Auf dem Weg zur dritten Phase der digitale Transformation ist die Erfassung und Analyse von Daten und Telemetriedaten von jedem Punkt des Pfads vom Code zur Application von entscheidender Bedeutung. Unternehmen verlassen sich in hohem Maße auf Analysen mit maschinellem Lernen, die alle möglichen Daten liefern, beispielsweise Nutzungsmuster der Verbraucher, Bestandsverfolgung und saisonale Schwankungen, die die Leistung verbessern, die Effizienz steigern und den Wettbewerbsvorteil erhöhen. Gleichzeitig ist maschinelles Lernen auch von entscheidender Bedeutung für die Bekämpfung der fortgeschrittenen Sicherheitsbedrohungen, denen Unternehmen heute und in Zukunft ausgesetzt sein werden.
Dennoch gibt es immer noch eine Debatte über die Sicherheitsarchitektur, die für die Realisierung des Werts des maschinellen Lernens von entscheidender Bedeutung ist: Paketfilterung oder Proxy? Diese Debatte tobte bereits vor fast zwanzig Jahren, als ich Praktikant in der Security Innovation Group im Büro des CTO von Cisco war, und sie dauert heute noch an.
Anfangs schien sich die Paketfilterung im Netzwerk durchzusetzen, da der Schwerpunkt auf Geschwindigkeiten und Feeds lag. Paketfilteransätze arbeiten mit einzelnen Paketen, was sie in der Vergangenheit oft schneller machte als ihre verbindungsorientierten Proxy-Gegenstücke. Auf Paketfilteransätzen basierende Sicherheitslösungen entwickelten sich zu zustandsbehafteten Engines weiter, die „anwendungsbewusst“ wurden und einen stärkeren Schwerpunkt auf Application und Identität legten. Dennoch beruhte der zentrale Wertbeitrag der auf Paketfilterung basierenden Sicherheit in hohem Maße auf der schnellen Überprüfung einzelner Pakete.
Mit der Zeit entwickelten sich jedoch anwendungsfähige, programmierbare Proxys, die einen Mehrwert boten, der die frühen Vorteile der Paketfilterung in den Schatten stellte. Der Schlüssel zu diesem Wert ist zweifach: Erstens ermöglichen Proxys Einblick in jede Interaktion – vom Benutzer zur Application, vom Netzwerk zur Application und über logische Geschäftsabläufe hinweg – und ermöglichen so die Erkennung fortgeschrittener Angriffe. Und zweitens kann ein programmierbarer Proxy Code einfügen, Header anreichern und Trace-Daten einfügen, um Clients und Applications dynamisch zu instrumentieren. Mit anderen Worten: Eine Inspektion reichte nicht mehr aus. Proxys bieten die entscheidende Möglichkeit, Interaktionen mit der Breite und Tiefe an Daten zu instrumentieren, die erforderlich sind, um Muster zu erkennen und umsetzbare Erkenntnisse zur Sicherheit zu gewinnen.
Es besteht eindeutig weiterhin Bedarf, schlechten Datenverkehr herauszufiltern und die Prüffunktionen auf den guten Datenverkehr zu konzentrieren. Dadurch erhalten Unternehmen die Möglichkeit, sowohl in die Breite als auch in die Tiefe vorzugehen, und zwar mithilfe einer Architektur, die sich an einem „Zero Trust“-Designansatz orientiert, indem sie die Benutzeridentität mit anderen Zugriffskontrollrichtlinien verknüpft.
Darüber hinaus sind die Angriffe inzwischen ausgefeilter und reichen über rudimentäre Angriffe hinaus, die durch eine „Point-in-Time“-Analyse einer Verbindung mit einem einzelnen Inline-Gerät wie einer WAF erkannt werden. Für die Erkennung und Abwehr komplexer Angriffe ist die Korrelation mehrerer Signale oder Datenpunkte über einen bestimmten Zeitraum hinweg über den gesamten Datenpfad hinweg erforderlich.
Die Zukunft der Sicherheit beruht auf Telemetrie, die mehr ist als das Herausfiltern technischer Datenpunkte aus Paketen. Es erfordert eine ganzheitliche Betrachtung der Interaktionen vom Client über die Application bis hin zum Verhalten. Um Muster zu erkennen und zu etablieren, benötigt maschinelles Lernen enorme Datenmengen. Aus diesem Grund sind programmierbare Proxys ein so wichtiger Teil eines fortschrittlichen Sicherheitsansatzes. Die von der Instrumentierung empfangenen hochpräzisen Daten gewährleisten umfangreiche Daten, die einen Schutz vor Application und sogar deren Vorhersage ermöglichen.
Letzten Endes wird es für Unternehmen sehr schwierig sein, die Leistungssteigerungen, Effizienzgewinne und Wettbewerbsvorteile zu erzielen, die maschinelles Lernen mit sich bringen kann, wenn sie ständig gegen hochentwickelte Angriffe ankämpfen und dabei nur die Hälfte der Werkzeuge nutzen, die ihnen zur Verfügung stehen.