das Startup Harvest.ai, das von AWS in 2016 im Stillen gekauft wurde. Macie ist seit der Vorstellung im Aug 2017 in zwei US availability zones verfügbar und wurde nun im Mai 2020 in einer speziell angepassten Version in den europäischen availability zones (Frankfurt, Dublin, London, Paris) veröffentlicht.
Vereinfacht besteht Macie aus einem Teil Security und einem Teil Compliance. Macie erzeugt mit Machine Learning – Algorithmen nie dagewesene Transparenz in Sicherheits- oder Personen-relevanten Daten. Anwender verwenden Macie, um Anomalien oder riskante Inhalte zu finden. Im Normalfall würde man typischerweise etwa alle 3 Tage einen Alarm erhalten, wobei die Häufigkeit von Fehlalarmen (false positive rate) gering sei.
Macie liest Dateien im Objektspeicher Amazon S3 und klassifiziert deren Inhalt anhand von Regeln und Machine Learning. Wie man sich vorstellen kann, sehen Daten von europäischen Kunden anders aus als in den USA, und demzufolge wurde Macie erneut mit europäischen Adressen und Namen, z.B. mit UK ID-Numbers, trainiert, um diese sicher in den Datensätzen lokalisieren zu können. Zudem ist der Dienst nach ISO 27001, 27018 zertifiziert, und mit einem Verweis auf das Data Processing Addendum (DPA) sowie die technisch-organisatorischen Maßnahmen (TOM) sind auch die formalen Kriterien erfüllt, die für europäische Kunden im Zuge der DSGVO erhöhte Relevanz bekommen haben.
Nach unseren Analysen bewerten wir AWS Macie als ein sehr interessantes Produkt für Firmen jeder Größenordnung und jeder Branche, auch weil es eine sehr kosteneffektive Methode der Überprüfung ist. Macie hat damit das Potential, zu einem Game Changer zu werden und ermöglicht es der Sicherheitsabteilung aus ihrer reaktiven Rolle stärker in die aktive Rolle zu wechseln.
Zudem hat Amazon an die Prozessintegration gedacht. So lassen sich die Ergebnisse über eine JIRA-Integration gleich in Tasks verwandeln bzw. in SIEM-Plattformen wie Splunk oder LogRhythm integrieren.
AWS GuardDuty
Die Erkennung von Angriffsversuchen in Logfiles erfordert regelmäßig, dass Auswertungen jeweils auf die Fragestellung feinjustiert werden müssen, um Angriffsmuster zu erkennen. Infolgedessen ist das Durchkämmen von Log-Files so aufwändig, dass die Prävention von Angriffen meist nur Theorie ist und in der Praxis die Analyse erst nach Eintritt des Schadens stattfindet.
Amazon GuardDuty ist ein Pendant zu AWS Macie. Während Macie das Inventar bearbeitet (Data at Rest), bewacht GuardDuty Data in Transit und analysiert Log-Daten aus der AWS-Infrastruktur (CloudTrail, VPC Flow Logs, DNS Logs). Daraus kann GuardDuty automatisch Bedrohungen ableiten und entsprechende Gegenmaßnahmen einleiten. Während vormals besonderes Know-How in Netzwerkprotokollen erforderlich war, um Log-Daten auszuwerten, kann GuardDuty einfach eingeschaltet werden und erledigt die Aufgabe ohne viel Aufhebens. Die Meldungen müssen dann selbstverständlich bearbeitet werden, meistens wohl von menschlichen Operators.
GuardDuty ist bereits in fast allen AWS-Regionen, darunter auch in allen europäischen, verfügbar. Es ist ebenso zertifiziert, u.a. nach der C5-Methodologie des deutschen BSI. Die Einsatzmöglichkeiten von GuardDuty leiten sich aus Einfachheit und Skalierung ab: Große Firmen verwenden GuardDuty um es einzuschalten und ohne viel Aufwand laufen zu lassen, kleinere Kunden schätzen die Einfachheit für die ersten Schritte in der Log-Analyse.
Nach Meinung von Cloudflight wendet sich GuardDuty eher an den technischen Administrator, der Sichtbarkeit in die Datenflüsse erhalten möchte und gehört eher der etablierten SIEM-Kategorie an, mit einer kleineren aber stärker etablierten Interessentengruppe als Macie. Der Vorteil von GuardDuty besteht darin, dass es gut mit den riesigen anfallenden Datenmengen umgehen kann, ohne dass diese in andere Tools exportiert werden müssen.
Marktüberblick KI in Cybersecurity
Im zweiten Teil des Expert View ergänzen wir den Überblick mit einer Analyse von Bewegungsdaten, die in IT-Sicherheitsprozessen schon länger etabliert sind und von mehreren Herstellern angeboten werden.
Im Cybersecurity-Markt tummeln sich einige Anbieter und natürlich ist KI auf vielen Feature-Listen zu finden. Der Markt ist (noch) sehr fragmentiert. Es gibt eine ganze Reihe von Anbietern, die wir folgendermaßen gruppieren:
- An erster Stelle zu nennen ist IBM Watson, die schon früh mit der Anwendung von Machine Learning in vielen Bereichenbegonnen haben. Das Portfolio von IBM ist typischerweise auf größere Firmen zugeschnitten, zudem sehen wir in der Praxis noch nicht die Marktdurchdringung, die man aus der langen Marktpräsenz erwarten würde.
- Interessant sind SIEM-Hersteller (Security Information and Event Management), die ihr Portfolio in Hinblick auf Cloud modernisiert haben oder Cloud Native Produkte neu entwickelt haben. Dazu zählen wir Cisco, DataDog, LogRhythm, McAfee, RSA und Splunk. Die Produkte etablieren sich im Markt aufgrund ihrer loyalen Kundenbasis, die den Kosten entsprechende Leistungen erwarten kann.
- Die Security-Hersteller mit typischerweise breitem Portfolio bieten auch KI-Lösungen an und komplementieren damit ihre traditionell Signatur-basierten Lösungen: Avast, Bitdefender, Fortinet, Kaspersky, TrendMicro. Die Lösungen leben aufgrund ihrer breiten Kundenbasis und ihres bekannten Leistungsspektrums. Ob die KI-Komponenten für den angestrebten Einsatzzweck den markanten Unterschied machen würden, müsste jeweils evaluiert werden.
- Eine ganze Reihe von Newcomern oder Startups nutzen die neuen Möglichkeiten auf innovative Weise mit spezialisierten Produkten: Cylance, Ensilo, Exabeam, JASK, iSight (FireEye), Outpost24, Securonix, Trustwave. Diese können hochinteressant sein, wenn die Ausrichtung des Produkts zum eigenen Anwendungsfall passt.
- Bei den Managed Service Providern finden wir derzeit noch wenig Angebote mit explizitem KI-Bezug. Anscheinend ist dort KI noch nicht zum differenzierenden Faktor geworden, auch wenn vermutlich Machine Learning hinter den Kulissen bereits zum Einsatz kommen wird.
In der Zusammenfassung sehen wir, dass es bereits einige Lösungen gibt, mit denen Anwender die neuen Möglichkeiten von Machine Learning in Cyberspace ausprobieren können. Amazon Macie bietet sich für AWS-Kunden aufgrund der niedrigen Einstiegsschwelle durch Abrechnung nach Verbrauch und der Integration in die Cloud-Infrastruktur an. Für Nutzer anderer Cloud Provider bzw. im eigenen Rechenzentrum empfehlen sich andere Hersteller im SIEM-Bereich, deren interessante Angebote einfache erste Schritte mit KI ermöglichen.
Wir helfen Ihnen gerne beim Aufbau und der Umsetzung einer High Level Security Architecture. Auch können wir zum Beispiel einen kontrollierten und systematischen Angriff auf ein Softwaresystem starten, mit der Absicht, potenzielle Sicherheitslücken zu entdecken. Wir haben das Know-how, um innerhalb von 24 Stunden “jedes Loch” ausfindig zu machen und zu stopfen.