Thought Leadership
Virtualisierte Cloud-Umgebungen, die von Cloud-Service-Providern (CSPs) unterstützt werden, stellen Herausforderungen an die Erkennung des Verhaltens von Cyberangreifern dar.
In der Cloud werden bei einem starken Anstieg oder Rückgang der Nachfrage virtuelle Maschinen kurzerhand hinzugefügt oder entfernt. Herkömmliche Erkennungsmethoden in physischen Umgebungen, die Protokolle, Netzwerk- und Endpunktdaten beinhalten, lassen sich nicht an diese dynamischen Umgebungen anpassen. Vectra, Anbieter von IT-Sicherheitstechnologie auf Basis künstlicher Intelligenz, analysiert das Phänomen.
Konsequente Zugangsrestriktionen zum Schutz der Daten
Unternehmen haben keinen Zugriff auf jede Schicht im Cloud-Computing-Stack. Damit steht auch keine zuverlässige Sichtbarkeit bei der Überwachung der Umgebung auf Angreiferverhalten zur Verfügung. Eine weitere Herausforderung in der Cloud ist, dass Assets und Anwendungen zwischen Systemen mit unterschiedlichem Sicherheitsüberwachungsgrad wechseln.
„Das größte Problem bei der Cloud-Nutzung ist es jedoch, sicherzustellen, dass nur die richtigen Personen Zugriff auf die in Cloud-Workloads gespeicherten Daten haben. Innerhalb der Grenzen des lokalen Unternehmensnetzwerks sind fehlerhaft konfigurierte Systeme und Anwendungen nicht so anfällig für Kompromittierungen“, erklärt Gérard Bauer, VP EMEA bei Vectra. „Es gibt interne Kontrollen, die den externen Zugriff einschränken.“
In der Cloud hingegen bedeutet eine einfache Fehlkonfiguration oder Offenlegung des Systemzugriffs, dass es keine Abwehrmaßnahmen gibt, die jemanden daran hindern, auf alles, was offenliegt, zuzugreifen. Das Potenzial für eine Fehlkonfiguration des Zugriffs auf Cloud-Workloads ist überaus real, wie unter anderem die Datenschutzverletzung bei Uber zuletzt gezeigt hat.
Bedrohungsszenarien sind überaus real
Eine noch interessantere Analyse, wie Angriffe die Dynamik der Bedrohungserkennung verändern, liefern die laufenden Angriffe der APT10-Gruppe auf Cloud-Infrastrukturen. Hierbei war bereits eine Reihe von Sicherheitsverletzungen zu verzeichnen, die als Operation „Cloud Hopper“ bezeichnet werden. Beim Cloud-Hopper-Angriff war die Methode des anfänglichen Eindringens Cloud-spezifisch, aber innerhalb dieser Cloud-Umgebungen zeigten die Angreifer das gleiche Verhalten wie in der privaten Cloud und in physischen Rechenzentren.
Alle Angriffe haben einen Lebenszyklus – von der Erstinfektion bis zur Datenexfiltration. Die Verhinderung einer Kompromittierung wird immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control-Aktivitäten über Auskundschaftung bis hin zur Datenexfiltration – ist es nicht. Gerade, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, ist die zum Erkennen erforderliche Zeit von entscheidender Bedeutung.
Einblick in das Angreiferverhalten
Wie aber können Unternehmen Einblick in das Verhalten von Angreifern in Cloud-Umgebungen gewinnen? Und wo beginnt und endet das Modell der gemeinsamen Verantwortung zwischen CSPs und Cloud-Nutzern?
Führende CSPs entwickeln ihre Funktionen für Authentifizierung, Kontrolle und Transparenz weiter. Sie haben auch damit begonnen, eine bessere Integration für Drittanbieter von Sicherheitslösungen zu implementieren, um die Cloud-Sicherheitsfunktionen zu verbessern. So hat Microsoft beispielsweise den Virtual Network Tap in Azure eingeführt, um die Überwachung des gesamten Netzwerkverkehrs zwischen Cloud-Workloads zu ermöglichen. Vectra nutzt den Azure Virtual Network Tap, um Modelle des maschinellen Lernens auf den Cloud-Verkehr anzuwenden und unerwünschte Änderungen im Systemverkehr zu identifizieren, die auf einen laufenden Angriff hinweisen würden.
„Lösungen wie diese helfen Unternehmen, durch sicherheitstechnisch unbekanntes Terrain zu navigieren. Entscheidend ist es hierbei, die wichtigsten Sicherheitsbedrohungen der Cloud zu kennen und den Lebenszyklus von Angriffen in der Cloud zu verstehen“, fasst Gérard Bauer von Vectra abschließend zusammen. „Zudem müssen effiziente und effektive Maßnahmen für die Erkennung und Reaktion auf Sicherheitsvorfälle in Cloud-Umgebungen vorhanden sein.“
www.vectra.ai
