Tierney - stock.adobe.com
Risiken durch Cloud Attack Surface Management reduzieren
Die vermehrte Cloud-Nutzung vergrößert die Angriffsfläche von Unternehmen. Cloud Attack Surface Management hilft dabei Angriffspunkte zu identifizieren und Risiken zu verringern.
Attack Surface Management (ASM) ist eine Kombination aus Kontrollen und Diensten, die darauf abzielen, das Risiko anfälliger Unternehmensressourcen und -systeme zu verringern, die für Angriffe anfällig sind.
Diese Anfälligkeit hat mit dem Aufkommen von Cloud-Diensten erheblich zugenommen, wodurch ASM eine noch wichtigere Rolle zukommt. Die schnelle Bereitstellung und Verbreitung von Cloud-Infrastrukturen und zugehörigen Komponenten - darunter Identitäten, Identitätsrichtlinien und Speicherknoten - haben die Angriffsfläche erheblich vergrößert. Infolgedessen kann die Überwachung der Cloud-Angriffsfläche eine Herausforderung für Sicherheitsteams darstellen.
Wenn Sie sich mit der Angriffsfläche der Cloud befassen, sollten Sie Folgendes beachten:
- Erkennung und Überwachung gefährdeter Objekte.
- Ermittlung der Angriffsfläche und Risikovalidierung.
- Risiko von Tochtergesellschaften und Fusionen - oft im Zusammenhang mit Cloud-Diensten und -Einführungen.
- Die Erfassung von Risiken in der Lieferkette ist ebenfalls häufig mit Cloud-Diensten verbunden.
- Cloud-spezifische Asset-Erkennung und Konfigurationsmanagement.
ASM: Ein umfassender Ansatz für die Sicherheit
ASM kombiniert die Erkennung von Schwachstellen und das Risikomanagement mit einer Angreiferperspektive auf gefährdete Ressourcen. Umfassendes Cloud-ASM beinhaltet Cloud-Workloads und Dienste, die direkt dem Internet ausgesetzt sind, sowie interne Dienste, die miteinander interagieren.
Sicherheitsteams können das Potenzial von Cloud-basierten Bedrohungen und Schwachstellen auf verschiedene Weise bewerten. Die erste besteht in der Nutzung von Cloud-nativen Diensten, die in der Lage sind, Assets zu erkennen und Berichte über Konfigurationszustände und andere Risiken zu erstellen.
Alle führenden IaaS-Anbieter bieten Dienste an, die bei der Erfassung und Meldung von Asset-Risiken helfen können, darunter Amazon GuardDuty, Azure Security Center und Google Cloud Security Command Center. GuardDuty und Microsoft Sentinel zeigen auch Angriffsmöglichkeiten und -phasen auf, die in branchenführenden Frameworks wie Mitre ATT&CK beschrieben werden.
Wenn es wirtschaftlich darstellbar ist, sollten Unternehmen diese Dienste nutzen, um ihre Sicherheitsteams in die Lage zu versetzen, potenzielle Schwachstellen und Risiken zu bewerten. Dies können sie dann mit führenden Branchenbenchmarks des Center for Internet Security, der Cloud Security Alliance und der Cloud-Anbieter selbst zu vergleichen. Andere Dienste wie AWS Systems Manager und AWS Config bieten einen tieferen Einblick in den Konfigurationsstatus, während Microsoft Defender for Cloud dabei hilft Cloud-Assets aufzuspüren.
Zu den anderen ASM-Tools für die Cloud gehört Attack Surface Management for Google Cloud von Mandiant, mit dem Kunden potenzielle Angriffspunkte identifizieren können. Es lässt sich auch mit AWS und Azure integrieren, um einen zentralen Überblick über alle genutzten Cloud-Dienste zu erhalten.
Wichtige Aspekte bei ASM-Produkten
Falsch positive Ergebnisse. Bei der Erkennung von Assets ist es möglich, Ergebnisse zu erhalten, die nicht ganz akkurat sind, insbesondere bei der Emulation von Angriffen ohne spezielle Anmeldeinformationen und Zugriffsschlüssel, über die ein anonymer Angreifer möglicherweise nicht verfügt. Prüfen Sie alle Ergebnisse sorgfältig und kontrollieren Sie sie, bevor Sie Abhilfemaßnahmen ergreifen oder automatische Reaktionen oder Abhilfemaßnahmen durchführen.
Ganzheitlichkeit. Die Anbieter bieten einen unterschiedlichen Grad an Breite und Tiefe bei der Erkennung von Assets und Sicherheitslage. Einige sind beispielsweise besser in der Lage, Cloud-Assets in bestimmten Cloud-Service-Umgebungen zu finden als andere. Führen Sie während der Proof-of-Concept-Tests eine Validierung durch.
Risikobewertung. Jeder Anbieter verwendet seine eigenen Modelle für die Entwicklung und Zuweisung von Risikobewertungen, und nicht alle von ihnen sind wirklich vollständig oder ganz genau. Achten Sie auf Tools, mit denen Kunden die Risikobewertung und -einstufung auf der Grundlage des Kontexts und anderer Faktoren ändern können, sowie auf Produkte, die Flexibilität beim Testen einer Vielzahl von Cloud-Konfigurationen und Schwachstellen-Frameworks bieten.
Cloud Attack Surface Management wird schnell mit anderen Cloud-Management-Strategien verzahnt. Beispielsweise mit dem Management der Cloud-Sicherheitslage und der Simulation von Sicherheitsverletzungen und Angriffen (Breach and Attack Simulation). Daher sollten Sie potenzielle Anbieter nicht nur nach ihren aktuellen Fähigkeiten fragen. Erkundigen Sie sich stattdessen nach den geplanten Vorhaben zur Erweiterung und Verbesserung der Produktabdeckung, insbesondere für Unternehmen mit Multi-Cloud-Implementierungen - diese Art von Tools wird wahrscheinlich sowohl für Sicherheits- als auch für Cloud-Engineering-Teams immer wichtiger.