Wiz
Alle ArtikelAI Security

Sicherheit des Modellkontextprotokolls

Snegha Ramnarayanan
MCP-SicherheitsleitfadenWie Grammarly die Triage mit MCP um 90 % reduziert hat
Haupterkenntnisse aus diesem Artikel:

  • MCP fungiert als universelle Sicherheitskontrollebene, die die Durchsetzung von Richtlinien in KI-Workflows des Unternehmens standardisiert. 

  • Es schafft auch direkte Wege zwischen KI-Systemen und Unternehmensressourcen, wodurch traditionelle Sicherheitsgrenzen aufgehoben und einzelne Kompromittierungen katastrophal werden.

  • Herkömmliche Sicherheitstools können'nicht mit MCP umgehen's Echtzeit-Interaktionen, so dass Unternehmen blind für ihre tatsächliche Risikoexposition sind.

  • Die Durchsetzung von Richtlinien in Echtzeit verhindert hochriskante Aktionen, indem jede Anforderung vor der Ausführung ausgewertet wird.

Kürzlich Modell-Kontext-Protokolloder MCP (MCP) hat sich zu einem bevorzugten Framework für die Integration von Unternehmensdatenbanken, APIs und anderen kritischen Infrastrukturen in KI-Systeme entwickelt. Ein Open-Source-Projekt Von Anthropischist MCP für die Durchsetzung von Best Practices für die Sicherheit gedacht und fügt jeder Aktion oder jedem Tool eine richtlinienbasierte Entscheidungsfindung hinzu.

Aber nur wenige Unternehmen haben die Auswirkungen auf die Sicherheit berücksichtigt, die sich aus einer so weit verbreiteten Einführung von MCP ergeben. MCP schafft direkte Wege zwischen KI-Modellen und Unternehmensressourcen, wodurch traditionelle Sicherheitsgrenzen, die auf Systemisolierung beruhen, effektiv beseitigt werden. Wenn Angreifer also einen einzelnen MCP-Server kompromittieren (einen, der noch nicht richtig gehärtet wurde), erhalten sie Zugriff auf mehrere Unternehmenssysteme gleichzeitig. 

Das ist eine schlechte Nachricht: Die meisten MCP-Implementierungen erfordern erhöhte Berechtigungen, um effektiv zu funktionieren, und diese Systeme verarbeiten routinemäßig sensible Vorgänge wie Datenbankabfragen von Kunden und Infrastrukturbefehle.

In diesem Beitrag stellen wir'Wir untersuchen, warum traditionelle Sicherheits-Frameworks mit den Herausforderungen der modernen KI-Integration zu kämpfen haben, und untersuchen, wie MCP kritische Lücken in der Sicherheitsarchitektur von Unternehmen schließt. Wir werden auch die technischen Mechanismen untersuchen, die diese Implementierungen ausmachen oder brechen. Am Ende werden Sie mit bewährten Praktiken ausgestattet sein, die Angriffsvektoren eliminieren und gleichzeitig die Betriebskraft erhalten.

Are You Ready for Secure AI?

Learn what leading teams are doing today to reduce AI threats tomorrow.

Die Vorteile von MCP

Überlegen Sie, wie Sicherheitstools heute in der Regel funktionieren. Auf der einen Seite verwalten Identitätssysteme, wer auf was zugreifen kann, während Datenklassifizierungstools sensible Informationen verfolgen und Aktivitätsüberwachungslösungen protokollieren, was im Nachhinein passiert ist. 

Das Problem ist, dass diese Systeme nicht'nicht auf sinnvolle Weise miteinander zu sprechen. Folgendes passiert, wenn nur herkömmliche Kontrollen vorhanden sind: Wenn ein KI-Agent über MCP Zugriff auf Kundendaten anfordert, genehmigt Ihr Identitätssystem die Anfrage möglicherweise auf der Grundlage von Rollenberechtigungen, hat aber keine Ahnung, dass derselbe Agent in der letzten Stunde nur drei verdächtige Vorgänge versucht hat.

Diese Fragmentierung wird besonders gefährlich, wenn Sie feststellen, dass hochriskante Aktionen oft ohne Echtzeit-Richtlinienüberprüfungen erfolgen. Ein KI-System kann sensible Daten exfiltrieren oder zerstörerische Befehle ausführen, und Ihr Sicherheitsstack kann die Bedrohung erst dann zusammensetzen, wenn er'Es ist zu spät.

Um diesen Bedrohungen zu begegnen, führt MCP ein leichtes Decision Gate ein, das die Sicherheit weniger reaktiv und proaktiver macht. Anstatt sich auf die Forensik nach einem Vorfall zu verlassen, können Unternehmen eine Richtliniendurchsetzung in Echtzeit implementieren, die jede Anfrage auf der Grundlage der Identität, des Umgebungskontexts und der spezifischen Aktion, die versucht wird, auswertet. 

Profi-Tipp

Using MCP, Grammarly cut SOC triage time by over 90% – from 30–45 minutes to just four minutes per ticket – by automating investigations across Wiz, Jira, Slack, and more. Check out the prompt they used ›

Kernkomponenten des MCP-Ökosystems

MCP arbeitet durch drei Hauptkomponenten, die zusammenarbeiten, um eine einheitliche Sicherheitsdurchsetzungsschicht zu schaffen.

Figure 1: How the Model Context Protocol works (Source: Anthropic)

MCP-Client

Der Kunde ist die allererste Verteidigungslinie, da sie risikoreiche Aktionen abfängt, bevor sie wichtige Systeme erreichen. Anstatt Anfragen blind weiterzuleiten, bewertet es jede Aktion anhand vordefinierter Kriterien und leitet nur legitime Anfragen an die Richtlinien-Engine weiter.

Was MCP-Kunden besonders effektiv macht, ist die Tatsache, dass sie in der Lage sind, in verschiedenen Umgebungen zu arbeiten. Es ist vernünftig zu erwarten, dass sie Terminalsitzungen überwachen, in denen Ingenieure Infrastrukturbefehle ausführen, API-Aufrufe in CI/CD-Pipelines abfangen und sogar Gate ausführen KI-Sicherheitstools , die mit sensiblen Datensätzen interagieren. 

MCP-Server

Der Server Fungiert als zentrale Richtlinien-Engine, die in Echtzeit Entscheidungen darüber trifft, ob bestimmte Aktionen zugelassen oder blockiert werden sollen. Wenn ein Client einen potenziell riskanten Vorgang abfängt, wertet der Server diese Anforderung basierend auf mehreren Faktoren aus, einschließlich der Benutzeridentität, des Umgebungskontexts, der spezifischen Aktion, die versucht wird, und aller relevanten Organisationsrichtlinien.

Policy-as-Code-Rahmenwerk

Richtlinien in MCP werden als Code in Formaten wie JSON oder HCLL geschrieben (ähnlich wie Infrastrukturteams Terraform-Konfigurationen verwalten). Mit diesem Ansatz können Sicherheitsteams ihre Richtlinien einer Versionskontrolle unterziehen, Änderungen in Stagingumgebungen testen und Updates über dieselben CI/CD-Pipelines bereitstellen, die sie für den Anwendungscode verwenden. 

Das Richtlinienrahmen unterstützt granulare Regeln, die komplexe organisatorische Anforderungen berücksichtigen können: Zum Beispiel kann eine Richtlinie während der Geschäftszeiten den Datenbankzugriff erlauben, aber für denselben Betrieb am Wochenende die Zustimmung des Managements erfordern.

Zentralisierter Audit-Trail

Jede Interaktion, die durch das MCP-Ökosystem fließt, wird umfassend protokolliert. Diese Protokolle erfassen, was passiert ist und den feineren Kontext jeder Entscheidung, einschließlich der evaluierten Maßnahmen und der Frage, ob Ausnahmen gewährt wurden.

Get an AI-SPM Sample Assessment

Take a peek behind the curtain to see what insights you’ll gain from Wiz AI Security Posture Management (AI-SPM) capabilities.

Sicherheitsanwendungen, die durch MCP ermöglicht werden

Unternehmen entdecken, dass MCP'Die Möglichkeiten zur Durchsetzung von Richtlinien gehen weit über herkömmliche Zugriffskontrollen hinaus, insbesondere KI-Sicherheitsrisiken entwickeln sich weiter.

  • Sicherheit des Terminals wird deutlich robuster, wenn MCP destruktive Befehle abfängt, bevor sie ausgeführt werden.

  • Cloud-Zugriffskontrolle erhält ein großes Upgrade durch MCP', granulare Richtlinien auf Aktionen auf API-Ebene in AWS, Azure und GCP anzuwenden. 

  • CI/CD-Pipeline-Geländer stellen eine weitere leistungsstarke Anwendung von MCP dar. Durch das Erzwingen von Richtlinien während Builds und Bereitstellungen kann das System gefährliche Terraform-Befehle blockieren, nicht autorisierte Containerbereitstellungen verhindern und zusätzliche Genehmigungen für Änderungen anfordern, die sich auf Produktionsumgebungen auswirken.

  • Sicherheitsvorkehrungen für KI-Systeme Nutzen Sie MCP, um Prompt-Injections zu steuern, die Tool-Nutzung zu kontrollieren und den Speicherzugriff in LLM-Agenten zu überwachen. Diese Schutzmaßnahmen erweisen sich als unerlässlich bei der Bereitstellung von KI-Sicherheitstools, die den Zugriff auf sensible Daten unter strengen Betriebskontrollen erfordern.

Sicherung von MCP 

Im Gegensatz zu herkömmlichen Anwendungen mit definierten Grenzen baut MCP ziemlich dynamische Pfade zwischen KI-Systemen und Unternehmensressourcen auf. Ein einzelner kompromittierter MCP-Server tut also'nicht nur in ein System, sondern möglicherweise in Ihre gesamte IT-Infrastruktur. Das Risiko bei MCP steigt nur, da die Komponenten auf erhöhten Rechten für den Datenbankzugriff, Infrastrukturbefehle und vertrauliche Vorgänge angewiesen sind. Eine einzige Kompromittierung kann diese Berechtigungen über eine Vielzahl von Unternehmenssystemen hinweg erben.

Diese Angriffsvektoren erfordern neue Sicherheitspraktiken:

Authentifizierung

Während OAuth 2.0 und OpenID Connect die Grundlagen für die Identitätsprüfung bilden, werden MCP-Authentifizierungsrichtlinien selbst zu hochwertigen Zielen, da sie'als Code neu geschrieben. Das bedeutet, dass sie eine Versionskontrolle, Prüfpfade und eine Signaturüberprüfung benötigen, um Manipulationen zu verhindern. Eine kompromittierte Richtlinie könnte Angreifern weitreichenden Zugriff auf Unternehmenssysteme gewähren, sodass die Integrität von Richtlinien zu einem kritischen Anliegen wird, das viele Unternehmen zunächst übersehen.

Transportsicherheit

Die Transportsicherheit ist ebenso wichtig wie die Authentifizierung und erfordert eine gegenseitige TLS-Kommunikation (mTLS). Diese bidirektionale Verifizierung stellt zwar sicher, dass kompromittierte Clients'Da sie sich nicht als legitime Dienste tarnen, wirft sie auch Fragen zur Verfügbarkeit auf, die Unternehmen im Vorfeld klären müssen. Best Practices schreiben vor, dass Systeme bei Ausfall von MCP-Servern vorab festgelegte ausfallsichere Verhaltensweisen benötigen. Sie werden es wollen "Fail geschlossen" anstatt "Fehler beim Öffnen." (Die Akzeptanz einer vorübergehenden Betriebsunterbrechung ist im Vergleich zu potenziellen Sicherheitsverletzungen ein kleiner Kompromiss!)

Figure 2: Wiz pinpoints seemingly routine vulnerabilities that can hide critical attack paths

Sicherheit der Lieferkette

Bei gegebenem MCP'Aufgrund des dezentralen Charakters kann die Sicherheit der Lieferkette besonders komplex sein. Ohne eine zentrale Instanz, die Sicherheitsstandards durchsetzt, sehen sich Unternehmen mit unterschiedlicher Codequalität und inkonsistentem Patching bei den Implementierungen konfrontiert. Die Lösung? Interne Vertrauensregister, die ungeprüfte MCP-Server wie unbekannte Software aus dem Internet behandeln. 

Wiz nutzen, um MCP zu sichern

Genie löst viele MCP-Sicherheitsherausforderungen, die wir oben besprochen haben, durch einen umfassenden Ansatz, der sowohl die Sicherung von MCP-Implementierungen als auch die Nutzung der MCP-Architektur für die eigene Sicherheitsdurchsetzung umfasst.

Es beginnt mit Vertrauensregistern, die die Serverintegrität vor der Bereitstellung validieren und ungeprüfte Komponenten blockieren über 40+ Betriebssysteme und 120.000+ Schwachstellen. Diese Grundlage ermöglicht automatisiertes Scannen, das sich in CI/CD-Pipelines integrieren lässt und kontextbezogene Risiken kontinuierlich und nicht periodisch aufdeckt. 

Aufbauend auf dieser Transparenz wertet der Security Graph Zugriffsanfragen dynamisch aus und wägt die Benutzeridentität durch vernetzte Analysen gegen den potenziellen Explosionsradius ab. Wenn es speziell um KI-Workloads geht, ist Wiz's MCP Server (mehr dazu im Folgenden!) ermöglicht Abfragen in natürlicher Sprache unter Beibehaltung der Sicherheitsgrenzen und erkennt automatisch Risiken für sensible Datenlecks. All diese Informationen fließen in eine einheitliche Überwachung ein, die Ereignisse durch API-Integrationen konsolidiert und aufdeckt, wie Schwachstellen miteinander verbunden sind und toxische Kombinationen erzeugen, die einzelne Probleme in schwerwiegende Bedrohungen verwandeln.

Wie Wiz MCP zur Echtzeit-Sicherheitsdurchsetzung nutzt

Wiz' eigener MCP-Server ermöglicht es Kunden, Sicherheitsleitplanken in Cloud-nativen Umgebungen durchzusetzen und bietet Richtliniendurchsetzung in Echtzeit, die kritische KI-Sicherheitsrisiken in modernen Cloud-Infrastrukturen adressiert. Der Server lässt sich in Entwicklungsworkflows integrieren und ermöglicht Funktionen wie die automatisierte Erstellung von GitHub-Pull-Requests zur Sicherheitsbehebung. Der Server fungiert über ein zentrales Host- und Server-Setup als einheitliche Sicherheitsdatenquelle und schafft eine einzige, kontextbezogene Ansicht Ihrer Sicherheitslage, die Untersuchungen vereinfacht und beschleunigt Reaktion auf Vorfälle.

Der Server nutzt die proprietäre Version von Wiz Sicherheits-Diagramm um Richtlinienentscheidungen mit Echtzeitkontext anzureichern, der weit über herkömmliche Zugriffskontrollen hinausgeht. Wenn Techniker Vorgänge wie destruktive Terraform-Befehle ausprobieren, bewertet das System den Besitz von Assets, die Gefährdungsstufen, die Identitätsrisiken und den potenziellen Explosionsradius, bevor es Durchsetzungsentscheidungen trifft.

Über das einfache Blockieren hinaus entsteht durch diese Durchsetzung ein intelligentes Feedback-System. Sie werden feststellen, dass MCP-Ereignisse direkt in Wiz Verteidigen, wo sie die Erkennung von Vorfällen und die Suche nach Bedrohungen unterstützen. Diese Integration wird kontinuierlich verfeinert KI-SPM Gleichzeitig können Teams ihre Cloud-Umgebung in natürlicher Sprache abfragen. Das Ergebnis verwandelt rohe Sicherheitsdaten in umsetzbare Erkenntnisse, die Ihre allgemeine Sicherheitslage stärken. 

Um mehr zu erfahren, schauen Sie sich an Dieser Blogbeitrag von Wiz. Besser noch, Vereinbaren Sie eine Demound überzeugen Sie sich selbst, wie Wiz alles schützt, was Sie in der Cloud erstellen und ausführen.

AI Security Posture Assessment Sample Report

Take a peek behind the curtain to see what insights you’ll gain from Wiz AI Security Posture Management (AI-SPM) capabilities. In this Sample Assessment Report, you’ll get a view inside Wiz AI-SPM including the types of AI risks AI-SPM detects.