peshkova - stock.adobe.com
Cloud Detection and Response: Cloud-Bedrohungen erkennen
Cloud Detection and Response (CDR) ist die neueste Ausprägung im Bereich Erkennung und Reaktion. Wie unterscheidet sich CDR von etablierten Ansätzen EDR, NDR und XDR?
Im Bereich der IT-Sicherheit gibt es mehr Abkürzungen als je zuvor, was die Komplexität und das Wachstum der IT-Landschaft verdeutlicht, die sich zwischen On-Premises- und Cloud-Umgebungen ausdehnt.
Die Kategorie der Detection-and-Response-Tools mit dem Aufkommen von Endpoint Detection and Response (EDR), die sich auf Workloads konzentriert, Network Detection and Response (NDR), die sich auf Netzwerkaktivitäten konzentriert, und Extended Detection and Response (XDR), die sowohl EDR als auch NDR fortführt und SIEM einschließt, ein erhebliches Wachstum erfahren. Nun kommt noch Cloud Detection and Response (CDR) hinzu, welches die Cloud-Umgebungen berücksichtigt.
Wie sich CDR von EDR, NDR und XDR unterscheidet
CDR umfasst einige Elemente von EDR, NDR und XDR, jedoch mit dem zusätzlichen Aspekt der Cloud. Der wichtigste Unterschied zwischen CDR und den anderen drei ist die Abhängigkeit von der Cloud-Struktur selbst, die eine automatisierte softwarebasierte Sicherheitskontrolle ermöglicht.
Eines der Kennzeichen von CDR ist die Automatisierung durch Cloud-Provider-Dienste und APIs. Das CDR konzentriert sich auch auf die Verarbeitung von Ereignissen in großem Maßstab und die automatisierte Risikoanalyse durch maschinelles Lernen und Analysen.
Im Folgenden haben wir weitere wichtige Unterschiede zwischen CDR und anderen Erkennungs- und Reaktionsansätzen aufgeführt:
- Umfassender Ansatz. CDR umfasst alle Aspekte der Sicherheitstransparenz in der Cloud, um die Erkennung und Reaktion in einer vernetzten Cloud-Struktur zu erleichtern. In dieser Hinsicht ähnelt CDR am meisten XDR, dass EDR und NDR mit SIEM verbindet, um ein umfassenderes Spektrum an Erkennungs- und Reaktionsmöglichkeiten und Kontrollen zu bieten. CDR umfasst Cloud-Workloads aller Art - VMs, Container und Serverless - sowie Cloud-Netzwerke, Speicherknoten und mehr.
- Automatisierte Erkennung und Reaktion. Die Cloud als softwaredefinierte Infrastruktur verfügt über zahlreiche APIs und Möglichkeiten zur Automatisierung von Erkennungs- und Reaktionsfunktionen. CDR wertet kontinuierlich Netzwerkverkehr und Workload-Ereignisse aus und sendet Warnmeldungen an eine zentrale Konsole. CDR kann automatische Reaktionsmaßnahmen auslösen, um Workloads unter Quarantäne zu stellen, Netzwerkzugriffskontrollen anzupassen, Ressourcen und Netzwerkzonen zu isolieren und sogar Workloads aus genehmigten Images abzubauen und neu zu erstellen.
- Cloud-zentrierte Risikoüberwachung und Berichterstattung. Die Cloud bietet zahllose Konfigurationsoptionen und Kontrollen, die leicht falsch konfiguriert und angegriffen werden können. CDR bewertet kontinuierlich die Konfiguration der Cloud selbst - über die dort bereitgestellten Ressourcen hinaus - um aktuelle Berichte über Risiken zu erstellen, die von falsch konfigurierten Diensten und Ressourcen ausgehen.
- Cloud-spezifischer Schutz von Workloads. In herkömmlichen Rechenzentren konzentriert sich EDR hauptsächlich auf physische und virtuelle Endpunkte und Server. In der Cloud kann es sich bei den Workloads um VMs, Container oder Serverless-Ansätze handeln, was bedeutet, dass sich die Angriffsflächen und -muster wahrscheinlich von den traditionellen Infrastrukturmodellen vor Ort unterscheiden. CDR-Tools können diese Workload-Modelle berücksichtigen, um Cloud-spezifische Angriffsmuster zu erkennen, wie zum Beispiel Identitäts- und Zugriffsmanagement (IAM), Rechteausweitung, Missbrauch von Cloud-APIs und mehr.
- Verarbeitung von Big Data in der Cloud. Eine häufige Herausforderung bei der Verwaltung von Cloud-Ereignissen ist die schiere Menge der erzeugten Daten und die Frage, wie diese verwaltet und gesichtet werden können. Mithilfe von Modellen des maschinellen Lernens sollten CDR-Plattformen und -Dienste in der Lage sein, weniger relevante Daten herauszufiltern und die wichtigsten Informationen zu korrelieren, um Erkenntnisse über Cloud-Angriffe zu gewinnen. In Anbetracht der Geschwindigkeit von Cloud-Änderungen und -Einführungen sollte jeder CDR-Dienst auch in der Lage sein, schnelle Analysen und Warnmeldungen zu liefern.
In vielerlei Hinsicht spiegelt CDR eine Kombination aus anderen Erkennungs- und Reaktionsdiensten wider. Aber die Cloud ist eine gänzlich andere Umgebung, die einen anderen Schwerpunkt auf Transparenz und API-gesteuerte Automatisierung erfordert. Dementsprechend sind dies die Hauptunterschiede zwischen CDR und EDR, NDR und XDR.