Die steigende Komplexität hybrider Cloud-Umgebungen veranlasst immer mehr Unternehmen, künstliche Intelligenz einzusetzen: Sei es zur effizienten Ressourcenverteilung oder für eine verbesserte Sicherheitsüberwachung. Doch KI ist extrem abhängig von einer soliden Datengrundlage, die sie sehen und analysieren kann. Gerade hier liegt die Herausforderung. Denn in den komplexen Netzwerken von heute gibt es zahlreiche Blind Spots.
Von Ali Moniri, Technical Lead EMEA bei Gigamon.
KI-Integration ist nicht mehr nur ein Thema in der Software-Entwicklung und Programmierung, sondern längst auch in der operativen IT-Sicherheit angekommen. Von Bedrohungserkennung über Incident Investigation bis hin zu Compliance-Überprüfungen – die Einsatzmöglichkeiten der Technologie sind vielfältig.
Doch dabei gibt es eine elementare Einschränkung, die gerne übersehen wird: KI kann nur so gut sein, wie die Datengrundlage, die sie sehen und analysieren kann. Und in den komplexen Netzwerken von heute gibt es viele Blind Spots.
Einschränkungen durch mangelnden Einblick
Frühe Projekte mit KI-gestützten Analysen für Sicherheit und Leistung haben sich hauptsächlich auf Logs und Events gestützt. Diese sind zwar nützlich, zeigen jedoch nur, was die Systeme melden, und nicht, was tatsächlich auf der Netzwerkebene vor sich geht. Diese Unterscheidung ist allerdings besonders wichtig, da es längst zum Standard-Repertoire von Cyberkriminellen gehört, die Meldungen von Logs und Endpoint-Detection-Systemen zu manipulieren.
In Umgebungen, die sich heute über Rechenzentren, Clouds, virtuelle Maschinen und Container erstrecken, gibt es eine Vielzahl von Aktivitäten, die über den Horizont von Logs hinausreichen. East-West-Traffic bewegt sich lateral zwischen Hosts und Workloads. Verschlüsselte Kommunikation kann riskante Aktivitäten verschleiern und DNS- und TLS-Aktivität geben häufig einen Hinweis auf Bedrohungen im Frühstadium.
Ohne den Einblick in den fließenden Traffic ist KI darauf angewiesen, mit unvollständigen, manchmal sogar irreführenden Datensätzen zu arbeiten. Dies kann dazu führen, dass Angriffe nicht erkannt werden, wenn sie sich nur gut genug ins Log-Rauschen einfügen.
Andererseits können auch übertriebene Warnmeldungen ausgegeben werden, wenn Systeme auf Teilinformationen überreagieren. Dies kostet letztlich Zeit, da Teams manuell rekonstruieren müssen, was tatsächlich passiert ist – was natürlich nicht Sinn einer KI-Intagration sein sollte.
Netzwerktelemetrie als KI-Fundament
Netzwerktelemetrie beschreibt die automatisierte Erfassung und Analyse von hochpräzisen Daten aus Netzwerkgeräten, Datenströmen und Infrastrukturkomponenten. Durch die direkte Beobachtung des Datenverkehrs im Netzwerk über physische, virtuelle, Cloud- und containerisierte Umgebungen erfasst Netzwerktelemetrie, was Anwendungen, Benutzer und Systeme tatsächlich tun – nicht nur, was sie weitermelden.
Dazu zählt unter anderem eine präzise Darstellung, welche Komponenten miteinander kommunizieren, an welchen Stellen Daten nach außen fließen und welche Anwendungen sowie Protokolle tatsächlich im Einsatz sind. Gleichzeitig fließen ungewöhnliche Traffic-Spitzen in die Analyse ein, ebenso wie Bereiche, in denen Latenzen oder andere Auffälligkeiten auftreten
Allerdings sind die mittels Netzwerktelemetrie erfassten Rohdaten noch nicht für die Massenverarbeitung durch KI-Lösungen aufbereitet. Hier kommt eine Deep Observability Pipeline ins Spiel: Darin wird der Netzwerkverkehr analysiert und in strukturierte, angereicherte Telemetriedaten umgewandelt, die KI-gestützte Systeme tatsächlich verwenden können.
Der Datenverkehr wird klassifiziert, kontextualisiert und in Metadaten überführt, die reales Verhalten widerspiegeln, statt auf Annahmen zu basieren. Dazu zählen die Anwendungsidentität selbst bei manipulierten Ports, DNS-Muster mit Hinweisen auf Tunneling oder Command‑and‑Control sowie der TLS‑Status, einschließlich schwacher Verschlüsselung und fehlerhafter Zertifikate.
Ergänzt wird dies durch Leistungsindikatoren auf Netzwerk‑ und Anwendungsebene, Verbindungen zu verdächtigen Zielen und verschlüsselten Traffic, der gegen Sicherheits‑ oder Compliance‑Vorgaben verstößt.
Anstatt fragmentierte Logs mühsam zusammenzuführen, erhält die KI Zugang zu einem konsistenten, vertrauenswürdigen und angereicherten Datensatz, der sämtliche Daten in Bewegung beschreibt. So werden aus dem Netzwerk abgeleitete Anwendungsmetadaten zu einem Multiplikator für bestehende Tools.
Wenn Unternehmen diese Daten in KI-fähige SIEM-Plattformen einspeisen, profitieren Teams von präziseren Erkennungen mit weniger Blind Spots, fokussierten und zielgerichteten Untersuchungen sowie einer verbesserten Grundlage für Reaktionsmaßnahmen.
Netzwerktelemetrie liefert auch über den Sicherheitsbereich hinaus Mehrwert: Dank der bereitgestellten Informationen können KI-Systeme die Performance Netzwerk-, Anwendungs- und Infrastruktur-Ebenen hinweg analysieren und bei drohenden Leistungsproblemen direkt Alarm schlagen. Unternehmen, die das Beste aus ihren KI-gestützten Tools herausholen wollten, sollten diese also mit Netzwerktelemetrie und Deep Observability unterstützen.