Oleksandr - stock.adobe.com
Bedrohungen auf Cloud-nativen Angriffsflächen erkennen
Mit der Ausdehnung der Firmen-IT in verschiedene Cloud-Umgebungen vergrößert sich die Angriffsfläche erheblich. Das müssen Unternehmen in der Sicherheitsstrategie berücksichtigen.
Öffentliche Cloud-Infrastrukturen sind heute der Standardansatz für die Gründung eines neuen Unternehmens und die schnelle Skalierung Ihres Unternehmens. Aus der Sicherheitsperspektive stellt dies eine brandneue Angriffsfläche dar, auch wenn sie eigentlich schon einige Jahre alt ist. Angriffsfläche ist ein allgemein verwendeter Begriff, der sich auf die Gesamtheit Ihrer ausnutzbaren IT-Ressourcen bezieht, das heißt auf all die verschiedenen Möglichkeiten, die ein Angreifer nutzen könnte, um in Ihre Systeme einzudringen, Ihre Daten zu stehlen oder Ihrem Unternehmen anderweitig Schaden zuzufügen.
Wie immer gibt es Vor- und Nachteile, wenn man Dinge in der Cloud statt auf herkömmliche Weise erledigt. So erhalten Sie beispielsweise ein gewisses Maß an Standardtransparenz durch die integrierten Kontrollen des Cloud-Anbieters, wie zum Beispiel die Standardprotokollierung. Außerdem können Sie Ihre Ressourcen leichter inventarisieren, da alles API-definiert und API-zugänglich ist; es gibt keine geheimen Server in vergessenen Schränken mehr.
Auf der anderen Seite ist eine der größten Vorzüge der Cloud die grenzenlose Freiheit, neue Ressourcen, neue Anwendungen und neue Sicherheitslücken im atemberaubenden Innovationstempo des 21 Jahrhunderts zu schaffen. Die großen Gestalter dieses Zeitalters sind die Softwareentwickler. Ein wichtiger Antrieb für die Entwicklung von Cloud, DevOps und vielen anderen modernen IT-Mustern ist zweifellos, es den Entwicklern zu ermöglichen, mehr Software schneller zu erstellen. Es wäre eine Untertreibung zu sagen, dass wir dabei ziemlich erfolgreich waren.
Entwickler erweitern die Angriffsfläche der Cloud schneller als je zuvor
Die Vergrößerung der Angriffsfläche in der Cloud ist eine direkte Folge der schnelleren und innovativeren Entwicklung, die die Cloud ermöglicht - ein Risiko, das die meisten Unternehmen aufgrund der positiven Auswirkungen auf ihre Gewinne einzugehen bereit sind. Wir haben behauptet, dass wir dieses Risiko mit Strategien wie „Shift Left“ und „Zero Trust“ mindern können, aber die meisten Daten aus der Praxis zeigen, dass dies nicht wirklich funktioniert, zumindest nicht so gut, dass sich ein Sicherheitsverantwortlicher damit wohlfühlen würde.
„In dem Maße, in dem Entwickler die Angriffsfläche in der Cloud vergrößern, erweitern sie auch die Erkennungsfläche in der Cloud.“
Anna Belak, Sysdig
Wenn die Prävention versagt (was von Zeit zu Zeit vorkommt), kann man nur hoffen, dass die Erkennung von Bedrohungen und die Reaktion auf Vorfälle dies ausgleichen. In diesem Forrester-Blog beschreibt Allie Mellen die „Erkennungsoberfläche“, die laut Forrester "die Art von IT-Ressource ist, an der Angreiferaktivitäten erkannt werden". Sie unterscheidet insbesondere zwischen Erkennungsoberflächen, die mit verschiedenen Asset-Bereichen und Sicherheitstools verbunden sind. Allie Mellen gibt Beispiele für mögliche Antworten von Anbietern auf die Frage „Welche Erkennungsoberflächen decken Sie ab?“ Die Antworten der Anbieter auf die Frage nach der Cloud-Erkennung könnten lauten: „Container, IaaS-Instanzen, SaaS-Anwendungen und so weiter“, während die Erkennungsschnittstelle für Endpunkte bei Anbietern, die um die Einführung von EDR (Endpoint Detection and Response) konkurrieren, lauten könnte: „Windows, Mac, iOS, Android und so weiter“.
In dem Maße, in dem Entwickler die Angriffsfläche in der Cloud vergrößern, erweitern sie auch die Erkennungsfläche in der Cloud.
Alles, was in der Public Cloud bereitgestellt wird, wird in irgendeiner Weise erfasst. Ebenso ist fast alles mit irgendeiner Art von Telemetrie verbunden. Cloud-Protokolle berichten über neue Assets, die von verschiedenen Teams erstellt wurden, und protokollieren die damit verbundenen Aktivitäten, ohne dass jemand explizit Datenquellen definiert oder irgendetwas konfiguriert. Die Frage ist, ob Ihr SOC (Security Operations Center) weiß, was es mit diesen Daten anfangen soll. Wenn die Daten in Ihr SIEM fließen, gibt es dann Inhalte, die moderne Bedrohungen auf dieser Erkennungsoberfläche tatsächlich erkennen?
Die meisten Security Operations Teams sind gerade erst dabei, Cloud-Expertise aufzubauen und stehen noch am Anfang der Entwicklung von Bedrohungserkennungsprogrammen für diese modernen Umgebungen. Verfügt Ihre Organisation über eine Cloud-Erkennungsschnittstelle? Haben Sie eine Strategie für die Weiterentwicklung Ihres SOC, um die Cloud-nativen Softwareentwicklungsaktivitäten, die Ihre Einnahmen generieren, abzudecken?
Über den Autorin:
Anna Belak ist Director Office of Cybersecurity Strategy bei Sysdig.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.