Adaptive Cybersecurity ist ein Ansatz, der als Reaktion auf eine sich schnell verändernde DevOps-Umgebung und die interconnectedness of everything (i.e IoT) immer häufiger verwendet wird. Das Ziel der Adaptiven Cybersecurity ist es, eine Feedback-Schleife von Bedrohungssichtbarkeits, -erkennung und -prävention zu schaffen, die immer effektiver wird.
Was ist Adaptive Cybersecurity?
Adaptive Cybersecurity ist ein Ansatz für die Cybersicherheit, der Verhaltensweisen und Ereignisse analysiert, um vor Bedrohungen zu schützen und sich an diese anzupassen, bevor sie auftreten.
Mit einer adaptiven Sicherheitsarchitektur kann eine Organisation das Risiko kontinuierlich bewerten und automatisch eine proportionale Durchsetzung bereitstellen, die hoch- oder heruntergewählt werden kann.
Unternehmen sind heute ständigen Sicherheitsbedrohungen ausgesetzt, die sowohl von externen als auch von internen Quellen ausgehen. Sie müssen wachsam und vorbereitet sein und einen robusten Satz von Sicherheitsrichtlinien pflegen, die im gesamten Unternehmen angewendet werden können.
Aufgrund der ständigen Weiterentwicklung von Sicherheitsbedrohungen reicht es für Unternehmen nicht mehr aus, lediglich Blockiermechanismen oder After-the-Event-Verfahren einzusetzen, um Angriffe zu verhindern und darauf zu reagieren.
Sie müssen fortschrittlichere Sicherheitsplattformen einsetzen, die in der Lage sind, sich an die neuesten Bedrohungen anzupassen und dynamische Schutz- und Reaktionsmechanismen zu verwenden.
Die kurze Geschichte dahinter
Sun Microsystems (2010 von Oracle übernommen) prägte 2008 den Begriff „Adaptive Security Architecture“. Diese Architektur würde in der Lage sein, Bedrohungen zu antizipieren, auf sie zu reagieren und sie einzudämmen. Während sie gleichzeitig die Verstärkung der Bedrohung, die Angriffsfläche, die Geschwindigkeit und die Wiederherstellungszeit reduziert.
Es handelte sich um ein Architekturmodell, das ein biologisches Autoimmunsystem auf mikroskopischer Ebene und ökologische Systeme auf makroskopischer Ebene nachahmt.
Biologische Systeme können auf neue Bedingungen reagieren und sich anpassen. Sie reagieren auf Bedrohungen dynamisch mit einer angeborenen, unwillkürlichen Reaktion des Immunsystems. Ökologische Systeme bestehen aus verschiedenen Komponenten und sind nicht von einer einzigen Entität abhängig, um zu überleben. Sie sind vielfältig und widerstandsfähig.
Beide Systeme sind auf Rückkopplung angewiesen, um ihre Fähigkeit zu erhöhen, auf Bedrohungen zu reagieren. Diese dynamische, autonome Reaktion, die in der Natur zu finden ist, versuchten die Erfinder des adaptiven Sicherheitsmodells zu imitieren.
Definition und Vorteile von Adaptiver Cybersecurity
Adaptive Cybersecurity ist ein Sicherheitsmodell, bei dem die Überwachung von Bedrohungen kontinuierlich bleibt und sich verbessert, wenn sich die Cybersicherheitsrisiken im Laufe der Zeit ändern und weiterentwickeln.
Zu den traditionellen Sicherheitsmethoden der Vergangenheit gehörten Antivirensoftware, Intrusion Defense Systeme (IDS), Intrusion Prevention Systeme (IPS) und Firewalls. Diese Ansätze sind einfach nicht mehr ausreichend.
Entwicklungspraktiken und -umgebungen sind nicht mehr statisch. Sicherheitssysteme müssen sowohl in die Continuous-Deployment-IT als auch in die virtuelle Cloud und hybride Umgebungen integriert werden.
Mithilfe von Heuristiken – definiert als das Gewinnen von Wissen aus Erfahrung – untersucht adaptive Sicherheitssoftware Muster und Verhaltensweisen. Anstatt nur Protokolldateien zu untersuchen, Kontrollpunkte zu überwachen und auf Warnmeldungen zu reagieren.
Es handelt sich um einen intuitiven Intelligenzansatz, der darauf abzielt, Methoden und Techniken zu identifizieren, wie sie von Cyber-Kriminellen verwendet werden. Um einen Angriff zu verhindern und potenziell in Millisekunden auf eine Verletzung zu reagieren.
Adaptive Cybersecurity ermöglicht die frühzeitige Erkennung von Sicherheitskompromittierungen und eine automatische, autonome Reaktion, wenn ein bösartiges Ereignis auftritt. Weitere Vorteile der Implementierung einer adaptiven Sicherheitsarchitektur sind:
- Verhinderung von Datendiebstahl und Sabotage.
- Eine Bedrohung sofort eindämmen, wenn sie auftritt.
- Die Verweildauer von Bedrohungen verringern.
- Laufende Sicherheitsverstöße erkennen.
- Die Ausbreitung einer Pandemie stoppen.
- Vermeiden einer System-Monokultur.
Bei der Adaptiven Cybersecurity gibt es kein einzelnes System oder einen einzelnen Prozess. Es handelt sich um ein mehrstufiges, rund um die Uhr überwachtes System, das darauf ausgelegt ist, sich weiterzuentwickeln, wenn Cyber-Bedrohungen und -Angriffe immer raffinierter und komplexer werden.
Traditionelle Sicherheit vs. Adaptive Cybersecurity
Traditionelle Sicherheitsdienste reichen für das moderne Unternehmen von heute nicht mehr aus. In einer agilen Geschäftsumgebung, die tagtäglich immer häufiger hochentwickelten Bedrohungen ausgesetzt ist, kann die Reaktion auf Vorfälle im Nachhinein zu Umsatzeinbußen und Reputationsschäden führen.
Adaptive Cybersecurity bietet eine Echtzeitüberwachung der Netzwerksicherheit, die das Netzwerk auf Anomalien, bösartigen Datenverkehr und Schwachstellen untersucht.
Wenn eine Bedrohung erkannt wird, implementiert die Plattform automatisch Sicherheitsmaßnahmen, die der Bedrohung auf verschiedene Weise entgegenwirken. Dazu gehören die folgenden Methoden:
Präventiv: Präventive Funktionen ermöglichen es Unternehmen, Produkte, Prozesse und Richtlinien zu erstellen, die jedem Cyberangriff entgegenwirken.
Detektivisch: Die detektive Schicht der adaptiven Sicherheit identifiziert die Angriffe, die nicht von der präventiven Schicht abgefangen werden. Ziel ist es, die Zeit zu verkürzen, in der Bedrohungen erkannt werden, und zu verhindern, dass potenzielle Risiken zu tatsächlichen Risiken werden.
Retrospektiv: Diese Schicht gräbt noch tiefer ins Detail und sucht nach den Bedrohungen, die von der detektiven Schicht nicht erkannt wurden. Bei der retrospektiven Analyse werden forensische Informationen generiert, die zur Vermeidung zukünftiger Vorfälle genutzt werden können.
Prädiktiv: Die prädiktive Schicht schließlich versorgt IT-Teams mit Warnungen über externe Ereignisse. Durch die Überwachung von Hackeraktivitäten antizipiert diese Schicht auch neue Angriffsarten und liefert Informationen, die zur weiteren Verbesserung der detektiven und präventiven Schicht verwendet werden können.
Analytik und Maschinelles Lernen
Ein primärer Grundsatz der Adaptiven Cybersecurity ist es, immer davon auszugehen, dass mit dem System etwas nicht stimmt. Kontinuierliche Überwachung und Verbesserungen der Sicherheitsarchitektur sind die Hauptprioritäten.
Der Modus Operandi besteht darin, nicht auf einen Vorfall zu warten, sondern ihn zu erwarten, ihn zu identifizieren und zu reagieren, bevor er die Chance hat, in das System einzudringen.
Es muss ein proaktives Ansatzmodell im Gegensatz zu einem reaktiven sein. Sicherheitsanalytik und maschinelles Lernen sind Schlüsselkomponenten einer adaptiven Sicherheitsarchitektur. Darüber hinaus erkennen deskriptive Analysen anomale Ereignisse, diagnostische Analysen helfen zu erklären, warum ein unerwünschtes Ereignis eingetreten ist.
Prädiktive Analysen können verdächtiges Verhalten auf der Grundlage historischer Daten und Muster identifizieren – sowohl auf mikroskopischer als auch auf makroskopischer Ebene.
Da endlose Mengen an Big Data in Data Warehouses in der Cloud gespeichert sind und bösartige Aktivitäten, die als legitime Befehle getarnt sind, kann maschinelles Lernen einen nützlichen Zweck erfüllen. Es kann ein Sicherheitsteam unterstützen, indem es viele Prozesse automatisiert, wie z. B. die in der Analytik verwendete Mustererkennung.
Das Computer Science and Artificial Intelligence Lab (CSAIL) des MIT entwickelt eine adaptive Sicherheitsplattform namens AI2. Mithilfe von maschinellem Lernen werden Daten aus zig Millionen von Datenprotokollen pro Tag überprüft.
Es reduziert die Anzahl der Ereignisse, die ein Cybersicherheitsanalyst überprüfen muss, von ein oder zweihundert auf zehntausende. Mit der Fähigkeit, selbstständig aus vergangenen Erfolgen und Fehlern zu lernen, hat es eine Erfolgsquote von 85 % bei der Vorhersage von Cyberangriffen.