Machine-Learning und künstliche Intelligenz (KI) treiben die Industrie sowie die IT-Sicherheitsbranche um. Vor allem um die Cloud-Sicherheit zu verbessern und um sich gegen automatisierte Angriff zu schützen, rät Palo Alto Networks die Potenziale von KI und Machine-Learning im kommenden Jahr und darüber hinaus zu nutzen.
Multi-Cloud-Hybrid-Sicherheitsstrategie wird die neue Normalität für Sicherheitsverantwortliche sein.
In den letzten Jahren hat sich die digitale Präsenz von Unternehmen über die Grenzen des lokalen Rechenzentrums und der privaten Cloud hinweg zu einem Modell erweitert, das nun SaaS und öffentliche Clouds umfasst. Bisher agierten Sicherheitsteams in einem reaktiven Modus, während sie versuchten, eine umfassende Sicherheitsstrategie in ihrer hybriden Architektur zu implementieren. Im Jahr 2017 ist mit konzertierten, proaktiven Anstrengungen zu rechnen, um eine Multi-Cloud-Sicherheitsstrategie aufzubauen. Diese wird darauf ausgerichtet sein, den aufkommenden digitalen Bedürfnissen der Unternehmen Rechnung zu tragen. Die Erhaltung eines konsistenten Sicherheitsniveaus, durchgängige Transparenz und einfache Verwaltung des Sicherheitsmanagements über alle Clouds hinweg werden im Vordergrund stehen.
Veränderte Datenschutzgesetze werden Auswirkungen auf die Cloud-Sicherheit haben.
Grenzüberschreitende Datenschutzgesetze spielen eine wichtige Rolle bei der Betrachtung von Cloud-Computing-Optionen für Unternehmen auf der ganzen Welt. Mit den jüngsten Entwicklungen wie dem Brexit und dem Ausbau der grenzüberschreitenden Datenflussbeschränkungen im asiatisch-pazifischen Raum werden Sicherheitsverantwortliche im Jahr 2017 Flexibilität und Anpassungsfähigkeit von ihren Cloud-Sicherheitsanbietern fordern. Cloud-Security-Angebote müssen die Vielfalt der Clouds abdecken, eine konsistente Sicherheitspolitik durchsetzen und sich an die Datenschutzgesetze des ansässigen Nationalstaates anpassen. Die „WildFire EU Cloud“ von Palo Alto Networks ist ein Beispiel dafür, um mit regionaler Präsenz den Anforderungen vor Ort zu entsprechen. Es handelt sich um ein globales, auf Cloud-Systemen basierendes, auf die Community beschränkte Bedrohungsanalyse-Framework, das Bedrohungsinformationen korreliert und Präventionsregeln erstellt. Diese decken die Präsenz von Unternehmen in der öffentlichen und privaten Cloud sowie die SaaS-Nutzung ab.
Sehr wahrscheinlich: Großer Datensicherheitsvorfall in der öffentlichen Cloud
Die Aufregung und das Interesse rund um die Nutzung der öffentlichen Cloud erinnert an die frühen Tage des Internets. Fast jedes Unternehmen, mit dem Palo Alto Networks in Kontakt steht, nutzt bereits Angebote oder informiert sich darüber, wie sich Amazon-Web-Services (AWS) oder Microsoft-Azure für neue Projekte einsetzen ließen. Die Prognose, dass ein Sicherheitsvorfall in einer öffentlichen Cloud zum Verlust von Daten führen wird, dürfte internationale Aufmerksamkeit erregen. Die Realität ist jedoch, dass bereits 2016 ein oder mehrere erfolgreiche Verletzungen aufgetreten sind. Der spezifische Standort (privat, öffentlich, SaaS), an dem sich die Daten befinden, wird jedoch nur selten veröffentlicht. Dies könnte sich aber ändern, wenn mehr Unternehmen ihre geschäftskritischen Anwendungen in die öffentliche Cloud verlagern. Angreifer interessieren sich nicht dafür, wo die Unternehmensdaten letztlich liegen. Ihr Ziel ist es, Zugang zum Netzwerk zu erhalten und Daten, geistiges Eigentum oder überschüssige Ressourcen abzugreifen, unabhängig vom Standort. Aus dieser Perspektive sollten Unternehmen die öffentliche Cloud als eine Erweiterung ihres Rechenzentrums betrachten. Die notwendigen Sicherheitsmaßnahmen sollten nicht anders sein als die für ihr eigenes Rechenzentrum.
Die schnelle Verlagerung in die öffentliche Cloud führt manchmal dazu, dass wenig bis gar keine Sicherheitsmaßnahmen genutzt werden. So ist in der Praxis oft zu hören, dass der Einsatz von nativen Sicherheitsdiensten und/oder punktuellen Sicherheitsprodukten ausreicht. Die Realität ist jedoch, dass eine einfache Port-Filterung und ACLs (Access-Control-Lists; Zugriffssteuerungslisten) die Bedrohungsexposition kaum reduzieren. Das Öffnen der TCP-Ports 80 und 443 lässt fast 500 Anwendungen aller Art zu, einschließlich Proxies, verschlüsselten Tunnels und Remote-Access-Anwendungen. Die Port-Filterung ist nicht in der Lage, Bedrohungen zu verhindern oder die Bewegungen der Dateien zu kontrollieren. Sie kann nur geringfügig verbessert werden, wenn sie kombiniert wird mit punktuellen Produkten zur Erkennung und Sanierung, die aber lediglich bekannte Bedrohungen verhindern. Es bleibt die Hoffnung, dass mit zunehmender Nutzung der öffentlichen Cloud mehr Transparenz, eine detaillierte Kontrolle auf Anwendungsebene und die Verhinderung bekannter und unbekannter Bedrohungen an Bedeutung gewinnen. Automatisierung wird dabei helfen, das Gelernte zu nutzen, um die Präventionstechniken für alle Kunden kontinuierlich zu verbessern.
Autonome Sicherheit durch mehr künstliche Intelligenz und maschinelles Lernen
2016 kamen erstmals, wenn auch nicht unumstritten, selbstfahrende Autos und leistungsfähige private Drohnen auf den Markt. Die Technologie hinter diesen Innovationen wurde stark von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) angetrieben. Die Nutzung von KI und ML innerhalb der Cybersicherheit ist nicht neu, vor allem in der Bedrohungsanalyse und -erkennung. Die durchgängige Verfügbarkeit von Open-Source-AI/ML-Frameworks und damit verbundene einfache Automatisierung werden diese Ansätze aber neu definieren. Heute geht es bei der Sicherheitsautomatisierung um die Vereinfachung und Beschleunigung monotoner Aufgaben zur Definition und Durchsetzung von Sicherheitsrichtlinien. Bald werden künstliche Intelligenz und maschinelles Lernen eingesetzt werden, um prädiktive Sicherheit in öffentlichen, privaten und SaaS-Cloud-Infrastrukturen zu implementieren. Open-Source-Projekte wie „MineMeld“ ermutigen Sicherheitsteams, externe Bedrohungsdaten für eine selbstkonfigurierende Sicherheitspolitik zu nutzen. Im Jahr 2017 und darüber hinaus dürfte ein Anstieg der autonomen Ansätze für die Cybersicherheit zu beobachten sein.
Unsichere APIs werden automatisierte Hacks der Cloud ermöglichen
Anwendungsprogrammierschnittstellen (APIs; Application-Programming-Interfaces) sind die Hauptstütze für den Zugriff auf Dienste innerhalb von Clouds. Da Cloud-Anbieter die potenziellen Probleme mit herkömmlichen Authentifizierungsmethoden und Credential-Storage-Praktiken, wie hartcodierte Passwörter, realisiert haben, suchen sie nach Alternativen. So werden Authentifizierungsmechanismen (API-Schlüssel) und Metadaten-Dienste (temporäre Kennwörter) implementiert. Der API-Ansatz ist weit verbreitet in allen Cloud-Diensten, aber in vielen Fällen unsicher. Er bietet einen neuen Angriffsvektor für Hacker. Im Jahr 2017 und darüber hinaus dürften daher Sicherheitsverletzungen durch offene, unsichere APIs, um Clouds zu kompromittieren, häufiger auftreten. (Palo Alto/mh)