alice_photo - stock.adobe.com

Cloud-Sicherheit: Sechs typische Anwendungsfälle

Sicherheitsteams müssen die Cloud-spezifischen Risiken in ihrer Strategie berücksichtigen. Und nicht nur da spielen Cloud-basierte Systeme zur Analyse eine wichtige Rolle.

Die Liste der Anwendungsfälle der Security-bezogenen Nutzung der Cloud und reicht von SaaS-Absicherungen (Software as a Service) über IAM (Identity and Access Management) bis hin zur Abbildung traditioneller Sicherheitsprozesse über Cloud-Lösungen.

Ein ideales Einsatzgebiet für Cloud Computing ist die Verarbeitung und Analyse großer Mengen an sicherheitsrelevanten Ereignissen. Kein Wunder also, dass die großen SIEM-Anbieter (Security Information and Event Management) zumindest als Option die Verarbeitung der Daten in der Cloud anbieten.

Und es sind neue Angebote entstanden, die sich um die Verarbeitung der großen Datenmengen kümmern, die Sicherheitsanalysen liefern können. Die zunehmende Cloud-Nutzung erfordert auch, dass die hierfür spezifischen Sicherheitsdaten entsprechend in die Sicherheitsstrategie einfließen.

In Unternehmen fallen mehr sicherheitsrelevante Ereignisdaten an als jemals zuvor. Damit sind traditionelle Tools, die in den eigenen Rechenzentren laufen, manchmal überfordert. Hier können Cloud-Lösungen in die Bresche springen, bieten sie doch eine sehr skalierbare Kapazität zur Verarbeitung großer Datenmengen. Damit sich IT-Entscheider und Sicherheitsverantwortliche im Falle eines Falles die Cloud-Lösungen in Erwägung ziehen, gilt es, die Anwendungsfälle für IT-Sicherheit in der Cloud einzuordnen. Wir haben daher sechs typische Einsatzgebiete nachfolgend zusammengefasst.

Welche Cloud-basierten Ansätze zur Security-Analyse existieren?

Threat-Intelligence-Analyse – Bedrohungsaufklärung

Threat Intelligence liefert Daten zu potentiellen Angreifern, Indicators of Compromise (IOC) sowie typische Verhaltenstrends. Und dies auch im Hinblick auf die Angriffsarten auf Cloud-Zugänge und unterschiedlichste Cloud-Dienste.

Und diese Daten zur Bedrohungsaufklärung können selbst in der Cloud mit Lösungen, die maschinelles Lernen nutzen, aggregiert und im großen Maßstab analysiert werden. Diese Threat-Intelligence-Feeds können auch für Wahrscheinlichkeits- und Vorhersagbarkeitsmodelle verarbeitet werden.

Angesichts der zunehmenden Angriffe auf Cloud-Lösungen, insbesondere in Form von Account Hijacking, ist der Anwendungsfall der Security-Analyse eine sinnvolle Ergänzung bestehender Sicherheitsstrategien. So sind Amazon GuardDuty oder Microsoft Advanced Threat Analytics etwa entsprechende Angebot am Markt. Hier haben Sicherheitsteams jedoch nur begrenzten Einfluss auf die Konfiguration.

SIEM - Security Information and Event Management

Protokolldaten, Logfiles und andere sicherheitsrelevante Ereignisse fallen in Unternehmen in enormen Mengen an. Sicherheitsteams müssen aus diesen Daten schnell spezifische sicherheitsrelevante Indikatoren herauslesen und Muster erkennen können.

Und das gilt insbesondere auch für Angriffe auf die Cloud-Dienste. Dies ist die einzige Chance, um im Falle eines Falles auf Bedrohungen zeitnah reagieren zu können. Cloud-basierte Lösungen bieten umfangreiche Möglichkeiten zur Verarbeitung von Ereignisdaten, um intelligente Erkennungs- und Warntaktiken zu entwickeln.

Das Angebot an entsprechenden Lösungen ist vielfältig, exemplarisch sei hier als Beispiel Microsoft Azure Sentinel als entsprechender Dienst genannt, eine Cloud-native Lösung für SIEM und SOAR (Security Orchestration, Automation and Response).

Endpunkt- und Netzwerkverhaltensanalyse

Bei der Betrachtung der Endpunktsicherheit spielt die Cloud aus unterschiedlichen Perspektiven eine Rolle. Zum einen nutzen viele EDR-Anbieter (Endpoint Detection and Response) die Cloud für die Erkennung von Bedrohungen und entsprechende daraus abzuleitenden Reaktionen. Zunehmend wird darüber hinaus das Cloud-spezifische Verhalten der Endpunkte und dessen Analyse an Bedeutung gewinnen.

Im Bereich Netzwerk ist die Analyse des Datenverkehrs ein wichtiges Einsatzgebiet, bei dem es die Cloud zu berücksichtigen gilt. Und das gilt für den Datenverkehr auf den unterschiedlichsten Ebenen zwischen den eigenen Systemen und denen des Cloud-Anbieters. Hier gilt es entsprechende Richtlinien analog zur traditionellen Überwachung zu entwickeln. Bei der Analyse der Daten sollte eine Verarbeitung in der Cloud mit KI-Unterstützung (künstliche Intelligenz) unbedingt in Betracht gezogen werden.

Betrugserkennung

Im Bereich Finanzwesen und Versicherungen fallen bei der Betrugserkennung enorme Mengen an Daten an. Hier gilt es, eine große Anzahl von Eingaben sowie eine Vielzahl von Daten zu verarbeiten. Das betrifft Datenbankrecherchen, Text Mining (Textanalytik), Anomalieerkennung und die Analyse soziale Netzwerke. Und alle diese Analysen müssen mit Vorhersagemodellen gekoppelt werden. Für diese Datenverarbeitung und Korrelation eignen sich Cloud-basierte Lösungen ideal. Und diese können auf die Erkennung der betrügerischen Nutzung von Cloud-Diensten selbst ausgedient werden. Zum Beispiel auf einen Microsoft-365-basierten Phishing-Angriff von einem gekaperten Konto aus.

Erkennung von Schadsoftware

Die Cloud-basierte Verarbeitung von sicherheitsrelevanten Daten hilft längst dabei, neue Schadsoftware und Ransomware zu erkennen. Und das gilt insbesondere für jene Malware, die sich nicht über herkömmliche Signaturen identifizieren lässt.

Es gibt eine Reihe von Sicherheitslösungen für Endpunkte, bei denen die Erkennung primär über die Cloud abgebildet wird, exemplarisch seien hier Carbon Black oder Crowdstrike genannt. Es gibt auch gute Gründe für interne Lösungen, die mit Sandboxing arbeiten und die Analyse in die Cloud auslagern.

Datenklassifizierung und -überwachung

Analysewerkzeuge in der Cloud können alle in die Cloud übertragenen Daten und dort erstellten Daten verarbeiten. Etwa, um sie auf Basis vordefinierter Richtlinien zu klassifizieren, zu kennzeichnen und dann den Zugriff darauf zu überwachen.

Die Analyse basiert auf bekannten Inhaltstypen und Mustern. Noch ist der Einsatz entsprechender Werkzeuge nicht gang und gäbe und auch die Flexibilität der Tools kann noch verbessert werden. Ein Beispiel für einen Dienst zur Klassifizierung und zum Schutz von Daten ist Amazon Macie.

Die Cloud-basierte Sicherheitsanalyse mit Bedacht auswählen

Und wie bei jeder anderen Technologie auch, gilt es, bei Sicherheitsanalysen in der Cloud einige Fallstricke zu beachten. Die gewählten Tools und Dienste müssen nativ oder zumindest kompatibel mit den gegebenenfalls zu überwachenden Cloud-Umgebungen zurecht kommen. Darüber hinaus ist intern oder zumindest temporär durch externe Hilfe ein gewisses Maß an Fachwissen über die Cloud-Plattformen vonnöten, um die Lösungen bestmöglich zu implementieren. Und dieser Punkt sollte keinesfalls unterschätzt werden, viele Sicherheitsteams verfügen unter Umständen nicht über die notwendigen Erfahrungen oder Kenntnisse. Dies sollte vorab unbedingt geklärt werden.

Abseits dieser möglichen Hürden trägt die Cloud-Technologie gerade bei der Analyse dazu bei, viele dringende Anforderungen der IT-Security zu erfüllen. Dieser Trend wird sich voraussichtlich in der nächsten Zeit eher noch beschleunigen.

Erfahren Sie mehr über Cloud-Sicherheit