Mehr Sicherheit, weniger Handarbeit: AWS bringt die KI-Security
Im Rahmen seiner Sicherheitskonferenz re:Inforce 2025 hat AWS drei seiner Sicherheitsdienste aktualisiert: Security Hub, Shield und GuardDuty XTD. Sie sollen künftig nicht mehr nur isolierte Einzelmeldungen ausgeben, sondern durch KI-gestützte Korrelation und Priorisierung dabei helfen, kritische Bedrohungen schneller zu erkennen und effizienter zu beheben. Die neuen Funktionen in Security Hub und Shield stehen seit dem 17. Juni 2025 als Public Preview zur Verfügung; die EKS-Erweiterung von GuardDuty XTD ist seitdem allgemein verfügbar.
Security Hub mit Priorisierungslogik
Durch eine umfassende Erweiterung des AWS Security Hub sollen Sicherheitsteams in der Lage sein, Risiken effizienter zu bewerten. Hohe Alert-Overloads überwältigen Security-Verantwortliche oft, weshalb AWS in der neu vorgestellten Preview-Version Sicherheitsmeldungen aus mehreren Quellen korreliert und besonders kritische Bedrohungen automatisch hervorhebt. Das soll Reaktion und Remediation beschleunigen.
Bisher diente der AWS Security Hub ausschließlich dazu, Sicherheitsmeldungen und Compliance-Informationen verschiedener AWS-Dienste an einem zentralen Ort zusammenzuführen. Nun hat Amazon eine erweiterte Vorschauversion vorgestellt, die zusätzliche Funktionen bietet: Sicherheitswarnungen werden von einer speziell trainierten KI im AWS-Backend miteinander in Beziehung gesetzt, um Zusammenhänge besser sichtbar zu machen und kritische Sicherheitsvorfälle leichter zu erkennen. Diese neue Korrelationsebene bindet unter anderem Sicherheitsdienste wie Amazon GuardDuty, Amazon Inspector, AWS Cloud Security Posture Management (CSPM) und Amazon Macie stärker ein und lässt deren Informationen in der zentralen Benutzeroberfläche gebündelt einsehen. Neu ist ein überarbeitetes Dashboard, das Sicherheitsmeldungen übersichtlicher kategorisiert und eine priorisierte Betrachtung der Risiken erleichtert.
AWS Shield warnt proaktiv und frühzeitig
Die Preview-Version von AWS Shield führt automatisierte Analysen von Netzwerkkonfigurationen und zugehörigen Ressourcen durch. Das soll Unternehmen dabei unterstützen, Sicherheitsrisiken frühzeitig zu erkennen und zu beheben sowie notwendige Anpassungen vorzunehmen, um Compliance-Anforderungen zu erfüllen.
Vielen Sicherheitsteams fehlt häufig ein vollständiger Überblick über Ressourcen, Verbindungen und aktive Schutzmaßnahmen in ihrer AWS-Umgebung. Die Bewertung der Netzwerkkonfiguration im Vergleich zu Best Practices sowie die Auswahl geeigneter Schutzmaßnahmen erfordert oft großen manuellen Aufwand und spezialisiertes Wissen.
Der neue Network Security Director in AWS Shield soll diesen Prozess über drei zentrale Funktionen automatisieren: Zunächst identifiziert der Dienst AWS-Ressourcen, deren Verbindungen und bereits bestehende Sicherheitskonfigurationen. Basierend auf dieser Analyse werden die Ressourcen nach ihrer Sensitivität eingestuft und Schwachstellen in der Konfiguration nach Kritikalität geordnet. Darauf aufbauend sowie durch Best-Practice-Vorgaben liefert AWS Shield konkrete Handlungsempfehlungen zur Absicherung der identifizierten Schwachstellen. Sie umfassen unter anderem Schritt-für-Schritt-Anleitungen, um AWS-Sicherheitsdienste wie AWS WAF, Amazon VPC-Sicherheitsgruppen oder Network Access Control Lists (ACLs) in die Cloud-Umgebung zu implementieren.
Ein solches Vorgehen soll Fehlkonfigurationen in der Netzwerksicherheit frühzeitig erkennen und bekannte Bedrohungen wie SQL-Injection- und DDoS-Angriffe besser abwehren. Somit adressiert der Dienst zentrale Anwendungsfälle wie den Schutz öffentlich erreichbarer Anwendungen ebenso wie die Kontrolle von Zugriffsrechten auf Netzwerkressourcen.
GuardDuty: Container-Bedrohungen im Visier
Auf die Frage, wie man komplexe Angriffsketten in Kubernetes-Clustern erkennt, will AWS mit GuardDuty XTD die Antwort liefern. Sie richtet sich gezielt an Teams, die containerisierte Anwendungen mit Amazon Elastic Kubernetes Service (EKS) betreiben.
Während GuardDuty bisher primär VPC-Flow-Logs, CloudTrail-Events und DNS-Aktivitäten auswertete, bezieht es nun zusätzlich EKS-Audit-Logs, Laufzeitinformationen und Anomalien bei Container-Deployments ein. Jegliche Anzeichen von Kompromittierung-Ereignissen – wie dem Deployment privilegierter Container, Reverse Shells oder Krypto-Mining – verwandelt der Dienst in eine konsolidierte Bedrohungskette. In einer internen Testphase wurden bei Millionen überwachter AWS-Konten über 13.000 realistische Angriffsmuster erkannt.
Im Gespräch mit iX erklärte Robert Kennedy, VP Security Services bei AWS, dass die zugrunde liegende KI in allen drei Diensten aktiv ist. Sie wurde speziell auf Basis von Kundendaten und interner AWS-Telemetrie trainiert und wird bereits in der Public Preview produktiv genutzt – mit durchweg positivem Feedback zu ihrer Präzision und Zuverlässigkeit.
Einen Überblick der Ankündigungen von der re:Inforce finden Leser im AWS-Blog.
