Anzeige

Hacker Cloud

Virtualisierte Cloud-Umgebungen, die von Cloud-Service-Providern (CSPs) unterstützt werden, stellen Herausforderungen an die Erkennung des Verhaltens von Cyberangreifern dar. 

In der Cloud werden bei einem starken Anstieg oder Rückgang der Nachfrage virtuelle Maschinen kurzerhand hinzugefügt oder entfernt. Herkömmliche Erkennungsmethoden in physischen Umgebungen, die Protokolle, Netzwerk- und Endpunktdaten beinhalten, lassen sich nicht an diese dynamischen Umgebungen anpassen. Vectra, Anbieter von IT-Sicherheitstechnologie auf Basis künstlicher Intelligenz, analysiert das Phänomen.

Konsequente Zugangsrestriktionen zum Schutz der Daten

Unternehmen haben keinen Zugriff auf jede Schicht im Cloud-Computing-Stack. Damit steht auch keine zuverlässige Sichtbarkeit bei der Überwachung der Umgebung auf Angreiferverhalten zur Verfügung. Eine weitere Herausforderung in der Cloud ist, dass Assets und Anwendungen zwischen Systemen mit unterschiedlichem Sicherheitsüberwachungsgrad wechseln.

„Das größte Problem bei der Cloud-Nutzung ist es jedoch, sicherzustellen, dass nur die richtigen Personen Zugriff auf die in Cloud-Workloads gespeicherten Daten haben. Innerhalb der Grenzen des lokalen Unternehmensnetzwerks sind fehlerhaft konfigurierte Systeme und Anwendungen nicht so anfällig für Kompromittierungen“, erklärt Gérard Bauer, VP EMEA bei Vectra. „Es gibt interne Kontrollen, die den externen Zugriff einschränken.“

In der Cloud hingegen bedeutet eine einfache Fehlkonfiguration oder Offenlegung des Systemzugriffs, dass es keine Abwehrmaßnahmen gibt, die jemanden daran hindern, auf alles, was offenliegt, zuzugreifen. Das Potenzial für eine Fehlkonfiguration des Zugriffs auf Cloud-Workloads ist überaus real, wie unter anderem die Datenschutzverletzung bei Uber zuletzt gezeigt hat.

Bedrohungsszenarien sind überaus real

Eine noch interessantere Analyse, wie Angriffe die Dynamik der Bedrohungserkennung verändern, liefern die laufenden Angriffe der APT10-Gruppe auf Cloud-Infrastrukturen. Hierbei war bereits eine Reihe von Sicherheitsverletzungen zu verzeichnen, die als Operation „Cloud Hopper“ bezeichnet werden. Beim Cloud-Hopper-Angriff war die Methode des anfänglichen Eindringens Cloud-spezifisch, aber innerhalb dieser Cloud-Umgebungen zeigten die Angreifer das gleiche Verhalten wie in der privaten Cloud und in physischen Rechenzentren.

Alle Angriffe haben einen Lebenszyklus – von der Erstinfektion bis zur Datenexfiltration. Die Verhinderung einer Kompromittierung wird immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control-Aktivitäten über Auskundschaftung bis hin zur Datenexfiltration – ist es nicht. Gerade, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, ist die zum Erkennen erforderliche Zeit von entscheidender Bedeutung.

Einblick in das Angreiferverhalten

Wie aber können Unternehmen Einblick in das Verhalten von Angreifern in Cloud-Umgebungen gewinnen? Und wo beginnt und endet das Modell der gemeinsamen Verantwortung zwischen CSPs und Cloud-Nutzern?

Führende CSPs entwickeln ihre Funktionen für Authentifizierung, Kontrolle und Transparenz weiter. Sie haben auch damit begonnen, eine bessere Integration für Drittanbieter von Sicherheitslösungen zu implementieren, um die Cloud-Sicherheitsfunktionen zu verbessern. So hat Microsoft beispielsweise den Virtual Network Tap in Azure eingeführt, um die Überwachung des gesamten Netzwerkverkehrs zwischen Cloud-Workloads zu ermöglichen. Vectra nutzt den Azure Virtual Network Tap, um Modelle des maschinellen Lernens auf den Cloud-Verkehr anzuwenden und unerwünschte Änderungen im Systemverkehr zu identifizieren, die auf einen laufenden Angriff hinweisen würden.

„Lösungen wie diese helfen Unternehmen, durch sicherheitstechnisch unbekanntes Terrain zu navigieren. Entscheidend ist es hierbei, die wichtigsten Sicherheitsbedrohungen der Cloud zu kennen und den Lebenszyklus von Angriffen in der Cloud zu verstehen“, fasst Gérard Bauer von Vectra abschließend zusammen. „Zudem müssen effiziente und effektive Maßnahmen für die Erkennung und Reaktion auf Sicherheitsvorfälle in Cloud-Umgebungen vorhanden sein.“

www.vectra.ai
 


Weitere Artikel

Ransomware

Ransomware: „Das Übel an der Wurzel packen“

Sven Moog, Geschäftsführer der COGNITUM Software Team GmbH und Experte für Datensicherheit, über die zuletzt besorgniserregende Steigerung von Ransomware-Attacken und mögliche Ansätze zur Behebung dieses Problems, bevor es überhaupt zum Problem wird.
Schwachstelle

Wachsende Risiken durch Improper Authentication

Bei dem US-amerikanische Hersteller von Fitnessgeräten Peloton ist es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall gekommen. Ein Kommentar von Ben Sadeghipour, Head of Hacker Education bei Hackerone.
Cybersecurity

Warum ein Penetrationstest durchgeführt werden muss

Nahezu jede Woche ist in den Medien von Angriffen auf sensible IT-Systeme zu lesen. Für Unternehmen bedeuten diese sowohl finanzielle Schäden als auch den Verlust von Vertrauen und Ansehen bei ihren Geschäftspartnern und Kunden. Zum Teil sind die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.