pickup adobe
Cloud-Forensik: Rechtzeitig die Herausforderungen klären
Im Falle eines Falles ist es zu spät, die Rahmenbedingungen für forensische Ermittlungen in Sachen Cloud zu klären. Das müssen Unternehmen im eigenen Interesse vorbereiten.
In dem Maße, wie Unternehmen ihre Cloud-Infrastrukturen aufbauen, geben sie immer mehr ihrer traditionell internen Sicherheitskontrollen und -prozesse an Cloud-Service-Anbieter ab. Das bringt zwar Vorteile mit sich, birgt in Sachen Cloud-Forensik aber auch große Herausforderungen.
Unternehmen sind für die Erfassung und Speicherung von Daten in PaaS- und IaaS-Implementierungen verantwortlich, während Cloud Service Provider (CSP) für die Backend-Infrastruktur zuständig sind. Infolgedessen haben Sicherheitsteams oft Schwierigkeiten, forensische Erkenntnisse in der Cloud zu ermitteln.
Um diesen Herausforderungen zu begegnen, müssen Sicherheitsteams einen Handlungsrahmen dafür festlegen, wie ihre Diensteanbieter Daten weitergeben und wie sie die Cloud-Forensik in der Infrastruktur handhaben, für die ihre Organisation verantwortlich ist. Es gibt eine Vielzahl wichtiger Beweismittel, und Sicherheitsteams können sich gemeinsame Best Practices und Cloud-zentrierte Ansätze zunutze machen, die mit internationalen Forensik- und Reaktionsstandards übereinstimmen.
Cloud-Anbieter und Cloud-Forensik – was es zu klären gilt
Erstellen Sie eine Liste mit Fragen zur Cloud-Forensik und zu Daten, die Sie bei der Vorabrecherche und/oder den Vertragsverhandlungen mit dem Cloud Service Provider (CSP) stellen sollten. Zu den wichtigsten gehören die folgenden:
- Welche Art von Daten kann und wird der CSP bereitstellen, sowohl regelmäßig - bevorzugt für größere, erfahrenere Forensik-Teams - als auch bei Bedarf während der Ermittlungen? Zu diesen Datentypen können die folgenden gehören:
- Webserver-Protokolle.
- Protokolle der Anwendungsserver.
- Datenbank-Logfiles.
- Virtualisierungs-Hypervisor-Host-Zugriffsprotokolle.
- Protokolle der Virtualisierungs-Verwaltungsplattform und Logdateien des SaaS-Portals.
- Netzwerkaufzeichnungen.
- Aufzeichnungen zur Rechnungsstellung,
- Protokolle des Verwaltungsportals.
- API-Zugriffsprotokolle,
- Netzwerkprotokolle des Cloud- oder Netzwerkanbieters am Perimeter.
- Aufzeichnungen von DNS-Servern.
- Welche Arten von Nachweisen sind vom Diensteanbieter verfügbar und wann, insbesondere im Rahmen von Service Level Agreements? Welche Protokolle und andere Informationen sind für Container-Laufzeitsysteme und serverlose Hosting-Plattformen verfügbar?
- Welche Art von Richtlinien und Prozessen zur Datenaufbewahrung und -vernichtung gibt es für Sicherheitsvorfälle und andere damit verbundene Informationen?
- Welche Forensik- und Reaktionsprozesse wurden implementiert, um virtuelle Infrastrukturen und Cloud-Management-Plattformen intern zu berücksichtigen? Verwendet der Cloud Provider beispielsweise VM-Snapshots für die Beweiserfassung? Wie werden virtuelle Festplattendateien für herkömmliche IaaS-Workloads überschrieben?
Cloud-Forensik und die eigene Cloud-Infrastruktur
Die vom Cloud-Anbieter bereitgestellten forensischen Daten sind nur ein Teil der Gleichung. Die Sicherheitsteams müssen auch die forensischen Tools und Verfahren an die Cloud-Infrastruktur anpassen, für die sie verantwortlich sind. Dies bringt zusätzliche Herausforderungen für die Cloud-Forensik mit sich, darunter die folgenden:
- Disk Imaging ist ein gängiger forensischer Prozess, und Festplattenkopien sind Standardobjekte. Während Standard-VMs - darunter Elastic-Compute-Cloud-Instanzen und Azure-VMs - einfache Snapshot-Prozesse bieten, müssen Teams neue Verfahren um diese Schritte herum aufbauen, sie dokumentieren und sicherstellen, dass Festplatten-Images in Übereinstimmung mit den Praktiken der Beweismittelkette und der Beweismittelsicherheit übertragen und gespeichert werden.
- Für die meisten modernen Sicherheitsteams sind Speicherabbilder eine wichtige Stütze der forensischen Beweisführung. Die Erfassung von Speicherabbildern erfordert in den meisten Fällen Zugriff auf den Betriebssystemkern, der bei einer Vielzahl von Cloud-Workload-Modellen - insbesondere bei Containern und dem Serverless-Betrieb - möglicherweise nicht verfügbar ist. Selbst für herkömmliche VMs erfordern Speicher-Snapshots in der Regel die Anwesenheit eines vorinstallierten Agenten, was unter Umständen nicht praktikabel ist.
- Die meisten On-Premises-Ressourcen wurden einmal eingerichtet und laufen über Monate oder Jahre hinweg. So können Unternehmen diese leicht identifizieren und klassifizieren sowie ad hoc forensische Beweise sammeln. Viele Cloud-Workloads sind hingegen flüchtig und überdauern nur Minuten oder Stunden - oder bestenfalls Tage oder Wochen. Das bedeutet, dass die Identifizierung von Bedrohungen und die Erfassung forensischer Beweise in hohem Maße automatisiert werden müssen. Der Aufbau dieser kontinuierlichen Überwachung und automatisierten Erfassungsstrategie kann zeitaufwendig sein und erfordert vertiefte Cloud-Kenntnisse.
Darüber hinaus sollten Cloud-Sicherheitsteams eine spezielle Ressource mit umfassenden Protokollierungs- und Prüfungsfunktionen einrichten, in der die Beweise kopiert und gespeichert werden. Im Falle einer gerichtlichen Auseinandersetzung müssen die Sicherheitsteams nachweisen, dass die forensischen Cloud-Beweise ordnungsgemäß beschafft, auf eine sichere Weise an einen sicheren Ort kopiert und anschließend nicht manipuliert wurden. Dies erfordert tiefgreifende Cloud-Kenntnisse sowie Zeit und Aufwand für den Betrieb.
Insgesamt ist es machbar, die Herausforderungen der Cloud-Forensik zu meistern, aber Unternehmen müssen ihre Strategien sorgfältig planen.