Cybergefahren frühzeitig erkennen: Wie KI die Cloud-Sicherheit stärkt

Ein Kommentar von CJ Moses, Chief Information Officer bei Amazon Web Services (AWS)

Ein effektives Gefahrenmonitoring im digitalen Raum erfordert erhebliche menschliche und digitale Ressourcen. Künstliche Intelligenz (KI) und maschinelles Lernen können Analysten dabei helfen, große Datenmengen effizient zu durchsuchen und auszuwerten. Ohne die Möglichkeit, relevante Informationen global zu sammeln und zu analysieren, bleibt das Monitoring jedoch wenig effektiv. Selbst Organisationen mit eigenem Monitoring von Cybergefahren, haben es ohne die globale Cloud-Infrastruktur schwer, zeitkritische Informationen im großen Maßstab zu teilen. Damit eine Cyber-Bedrohungsanalyse die Sicherheit in der Cloud effektiv verbessern kann, müssen große Mengen an Rohdaten schnell gesammelt und analysiert werden. Fehlalarme sollten dabei minimiert werden. Ein Beispiel hierfür wäre ein Szenario, in dem eine Bedrohungsaufklärung irrtümlich eine Insider-Bedrohung meldet, weil ein Mitarbeiter nach Feierabend auf sensible Daten zugreift, obwohl er eigentlich an einem dringenden Projekt arbeitet.

Die AWS-Infrastruktur verbessert die Cyber-Bedrohungsaufklärung durch die Analyse einer Vielzahl von Event-Signalen, was die Genauigkeit der Erkennung erheblich steigert. AWS verbessert kontinuierlich die Fähigkeit, sich verändernde Taktiken, Techniken und Verfahren (TTPs) von Cyberkriminellen zu erkennen und darauf zu reagieren. Dies geschieht unter anderem durch MadPot, ein global verteiltes Netzwerk von Honeypot-Sensoren, die automatisierte Reaktionen ermöglichen.

Mit diesem globalen Netzwerk und internen Tools wie MadPot analysiert AWS in Echtzeit Tausende von Ereignissignalen. MadPot beobachtet täglich weltweit über 100 Millionen potenzielle Bedrohungen, von denen etwa 500.000 als bösartig eingestuft werden. Diese Erkenntnisse ermöglichen es AWS, schnell auf Cyber-Bedrohungen zu reagieren und Kunden weltweit besser vor schädlichen Online-Aktivitäten zu schützen. Diese Informationen fließen auch in den Dienst Amazon GuardDuty ein, der automatisch Bedrohungen für Millionen von AWS-Konten erkennt.

Bösartige Domains im Visier

Die Identifizierung bösartiger Domains ist entscheidend für ein effektives Cybergefahren-Monitoring. Amazon GuardDuty generiert verschiedene Befunde (potenzielle Sicherheitsprobleme wie anomales Verhalten), wenn AWS-Kunden mit diesen Domains interagieren. Jede Domain erhält einen Reputationsscore, basierend auf verschiedenen Metriken, die ihre Vertrauenswürdigkeit bewerten. Mithra, ein internes neuronales Netzwerkmodell von AWS, verwendet Algorithmen zur Bedrohungsaufklärung, um bösartige Domains zu identifizieren und zu bewerten. Mit 3,5 Milliarden Knoten und 48 Milliarden Kanten ist Mithra in der Lage, täglich eine große Anzahl von DNS-Anfragen zu analysieren – bis zu 200 Billionen in einer einzigen AWS-Region. Mithra erkennt durchschnittlich 182.000 neue bösartige Domains pro Tag. Durch die umfassende Bewertung hilft Mithra AWS, weniger auf Drittanbieter angewiesen zu sein und schneller wertvolle Erkenntnisse zu generieren.

Mithra bietet nicht nur eine hohe Genauigkeit bei der Erkennung bösartiger Domains und minimiert Fehlalarme, sondern kann diese auch Tage, Wochen oder sogar Monate im Voraus vorhersagen, bevor sie in externen Bedrohungsfeeds erscheinen. Diese Fähigkeit ermöglicht es AWS, proaktiv auf Millionen von Sicherheitsereignissen zu reagieren.

AWS als Frühwarnsystem

AWS nutzt seine Bedrohungsaufklärung nicht nur zur Verbesserung der eigenen Sicherheitsdienste, sondern teilt diese Informationen auch proaktiv mit Kunden und anderen Organisationen, die potenziell von Cyberkriminellen ins Visier genommen werden könnten. Durch das Teilen dieser Informationen können frühzeitig Maßnahmen ergriffen werden, um ihre Risiken zu verringern und Störungen zu verhindern.

Beispielsweise benachrichtigt AWS weltweit Organisationen, wenn ihre Systeme möglicherweise kompromittiert wurden oder sie falsch konfigurierte Systeme betreiben, die anfällig für Angriffe sind, wie etwa offene Datenbanken. Cyberkriminelle scannen das Internet kontinuierlich nach solchen Schwachstellen. Je länger eine Datenbank ungeschützt bleibt, desto höher das Risiko, dass diese Schwachstellen ausgenutzt werden. Wenn AWS Eventsignale erhält, die auf eine mögliche Kompromittierung durch Dritte hinweisen, werden auch diese Organisationen benachrichtigt, um Schaden abzuwenden und ein sichereres Internet zu fördern.

Oftmals ist es für Kunden und andere Organisationen das erste Mal, dass sie von ihrer Kompromittierung erfahren, wenn AWS sie auf das Problem hinweist. Nach einer Benachrichtigung können sie aber sofort die notwendigen Schritte unternehmen, um sich zu schützen und Störungen zu verhindern. Diese proaktiven Maßnahmen umfassen Empfehlungen zur Überprüfung von Sicherheitsprotokollen, zur Blockierung bestimmter Domains, zur Implementierung von Schutzmaßnahmen, zur Änderung von Konfigurationen, zur Installation der neuesten Patches oder zum Einrichten einer Firewall. Diese Vorgehensweise hilft Organisationen, potenziellen Bedrohungen zuvorzukommen, anstatt nur zu reagieren.

AWS erhält von betroffenen Organisationen im Anschluss häufig eine Auswertung von Indikatoren, die dazu beitragen, das Verständnis für die Angriffsmechanismen zu verbessern. Dieses Wissen wird dann mit anderen geteilt, um auch ihre Sicherheit zu verbessern.

Bedrohungsaufklärung in der Praxis

In der Praxis zeigt sich der Nutzen der Cyber-Bedrohungsaufklärung durch AWS in verschiedenen Fällen. Beispielsweise entdeckte das MadPot-Sensornetzwerk ungewöhnlichen Netzwerkverkehr, der auf eine potenzielle Bedrohung durch Datenexfiltration hinwies. In einem anderen Fall identifizierte AWS proaktiv Infrastruktur, die für Phishing-Kampagnen gegen ukrainische Regierungsdienste genutzt werden sollte und teilte diese Informationen mit den betroffenen Stellen. Diese Maßnahmen zeigen, wie AWS durch seine Infrastruktur und Expertise die globale Sicherheit in der Cloud aktiv verbessert und Kunden besser vor Bedrohungen schützt.

AWS betreibt eine der vertrauenswürdigsten Cloud-Infrastrukturen der Welt und hat einzigartige Einblicke über die Cybergefahren und Herausforderungen, denen Kunden täglich gegenüberstehen. Die Bemühungen von AWS, Cyber-Bedrohungsaufklärung zu teilen, haben wesentlich dazu beigetragen, die Sicherheit seiner Kunden und anderer Organisationen zu erhöhen. AWS ist weiterhin bestrebt, innovative Wege zu finden, um seine Kunden auch in Zukunft bestmöglich zu unterstützen.