peshkova - stock.adobe.com
Cloud Threat Intelligence: Bedrohungsdaten richtig nutzen
Cloud Threat Intelligence hilft bei der Identifizierung und Analyse von Cloud-basierten Bedrohungen und ermöglicht es IT-Teams, Angriffe besser zu verstehen und abzuwehren.
Viele Unternehmen speichern mittlerweile mehr sensible Daten und Ressourcen in der Cloud als im eigenen Rechenzentrum - und Angreifer haben dies erkannt. Unternehmen müssen die Bedrohungen kennen, die Angreifer in der Cloud verursachen. Eine Möglichkeit, sich über potenzielle Angriffe auf dem Laufenden zu halten, ist der Einsatz von Cloud Threat Intelligence.
Threat Intelligence umfasst das Sammeln, Klassifizieren und Auswerten von Wissen über Angreifer. Die Teams sammeln Sicherheitsdaten aus einer Vielzahl von Quellen, darunter Protokolle, Sicherheitskontrollen und Bedrohungsdaten-Feeds von Drittanbietern, und analysieren diese Daten dann, um die Risiken zu mindern.
Da die Cloud immer allgegenwärtiger wird, muss sie zu einem integralen Bestandteil des Bedrohungsanalyseprozesses werden. Sicherheits- und Betriebsteams sollten Zeit und Ressourcen für die Entwicklung, Sammlung und Implementierung von Cloud-spezifischen Bedrohungsdaten bereitstellen.
Unternehmen können Cloud-spezifische Bedrohungsdaten von verschiedenen externen Quellen sammeln, darunter Cloud Service Provider (CSP), Threat Intelligence Provider und Managed Security Service Provider (MSSP).
Strategische und operative Cloud-Bedrohungsdaten
Sicherheitsteams müssen sowohl strategische als auch operative Bedrohungsdaten auswerten. Strategische Bedrohungsdaten betreffen Führungskräfte und nicht-technische Interessengruppen, die Entscheidungen zum Risikomanagement treffen.
Zu den Beispielen für strategische Cloud-Bedrohungsdaten gehören folgende:
- Aktuelle Angriffstrends und Kampagnen, die auf einen bestehenden Dienstanbieter abzielen, wie beispielsweise die von China gesponserten Angriffe auf Microsoft in den Jahren 2022 und 2023.
- Reputationsänderungen bei Cloud-Diensten, die sich auf ein Kundenunternehmen auswirken könnten.
- Neue Schwachstellen oder Angriffe, die auf bestimmte Cloud-Workloads oder genutzte Diensttypen abzielen, wie Serverless, Kubernetes oder Container.
Operative Bedrohungsdaten sind eher taktischer Natur. Sie helfen bei der Information von Security Operations Center (SOC), Threat Hunting, DevOps und anderen technischen Teams.
Beispiele für operative Bedrohungsinformationen sind folgende:
- Spezifische Angriffsmuster gegen Cloud-Ressourcen, einschließlich Passwort-Spraying, Missbrauch von API-Schlüsseln und privilegierten Rollen sowie Einsatz und Betrieb von Kryptowährungs-Minern in Containern.
- Nutzung von Cloud-Speichern und anderen Diensten zum Hosten und Verbreiten von Malware.
- Protokolle der Cloud-Anbieter und Ereignisdaten, die auf eine unerlaubte Nutzung von Ressourcen, ungewöhnliche Zugriffsversuche, versuchte ausgehende Verbindungen für die Datenexfiltration oder Befehls- und Kontrollfunktionen und so weiter hinweisen könnten.
Schlüsselkomponenten eines Programms zur Aufklärung von Cloud-Bedrohungen
Um Cloud Threat Intelligence effektiv zu implementieren, benötigen Unternehmen das richtige Team und die richtigen Technologien.
Ein Cloud-fokussiertes Threat Intelligence-Team sollte je nach Größe und Fähigkeiten eines Unternehmens die folgenden Hauptbeteiligten umfassen:
- Teams für Cloud-Architektur und Technik
- DevOps
- Sicherheitsarchitektur und -technik
- SOC-Teams (Security Operations Center)
- Spezielle Bedrohungsanalyseteams- und -funktionen
Zu den sekundären Teilnehmern können auch interne Risikomanagement-Teams und Führungskräfte gehören. Analysten von Drittanbietern können ebenfalls Erkenntnisse über Bedrohungen und Cloud-Sicherheit liefern.
Um den Aufbau einer Basis für konsistente und brauchbare Cloud-Bedrohungsdaten zu erleichtern, sollten Unternehmen die folgenden Technologien implementieren und überwachen:
- Cloud-Protokollerstellungs- und -erfassungsdienste, wie AWS CloudTrail oder Amazon CloudWatch, Azure Monitor und Google Cloud Logging.
- Sammlung von Netzwerkflussdaten in jeder der gängigen IaaS-Clouds.
- Sicherheitsdienste, die sich mit den Provider-Umgebungen abstimmen oder Bedrohungsdaten liefern, wie Microsoft Sentinel, Amazon GuardDuty oder Google Cloud Security Command Center.
- Alle verwendeten Workload-Schutzplattformen, wie zum Beispiel führende EDR-Tools (Endpoint Detection and Response) oder Cloud-native Anwendungsschutzplattformen.
- Cloud Security Posture Management (CSPM) und CASB-Plattformen (Cloud Access Security Broker), die Einblicke und Kontext in den Konfigurationsstatus und das interaktive Cloud-Verhalten bieten.
Sicherheitsteams sollten Anwendungsfälle definieren und Integrations-Playbooks entwickeln, die gesammelte Daten verwertbar machen. Dies hilft dabei, fundierte Risikoentscheidungen zu treffen, und ermöglicht eine genauere und gezieltere Suche nach Bedrohungen sowie gezielte Untersuchungen. Die Erstellung eines Dashboards mit den im Laufe der Zeit erkannten und überwachten Risikoveränderungen kann auch dazu beitragen, Cloud-Bedrohungsdaten in Metriken und KPIs für Führungskräfte zu verdichten.