Cloud Detection and Response (CDR)

Was ist Cloud Detection and Response (CDR)?

Cloud Detection and Response (CDR) ist eine Strategie, die sich auf die Sicherung von Cloud-Umgebungen konzentriert. CDR überwacht diese Cloud-Umgebungen auf Bedrohungen und reagiert darauf, sei es bei großen Dienstanbietern wie Microsoft, Google oder AWS oder in kleineren Cloud-Umgebungen.

Das Hauptziel von CDR ist es, ein tiefes Verständnis einer Cloud-Umgebung zu vermitteln und Bedrohungen zu erkennen. Die von CDR-Anbietern angebotenen Produkte und Dienste sollen den Benutzern Antworten auf Fragen wie die folgenden geben:

• Welche APIs werden verwendet?
• Ist die Multi-Cloud-Umgebung aus Sicht der Sicherheit in Ordnung?
• Welche Sicherheitsschwellen gibt es für alle Bereiche, von Containern über virtuelle Maschinen (VMs) bis hin zu Serverless-Umgebungen?

Cloud Computing kann alles umfassen, von Endpunkten über voll funktionsfähige Netzwerke bis hin zu großen Infrastrukturen - sogar Cloud- und Hybrid-Infrastrukturen vor Ort. Die Sicherung von Ressourcen mit einer so großen Angriffsfläche ist schwierig. Und da Cloud-Umgebungen weniger fix sind als herkömmliche IT-Ressourcen, muss die Erkennung aktiver sein.

CDR gehört zu der umfassenderen Kategorie der Tools zur Erkennung und Reaktion auf Bedrohungen. Es kombiniert die Ansätze von Extended Detection and Response (XDR), Network Detection and Response (NDR) und Endpoint Detection and Response (EDR).

Diese potenziellen Überschneidungen mit XDR, NDR und EDR sowie mit anderen Cloud-Sicherheitstools haben einige in der Sicherheitsbranche zu der Frage veranlasst, ob CDR eine eigene Produktkategorie sein sollte. Die Analysten von Forrester Research beispielsweise betrachten CDR als eine Funktion, die in anderen Cloud-Tools zu finden ist, zum Beispiel in Plattformen zum Schutz von Cloud-Workloads (CWPP), zur Verwaltung von Cloud-Infrastrukturen, zur Containersicherheit und ähnlichem.

Der Bedeutung von CDR-Tools

Cloud Computing hat die Art und Weise verändert, wie und wo Unternehmen Workloads ausführen. Infolgedessen müssen Sicherheitsteams der Erkennung von Bedrohungen und damit zusammenhängenden Aktivitäten mehr Aufmerksamkeit schenken, die nicht mehr so eng mit ihren lokalen Ressourcen verbunden sind wie in der Vergangenheit. Es wird immer wichtiger, dem Sicherheitsmanagement in der Cloud Priorität einzuräumen.

CDR verhält sich ähnlich wie NDR. Während NDR ein Netzwerk ganzheitlich betrachtet und fragt: „Sieht dieser Datenverkehr normal aus?“, betrachtet CDR eine Cloud-Umgebung und fragt: „Entspricht diese Umgebung den Best Practices?“

Das Ziel eines jeden CDR-Tools ist es, Antworten auf wichtige Fragen zu geben, darunter die folgenden:

Wer hat Zugriff? Eines der einfachsten Dinge, die man in einer Cloud-basierten Umgebung tun kann, ist, einem Benutzer oder einer Gruppe zu viel Zugriff zu gewähren. Und bei lokalen Umgebungen braucht man normalerweise ein virtuelles privates Netzwerk, wenn man nicht im lokalen Netzwerk ist, um auf Server zuzugreifen. Die meisten Cloud-basierten Server haben öffentliche IP-Adressen. Für den Zugriff auf sie sind entsprechende Anmeldeinformationen erforderlich, aber diese Regelung macht den Serverzugriff sicherlich viel einfacher.

Gibt es Risiken zur Ausweitung von Berechtigungen? Diese Frage ist besonders im Bereich der Container und Kubernetes relevant. Nehmen wir an, Sie haben einen Kubernetes-Pod, der Root-Zugriff hat. Wenn das Dienstkonto, das den Pod bereitgestellt hat, über Root-Zugriff verfügt und dieser kompromittiert wird, gilt dies auch für den gesamten Kubernetes-Cluster.

Kann ein Angreifer eine Form der Autorisierung oder Authentifizierung verwenden und auf eine andere Arbeitslast zugreifen? Nehmen wir an, Sie erstellen eine IAM-Rolle (Identity and Access Management). Die Rolle hat Zugriff auf die Verwaltung von VMs, und während der Tests richten Sie die IAM-Rolle so ein, dass sie auch eine Richtlinie für serverlose Workloads hat. Wenn also jemand das Konto mit dem IAM-Zugriff kompromittiert, sind mehrere Cloud-basierte Dienste gefährdet. In der Cloud ist es besonders wichtig, über das Prinzip der geringsten Privilegien (POLP), die schleichende Ausbreitung von Privilegien und zusätzliche Taktiken zur Stärkung der Tiefenverteidigung nachzudenken.

Bewährte Verfahren für die Auswahl eines CDR-Tools

Bestimmte Funktionen und bewährte Verfahren sind bei der Bewertung eines CDR-Tools wichtig.

Stellen Sie zunächst sicher, dass das CDR mit einer Multi-Cloud-Umgebung kompatibel ist. Selbst wenn Sie gegenwärtig nur einen Cloud-Dienst nutzen, werden Sie irgendwann einen oder mehrere Anbieter hinzufügen. Sie sollten sicherstellen, dass Ihr CDR-Tool damit umgehen kann.

Zweitens muss man wissen, welche Quellen ein Anbieter nutzt, um Informationen über Sicherheitsbedrohungen zu sammeln. Bei Kubernetes liefern beispielsweise das Center for Internet Security Benchmarks for Kubernetes, die National Vulnerability Database, Mitre und einige andere Quellen wichtige Sicherheitsrichtlinien. Das bedeutet jedoch nicht, dass alle Kubernetes-Sicherheitstools auf diese Datenbanken zurückgreifen. Wenn Sie ein CDR-Tool in Erwägung ziehen, stellen Sie sicher, dass es die Backend-Datenbanken verwendet, die mit den Sicherheitsbedenken und -prioritäten Ihres Unternehmens übereinstimmen.

Es gilt ebenfalls zu überlegen, ob ein quelloffenes oder ein kostenpflichtiges CDR-Produkt in Frage kommt.