pickup adobe
Die Herausforderung der Cloud-Forensik meistern
Mit den richtigen Tools und Methoden können IT-Teams die wichtigen Informationen zur Verfügung stellen, die für forensische Untersuchungen des Cloud Computing erforderlich sind.
Die Planung der digitalen Forensik im Cloud Computing kann für Sicherheitsteams eine Herausforderung darstellen. Bis vor kurzem gab es nur wenige Tools, die Analysten bei der Überprüfung von Systemen und der Beschaffung von Informationen für forensische Untersuchungen im Cloud Computing unterstützen.
Bei der Beschaffung und Analyse von digitalem Beweismaterial versuchen die Analysten in der Regel, die folgenden Daten zu erhalten:
- Netzwerkpakete für die Traffic-Analyse.
- Arbeitsspeicher der Workloads.
- Workload-Datenträger.
- Protokolle und Ereignisdaten von Workloads und Cloud-Umgebungen.
Die Beschaffung und Analyse von Cloud-Forensik-Beweisen sind im Laufe der Zeit einfacher geworden. Eine große Herausforderung bleibt jedoch bestehen: Die Bedenken bei Cloud-Forensik-Untersuchungen konzentrieren sich oft eher auf die Frage: „Werden die Beweise rechtlich Bestand haben?“ anstatt auf die Frage: „Können wir etwas mit diesen Erkenntnissen anfangen?“
Indem sie mehr über Cloud-Forensik-Techniken und -Tools lernen, um Untersuchungen zu ermöglichen oder zu automatisieren, sind Sicherheitsteams besser gerüstet, diese Herausforderung zu meistern.
Techniken der forensischen Beweiserhebung in der Cloud
Die verwendeten Techniken und Tools der digitalen Forensik hängen davon ab, wo die Sicherheitsanalysten Beweise sammeln, einschließlich Workloads, Containern und anderen Bereichen des Netzwerks.
Erhebung von Cloud-Workloads
Die Erfassung von Beweisen für Cloud-Workloads unterscheidet sich je nach Art der verwendeten Workloads. Die Erfassung von Datenträgern in einer laufenden Instanz ist ähnlich wie die interne Erfassung von Datenträgern in virtuellen Umgebungen. Dies liegt daran, dass die meisten IaaS-Anbieter ihren Kunden die Möglichkeit bieten, einen Snapshot einer VM-Arbeitslast zu erstellen. Analysten können den Snapshot in ein Live-Analyse-Volume konvertieren und es an eine forensische Workstation in der Cloud oder vor Ort anschließen. In den meisten Cloud-Umgebungen können Kunden IaaS-Betriebssysteme und Datenlaufwerke direkt über das Verwaltungsportal erfassen.
Die Erfassung des Speichers in einer gemeinsam genutzten Umgebung erfordert eine Erfassungsmethode auf Instanzbasis. Um den laufenden Speicher von Instanzen zu erfassen, benötigen Sicherheitsteams separate Tools, egal ob remote oder lokal. Für diesen Zweck gibt es eine Vielzahl von Tools. Acquire Volatile Memory for Linux (AVML) von Microsoft ist beispielsweise ein kostenloses Open-Source-Dienstprogramm, das den Speicher von herkömmlichen Workload-Instanzen erfasst. WinPmem und Linpmem, die speziell auf Windows beziehungsweise Linux zugeschnitten sind, sind weitere Beispiele für kostenlose Workload-Erfassungstools.
Der Ruhezustand einer Arbeitslast ist eine weitere Methode, um in einigen Cloud-Umgebungen wie AWS eine Speichererfassung auf dem lokalen Festplattenvolumen zu erstellen. In Google Cloud können Sicherheitsteams eine RAM-Disk für In-Memory-Daten erstellen. Viele agentenbasierte Tools von Drittanbietern wurden für die Arbeit in Cloud-Umgebungen angepasst, was für große Unternehmen besser geeignet sein könnte.
Forensische Untersuchung von Containern
Die Forensik in Container-basierten Umgebungen unterscheidet sich etwas. In Container-Umgebungen, in denen das Unternehmen die zugrunde liegende Laufzeit-Engine kontrolliert, können Tools wie Docker Forensics Toolkit und Docker Explorer dabei helfen, das gemeinsam genutzte Unions-Dateisystem mit individuellen Container-Protokollen und der Container-Historie auszuwerten.
Für Cloud-Container-Infrastrukturen wie Amazon Elastic Kubernetes Service, Azure Kubernetes Service und Google Kubernetes Engine gibt es eine neue Funktion in Kubernetes, die als Kubelet Checkpoint API bekannt ist und es Analysten ermöglicht, eine Kopie oder ein laufendes Container-Image für die Offline-Analyse zu erstellen. Beachten Sie, dass diese Funktion möglicherweise nicht in allen PaaS-Modellen verfügbar ist.
Serverlose Funktionen sollten sich weitgehend auf Protokolle und tatsächliche Codeversionen als Beweismittel verlassen, da es in der Regel nicht viel mehr zu sammeln gibt.
Netzwerkforensik im Kontext der Cloud
Die Netzwerkforensik wird in den meisten Cloud-Umgebungen durch neue Funktionen für die Spiegelung des Netzwerkverkehrs und die Paketerfassung ermöglicht. Teams können Flussprotokolldaten verwenden, um Verhaltensmodelle für den Netzwerkverkehr zu erstellen.
Außerdem kann jeder Kunde Virtual Private Cloud Traffic Mirroring in AWS und Google Cloud Packet Mirroring nutzen. Diese Dienste ermöglichen es dem Kunden, den Datenverkehr zur forensischen Analyse automatisch an ein Network Intrusion Detection System oder einen Speicherort zu kopieren. Microsoft bietet derzeit kein Paketreplikationssystem auf Netzwerkebene in Azure an, aber der Network-Watcher-Dienst kann den Datenverkehr zu einem ausgewählten Ziel kopieren, indem Agenten auf allen VMs installiert werden, von denen das Team den Datenverkehr kopieren möchte.
NDR-Tools (Network Detection and Response) sind auch für die Umgebungen führender Cloud-Anbieter weithin verfügbar.
Wie dokumentiert man forensische Untersuchungen zum Cloud Computing?
Unternehmen müssen einen einmalig beschreibbaren Speicher verwenden, der ausschließlich den Forensik- und Incident-Response-Teams zur Verfügung steht und von ihnen kontrolliert wird. Stellen Sie sicher, dass die Richtlinien für die Identitäts- und Zugriffsverwaltung dokumentiert sind und ein Zugriffsmodell mit den geringsten Privilegien (POLP) vorhanden ist.
Protokollieren Sie die Aktivitäten zur Beweiserfassung und zum Speichern von Beweisen umfassend. Tun Sie dies mit der Speicherprotokollierung sowie der allgemeinen Protokollierung der Cloud-Kontrollebene mit Tools wie AWS CloudTrail, Azure Monitor und Cloud Logging in Google Cloud.
Der Aufbau eines umfassenden Cloud-Computing-Forensik-Programms erfordert, dass die Analysten Protokolle an eine Speicherumgebung senden, die nach Möglichkeit eine Integritätsüberwachung unterstützt.
Wie man forensische Untersuchungen in der Cloud automatisiert
Die Automatisierung ist zu einem weiteren wichtigen Schwerpunktbereich für die Cloud-Computing-Forensik und die Reaktion auf Vorfälle geworden. Betrachten Sie die folgenden Aktivitäten als potenzielle Möglichkeiten für die Implementierung von Automatisierung:
- Bewerten Sie die Umgebung - kontinuierlich. Verwenden Sie Cloud-native Tools wie AWS Config, Amazon GuardDuty, Azure Security Center und Google Cloud Security Command Center, um Ressourcen nach Möglichkeit auf Sicherheitsbedingungen zu prüfen.
- Auffinden und Kennzeichnen verdächtiger Objekte. Eine beliebige Anzahl von Netzwerkverkehrsmustern oder Ereignissen in einer Cloud-Umgebung kann auf verdächtiges oder bösartiges Verhalten hinweisen. Eine der effektivsten Methoden zur Kennzeichnung verdächtiger Assets ist die automatische Zuweisung von Metadaten-Tags für Assets, die sich ungewöhnlich verhalten. So können Unternehmen sie verfolgen und effektiver reagieren.
- Beweiserfassung durchführen. Es können automatisierte Prozesse initiiert werden, um Beweise wie Speicher und Datenträger sowie lokale Prozesse oder Indikatoren für eine Kompromittierung zu erfassen. Initiieren Sie Skripte oder Tools mit Cloud-kompatiblen Methoden, die Protokolle und Prüfpfade erstellen, um eine ordnungsgemäße Überwachung und Beweiskette zu gewährleisten.
- Behebung. Bei allen Abhilfemaßnahmen, einschließlich der Quarantäne von Assets oder der Beendigung von Workloads, kann die Automatisierung dazu beitragen, dass der Prozess sofort und konsistent ausgeführt wird, wenn verdächtiges Verhalten festgestellt wird.
Die Anbieter von Cloud-Diensten beginnen, integrierte Tools und Servicefunktionen anzubieten, die bei der Automatisierung helfen. AWS bietet beispielsweise Automated Forensics Orchestrator für Amazon Elastic Compute Cloud an, um Teams bei der Bereitstellung einer vollständig automatisierten forensischen Beweiserfassungsplattform in der Cloud zu unterstützen.
Mit den entsprechenden Methoden ausgestattet, können Sicherheitsteams forensische Untersuchungen in der Cloud effektiver durchführen. Dieses Wissen - unterstützt durch zahlreiche Drittanbieter- und Open-Source-Tools, neue Cloud-native Funktionen und Automatisierung - kann den Wert von Cloud-Sicherheitsprogrammen in Unternehmen erhöhen.