BLOG

Threat Stack ergänzt ThreatML™ um erweitertes überwachtes Lernen für tiefgreifende Erkennung

John Pinkham Miniaturbild
Johannes Pinkham
Veröffentlicht am 07. Juni 2022

Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.

Weil Anomalieerkennung für Cloud-native Sicherheit nicht mehr ausreicht

Bisher mussten sich Organisationen, die ihre Cloud-native Infrastruktur sichern wollten, auf die Anomalieerkennung verlassen. Doch selbst die Möglichkeiten dieser Art maschinellen Lernens wurden durch technische Schwierigkeiten und einen Mangel an Daten eingeschränkt, was eine gründliche Erkennung von Bedrohungen verhinderte.

Nicht mehr.

Die neueste Version von ThreatML von Threat Stack basiert jetzt auf überwachtem maschinellem Lernen. ThreatML ist für Threat Stack-Kunden verfügbar und geht jetzt über die reine Anomalieerkennung hinaus, die den aktuellen Industriestandard darstellt. ThreatML bietet eine eng fokussierte, hochwirksame Bedrohungserkennung auf Verhaltensbasis für einen Ansatz zur Tiefenerkennung, der den komplexen Regelsatz von Threat Stack mit überwachtem maschinellem Lernen kombiniert.

Über den aktuellen Stand der Einbruchs- und Bedrohungserkennung hinausgehen

DevSecOps-Teams und andere Sicherheitsgruppen sind bei der ordnungsgemäßen Durchführung von Sicherheitsoperationen ständig eingeschränkt. Einer aktuellen Studie zufolge, an der über 200 Leiter und Manager von DevSecOps-Teams, CISOs (Chief Information Security Officer), Cloud-Sicherheitsingenieure und -Architekten und andere teilnahmen, sind Cloud-Sicherheitsteams regelmäßig mit folgenden Problemen konfrontiert:

  • Personalprobleme / Mangel an Arbeitskräften
  • Kleine Budgets
  • Wahrnehmung von „keinem Mehrwert“ durch Führungskräfte auf C-Ebene
  • Zeit- und Ressourcenbedarf
  • Zu viele konkurrierende tägliche Prioritäten
  • Druck zur Erreichung betrieblicher Effizienz

Darüber hinaus führen immer ausgefeiltere Bedrohungen zu sich weiterentwickelnden Gefahren und Schwachstellen, die die Sicherheitsteams im Griff behalten müssen.

Die meisten Anbieter von Cloud-Sicherheit möchten eine Kombination aus Cloud-Sicherheit und Betriebseffizienz bieten. Daher versuchen sie, diese Probleme durch die Erkennung und Meldung von Anomalien zu lösen. Das heißt, sie entwickeln Programme und Lösungen, die sich auf das Auffinden und Melden von Dingen konzentrieren, die scheinbar vom historischen Grundverhalten einer Organisation abweichen.

Warum? Ganz einfach: Tools und Lösungen, die lediglich Anomalien oder Abweichungen vom normalen Basisverhalten an die Oberfläche bringen, erfordern kein umfangreiches Feintuning, Training, Priorisierung oder Überprüfung von Warnmeldungen. Dadurch erhalten die Kunden eine notwendige Methode zur Angriffserkennung, die den Druck auf die Durchführung täglicher Sicherheitsvorgänge verringert. Tatsächlich rühmen sich einige Unternehmen, „nur ein paar“ Anomalieerkennungsberichte pro Tag bereitzustellen. Wie wir bereits in der Vergangenheit geschrieben haben, ist eine künstliche Begrenzung der Anzahl generierter Warnmeldungen kein gutes Maß – und kann sogar eine Gefahr für die Cloud-native Sicherheit eines Unternehmens darstellen. Bei der Anomalieerkennung müssen sich Organisationen immer folgende Fragen stellen: Welche Bedrohungs- und Einbruchswarnungen dürfen wir nicht übersehen?

Ein einzelnes derartiges Erkennungsverfahren allein reicht nicht aus.

Es gibt mehrere Gründe, warum die Anomalieerkennung nicht ausreicht, um Cloud-Umgebungen zu sichern:

  1. Abnormales, anomales oder von einem typischen Ausgangswert abweichendes Verhalten stellt nicht immer eine Bedrohung dar. Eine Warnung bei diesem Verhaltenstyp kann zu einem falschen Positiv führen.
  2. Ein normal erscheinendes Verhalten muss nicht unbedingt gut sein. Das Ignorieren bestimmter Verhaltensweisen, nur weil diese gemäß den Regeln als normal gelten, führt zu falsch-negativen Ergebnissen.

Tools, die nur eine Erkennungsmethode wie die Anomalieerkennung bieten, übersehen kritische Verhaltensweisen, die auf echte Bedrohungen hinweisen. Diese Systeme sind so konzipiert, dass sie nur das an die Oberfläche bringen, was anders aussieht. Kurz gesagt: Wenn Sie nur die Anomalieerkennung verwenden, wird die Sicherheit zugunsten der Betriebseffizienz geopfert.

Wie Threat Stack ThreatML auf Basis von Kundenfeedback erweitert hat

Als die Entwicklungsteams von Threat Stack mit Kunden sprachen, wurde es immer deutlicher: DevSecOps und andere Cloud-Sicherheitsteams benötigen ein robustes, innovatives Cloud-Sicherheitstool, das mehrere Lösungen bietet. Es muss:

  1. Bieten Sie eine umfassende Abdeckung sowohl bekannter als auch unbekannter Sicherheitsbedrohungen;
  2. Eliminieren Sie falsche Negative;
  3. Falsche Positivmeldungen erkennen und behandeln
  4. Halten Sie betriebliche Einschränkungen gering
  5. Beschränken Sie die Ergebnisse auf echte, umsetzbare Bedrohungen
  6. Erstellen Sie Filter und Modelle, die kritische Verhaltensweisen nicht übersehen
  7. Einfache Bereitstellung, Verwaltung und tägliche Ausführung

Über die bloße Anomalieerkennung hinaus zur umfassenden Bedrohungserkennung

Um diesen Kundenanforderungen gerecht zu werden, versuchte Threat Stack, einen Ansatz zur umfassenden Erkennung zu entwickeln, der sowohl bekannte als auch unbekannte Bedrohungen aufdecken und gleichzeitig die Fehlalarme eliminieren konnte. Das Ziel bestand darin, über die Anomalieerkennung hinauszugehen und ein besseres Bild der Umgebung eines Kunden zu liefern.

Die Lösung? Die erweiterte Version von ThreatML nutzt überwachtes Lernen, um durch einen tiefgreifenden Erkennungsansatz eine hochwirksame Bedrohungserkennung für Verhaltensweisen zu ermöglichen. Durch Threat Stacks neuartigen Einsatz von überwachtem Lernen für die Cloud-Sicherheit können Sicherheitsteams die Daten ihres Unternehmens schützen und gleichzeitig für betriebliche Effizienz sorgen.

ThreatML mit überwachtem Lernen: Maschinelles Lernen richtig gemacht

Ein Hauptgrund dafür, dass Anbieter kein überwachtes Lernen nutzen, besteht darin, dass hierfür täglich Milliarden von Ereignissen gekennzeichnet werden müssen, um die Algorithmen zu trainieren. Mit anderen Worten: Überwachtes Lernen erfordert Daten, und zwar viele Daten, und diese Daten müssen klassifiziert werden. Und das Klassifizieren von Daten kann eine äußerst arbeitsintensive Tätigkeit sein, die viele Dateningenieure erfordert.

ThreatML verfolgt einen neuartigen Ansatz für überwachtes Lernen, indem es die umfangreiche Regel-Engine von Threat Stack nutzt, um täglich über 60 Milliarden Daten in Echtzeit zu klassifizieren und zu kennzeichnen. Diese Art gekennzeichneter Daten im großen Maßstab ist eine Voraussetzung, um das Potenzial des überwachten Lernens voll auszuschöpfen.

Sobald ein Verhalten die Regel-Engine durchlaufen hat, kann es analysiert werden. Threat Stack hat eine Inferenzmaschine entwickelt, die die gekennzeichneten und klassifizierten Daten nutzt, um Verhaltensvorhersagen zu treffen. Die Inferenzmaschine ermittelt anhand von Daten aus umgebenden Ereignissen, ob das Verhalten vorhersehbar ist. Unvorhersehbares Verhalten stellt eine Bedrohung mit hoher Priorität dar, die dem Kunden als Warnung angezeigt wird.

Durch das Hinzufügen von überwachtem Lernen zu unserer Regel-Engine erhalten Threat Stack-Kunden mehrere Erkennungsmethoden, um Bedrohungen für ihre Cloud-Umgebung abzufangen. Damit können Organisationen die Frage beantworten: „War dieses Verhalten angesichts des historischen Verhaltens dieser Arbeitslast vorhersehbar oder nicht?“ Vorhersehbares Verhalten kann getrost ignoriert werden, während unvorhersehbares Verhalten eine echte Bedrohung darstellt, die Konsequenzen nach sich zieht.

Daher ermöglicht ThreatML den Kunden, sich nur auf die Bedrohungen mit der höchsten Priorität für ihre Umgebung zu konzentrieren. Dies begrenzt die Alarmmüdigkeit und verbraucht weniger Ressourcen. Der Ansatz des überwachten Lernens basiert auf Regeln, um Modelle automatisch und kontinuierlich zu trainieren und bietet Kunden so eine Möglichkeit zur Bedrohungserkennung mit geringem Aufwand und hoher Wirksamkeit. Dies ähnelt den Versprechungen zur Anomalieerkennung für die Betriebseffizienz – allerdings besteht bei der Methode des überwachten Lernens nicht das Risiko, die Bedrohungen mit der höchsten Priorität für die Umgebung eines Unternehmens zu übersehen.

Um zu besprechen, wie das neue ThreatML von Threat Stack mit überwachtem Lernen die täglichen Cloud-Sicherheitsvorgänge Ihres Unternehmens unterstützen kann, kontaktieren Sie uns noch heute.

Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.