Die Herausforderung der Cloud-Forensik meistern

Techniken der forensischen Beweiserhebung in der Cloud

Die verwendeten Techniken und Tools der digitalen Forensik hängen davon ab, wo die Sicherheitsanalysten Beweise sammeln, einschließlich Workloads, Containern und anderen Bereichen des Netzwerks.

Erhebung von Cloud-Workloads

Die Erfassung von Beweisen für Cloud-Workloads unterscheidet sich je nach Art der verwendeten Workloads. Die Erfassung von Datenträgern in einer laufenden Instanz ist ähnlich wie die interne Erfassung von Datenträgern in virtuellen Umgebungen. Dies liegt daran, dass die meisten IaaS-Anbieter ihren Kunden die Möglichkeit bieten, einen Snapshot einer VM-Arbeitslast zu erstellen. Analysten können den Snapshot in ein Live-Analyse-Volume konvertieren und es an eine forensische Workstation in der Cloud oder vor Ort anschließen. In den meisten Cloud-Umgebungen können Kunden IaaS-Betriebssysteme und Datenlaufwerke direkt über das Verwaltungsportal erfassen.

Die Erfassung des Speichers in einer gemeinsam genutzten Umgebung erfordert eine Erfassungsmethode auf Instanzbasis. Um den laufenden Speicher von Instanzen zu erfassen, benötigen Sicherheitsteams separate Tools, egal ob remote oder lokal. Für diesen Zweck gibt es eine Vielzahl von Tools. Acquire Volatile Memory for Linux (AVML) von Microsoft ist beispielsweise ein kostenloses Open-Source-Dienstprogramm, das den Speicher von herkömmlichen Workload-Instanzen erfasst. WinPmem und Linpmem, die speziell auf Windows beziehungsweise Linux zugeschnitten sind, sind weitere Beispiele für kostenlose Workload-Erfassungstools.

Der Ruhezustand einer Arbeitslast ist eine weitere Methode, um in einigen Cloud-Umgebungen wie AWS eine Speichererfassung auf dem lokalen Festplattenvolumen zu erstellen. In Google Cloud können Sicherheitsteams eine RAM-Disk für In-Memory-Daten erstellen. Viele agentenbasierte Tools von Drittanbietern wurden für die Arbeit in Cloud-Umgebungen angepasst, was für große Unternehmen besser geeignet sein könnte.

Forensische Untersuchung von Containern

Die Forensik in Container-basierten Umgebungen unterscheidet sich etwas. In Container-Umgebungen, in denen das Unternehmen die zugrunde liegende Laufzeit-Engine kontrolliert, können Tools wie Docker Forensics Toolkit und Docker Explorer dabei helfen, das gemeinsam genutzte Unions-Dateisystem mit individuellen Container-Protokollen und der Container-Historie auszuwerten.

Für Cloud-Container-Infrastrukturen wie Amazon Elastic Kubernetes Service, Azure Kubernetes Service und Google Kubernetes Engine gibt es eine neue Funktion in Kubernetes, die als Kubelet Checkpoint API bekannt ist und es Analysten ermöglicht, eine Kopie oder ein laufendes Container-Image für die Offline-Analyse zu erstellen. Beachten Sie, dass diese Funktion möglicherweise nicht in allen PaaS-Modellen verfügbar ist.

Serverlose Funktionen sollten sich weitgehend auf Protokolle und tatsächliche Codeversionen als Beweismittel verlassen, da es in der Regel nicht viel mehr zu sammeln gibt.

Netzwerkforensik im Kontext der Cloud

Die Netzwerkforensik wird in den meisten Cloud-Umgebungen durch neue Funktionen für die Spiegelung des Netzwerkverkehrs und die Paketerfassung ermöglicht. Teams können Flussprotokolldaten verwenden, um Verhaltensmodelle für den Netzwerkverkehr zu erstellen.

Außerdem kann jeder Kunde Virtual Private Cloud Traffic Mirroring in AWS und Google Cloud Packet Mirroring nutzen. Diese Dienste ermöglichen es dem Kunden, den Datenverkehr zur forensischen Analyse automatisch an ein Network Intrusion Detection System oder einen Speicherort zu kopieren. Microsoft bietet derzeit kein Paketreplikationssystem auf Netzwerkebene in Azure an, aber der Network-Watcher-Dienst kann den Datenverkehr zu einem ausgewählten Ziel kopieren, indem Agenten auf allen VMs installiert werden, von denen das Team den Datenverkehr kopieren möchte.

NDR-Tools (Network Detection and Response) sind auch für die Umgebungen führender Cloud-Anbieter weithin verfügbar.

Wie dokumentiert man forensische Untersuchungen zum Cloud Computing?

Unternehmen müssen einen einmalig beschreibbaren Speicher verwenden, der ausschließlich den Forensik- und Incident-Response-Teams zur Verfügung steht und von ihnen kontrolliert wird. Stellen Sie sicher, dass die Richtlinien für die Identitäts- und Zugriffsverwaltung dokumentiert sind und ein Zugriffsmodell mit den geringsten Privilegien (POLP) vorhanden ist.

Protokollieren Sie die Aktivitäten zur Beweiserfassung und zum Speichern von Beweisen umfassend. Tun Sie dies mit der Speicherprotokollierung sowie der allgemeinen Protokollierung der Cloud-Kontrollebene mit Tools wie AWS CloudTrail, Azure Monitor und Cloud Logging in Google Cloud.

Der Aufbau eines umfassenden Cloud-Computing-Forensik-Programms erfordert, dass die Analysten Protokolle an eine Speicherumgebung senden, die nach Möglichkeit eine Integritätsüberwachung unterstützt.

Wie man forensische Untersuchungen in der Cloud automatisiert

Die Automatisierung ist zu einem weiteren wichtigen Schwerpunktbereich für die Cloud-Computing-Forensik und die Reaktion auf Vorfälle geworden. Betrachten Sie die folgenden Aktivitäten als potenzielle Möglichkeiten für die Implementierung von Automatisierung:

• Bewerten Sie die Umgebung - kontinuierlich. Verwenden Sie Cloud-native Tools wie AWS Config, Amazon GuardDuty, Azure Security Center und Google Cloud Security Command Center, um Ressourcen nach Möglichkeit auf Sicherheitsbedingungen zu prüfen.
• Auffinden und Kennzeichnen verdächtiger Objekte. Eine beliebige Anzahl von Netzwerkverkehrsmustern oder Ereignissen in einer Cloud-Umgebung kann auf verdächtiges oder bösartiges Verhalten hinweisen. Eine der effektivsten Methoden zur Kennzeichnung verdächtiger Assets ist die automatische Zuweisung von Metadaten-Tags für Assets, die sich ungewöhnlich verhalten. So können Unternehmen sie verfolgen und effektiver reagieren.
• Beweiserfassung durchführen. Es können automatisierte Prozesse initiiert werden, um Beweise wie Speicher und Datenträger sowie lokale Prozesse oder Indikatoren für eine Kompromittierung zu erfassen. Initiieren Sie Skripte oder Tools mit Cloud-kompatiblen Methoden, die Protokolle und Prüfpfade erstellen, um eine ordnungsgemäße Überwachung und Beweiskette zu gewährleisten.
• Behebung. Bei allen Abhilfemaßnahmen, einschließlich der Quarantäne von Assets oder der Beendigung von Workloads, kann die Automatisierung dazu beitragen, dass der Prozess sofort und konsistent ausgeführt wird, wenn verdächtiges Verhalten festgestellt wird.

Die Anbieter von Cloud-Diensten beginnen, integrierte Tools und Servicefunktionen anzubieten, die bei der Automatisierung helfen. AWS bietet beispielsweise Automated Forensics Orchestrator für Amazon Elastic Compute Cloud an, um Teams bei der Bereitstellung einer vollständig automatisierten forensischen Beweiserfassungsplattform in der Cloud zu unterstützen.

Mit den entsprechenden Methoden ausgestattet, können Sicherheitsteams forensische Untersuchungen in der Cloud effektiver durchführen. Dieses Wissen - unterstützt durch zahlreiche Drittanbieter- und Open-Source-Tools, neue Cloud-native Funktionen und Automatisierung - kann den Wert von Cloud-Sicherheitsprogrammen in Unternehmen erhöhen.