Erkennen und reagieren Sie auf Bedrohungen in hybriden Cloud-Umgebungen.
InsightCloudSec entdeckenCloud Detection and Response (CDR) ist der Prozess, bei dem Cybersecurity-Teams Systeme implementieren, die potenzielle Bedrohungen in flüchtigen Hybridumgebungen, einschließlich On-Premises- und Cloud-Systemen, erkennen und darauf reagieren.
Aufgrund der hybriden Natur dieser Art von Umgebung – der neuen Normalität in der heutigen, auf digitale Transformation ausgerichteten Welt – können sowohl die internen als auch die öffentlich zugänglichen Assets, die auf dieser dynamischen Infrastruktur existieren, unglaublich schwer zu sichern sein.
Tatsächlich heißt es im Comprehensive Guide to Cloud Detection and Response von Forrester: „Die Erkennung und Abwehr auf Cloud-Infrastrukturen unterscheidet sich in grundlegenden Weisen von traditionellen Infrastrukturen, was es für Sicherheitsteams zu einer Herausforderung macht.“
In einem separaten Forrester-Artikel erläutern die Principal Analysts Allie Mellen, Andras Cser und Jeff Pollard, wie die Cloud-Erkennung und -Abwehr in drei Erkennungsoberflächen unterteilt ist:
Cloud Detection and Response priorisiert Maßnahmen bei Alerts, die von verschiedenen Laufzeitressourcen und Cloud-Service-Anbietern (CSPs) stammen, um eine schnellere Analyse von Sicherheitsrisiken zu ermöglichen.
Der ideale Zustand einer effektiven CDR-Lösung wäre die Konsolidierung aller Threat Detection während der Laufzeit, indem ein besserer Sicherheitskontext geschaffen wird. Diese Erkenntnisse könnten dann mit den betroffenen Cloud-Ressourcen und deren Eigenschaften verknüpft werden. Diese Art des kontextgesteuerten Risikomanagements bietet umfassende Sichtbarkeit in jede Ebene einer Cloud-Umgebung, um Risiken zu priorisieren und die Wahrscheinlichkeit einer Ausnutzung zu bestimmen.
Da die Entwickler damit beauftragt sind, die größeren Effizienzen von Cloud-Umgebungen zu nutzen, werden Workloads in einem immer schnelleren Tempo hochgefahren. Ein ganzheitlicherer Ansatz zur Laufzeitsicherheit in der Cloud wird – unter anderem – erfordern, die Sicherheit möglichst früh zu berücksichtigen und eine echte DevSecOps-Organisation zu bilden. Achten Sie auf eine mögliche Zunahme von Reibereien zwischen den Teams, da die Sicherheit immer stärker in die Softwareprozesse integriert wird.
Es wird dann kritisch, eine dynamische CDR-Lösung zu implementieren, wenn man in diesem Umfang in und zwischen Cloud-Umgebungen arbeitet. Diese Art von Lösung sollte in der Lage sein:
Die Funktionen sollten auch die Konsolidierung der Threat Detection von systemeigenen und Drittanbieter-Laufzeit-Bedrohungen – ebenso wie die oben erwähnten Anreicherungsfunktionen – umfassen, um eine schnellere Erkennung und Analyse potenzieller Bedrohungen zu ermöglichen.
Die Cloud-Infrastruktur ist besonders dynamisch. Zwischen den sich ständig ändernden virtuellen Assets und der Komplexität der Cloud-Konfigurationen kann es für ein unvorbereitetes Unternehmen schnell schwierig werden, Bedrohungen genau zu lokalisieren und effektiv darauf zu reagieren.
Zusätzlich können die enormen Datenmengen, die generiert werden, bösartige Aktivitäten verschleiern, was den Einsatz fortschrittlicher Überwachungs- und Analysetools erforderlich macht. Daher ist es von größter Bedeutung für Cybersecurity-Teams, potenzielle Bedrohungen erkennen zu können, bevor sie echten Schaden anrichten, da immer mehr Unternehmen ihre IT-Infrastruktur und Entwicklungsabläufe in eine Cloud-, Multi-Cloud- oder Hybridumgebung verlagern. Werfen wir einen Blick auf einige der Vorteile einer effektiven CDR-Lösung.
Dieser Begriff mag wie ein Sammelbegriff für Cybersicherheit erscheinen, aber es ist wichtig, den Punkt zu betonen, dass die Risiken für eine Organisation mit der Umstellung auf Cloud-basierte Operationen fast sofort exponentiell zunehmen.
Eine effektive CDR-Lösung sollte in der Lage sein, verbesserte Sichtbarkeit und Kontrolle zu bieten, mit Funktionen wie der kontinuierlichen Erkennung von Container-Images und in der Cloud bereitgestellten Workloads sowie den Ressourcen, die diese Workloads gestartet haben. CDR kann dabei helfen, die Risiken schnell zu reduzieren, die entstehen können, wenn nur eines dieser Elemente nicht korrekt funktioniert und möglicherweise neue Netzwerksicherheitslücken schafft.
Die Sicherheit von Infrastructure-as-Code (IaC) ist von entscheidender Bedeutung, da wesentliche kundenorientierte Workloads in Cloud-Umgebungen übertragen und im Dienste der Kunden immer schneller ausgerollt werden. Eine CDR-Lösung sollte in der Lage sein, IaC-Vorlagen automatisch zu scannen und Anomalien zu erkennen.
Dies trägt dazu bei, Fehlkonfigurationen und Richtlinienverstöße zu beheben, indem in der gesamten CI/CD-Pipeline (Continuous Integration/Continuous Delivery) ein konsistenter Satz von Sicherheitsprüfungen verwendet wird.
Von Standardkomponenten bis hin zu neueren und sich entwickelnden Aspekten einer Cloud-Sicherheitsplattform: Lassen Sie uns einige wichtige Funktionen einer modernen CDR-Lösung behandeln, die enthalten sein sollten, um Workloads bei der Ausführung ihrer Aufgaben effektiv zu schützen.
Diese CDR-Funktion sollte in der Lage sein, einem Nutzer eine vollständige Ansicht der Laufzeit-Threat Detection von mehreren Kundenressourcen und CSPs zu präsentieren. Diese Funktion der Cloud-native Application Protection Platform (CNAPP) ermöglicht eine schnellere Analyse von Informationen, Risikoerkennung und Priorisierung von Gegenmaßnahmen.
Ein weiteres wesentliches Element einer CDR-Lösung, das für die Zukunft eines Security Operations Center (SOC) von entscheidender Bedeutung ist, besteht darin, die Taktiken, Techniken und Verfahren (TTPs) zu erlernen, die von Bedrohungsakteuren eingesetzt werden, damit die Organisation nicht regelmäßig von denselben Angreifern ins Visier genommen wird. Der automatisierte Prozess des Erlernens dieser TTPs und Signaturen im Laufe der Zeit ist ein guter Übergang zur nächsten Fähigkeit.
Der Einsatz von KI zur Erkennung von Cloud-Anomalien wird von Minute zu Minute verbreiteter. Es ist nicht mehr optional, KI als Teil des Sicherheitsarsenals zu haben – es ist ein Muss.
KI-gestützte Cloud-Anomalieerkennung kann die Effektivität eines SOC beschleunigen, indem sie automatisch nach Verhaltensanomalien sucht und potenzielle Risiken basierend auf historischen Daten schnell priorisiert. Falsch-positive Alarme können typischerweise reduziert werden, indem man sich auf die Erkennung bösartiger Aktivität konzentriert, ohne sich auf spezifische vorkonfigurierte Angriffsindikatoren zu verlassen.
Eine KI-Engine dieser Art kann auch den Kontext verdächtiger Aktivitäten berücksichtigen, indem sie die letzten Aktionen desselben Akteurs berücksichtigt und sich automatisch an Änderungen der allgemeinen Aktivitätsprofile und der Cloud-Umgebung anpasst.
Ein CDR-Service ist eine Dienstleistung, bei der ein Anbieter von Cybersecurity-Diensten mit einem Kunden zusammenarbeitet, um einen Teil oder den Großteil der Cloud-Sicherheitsanforderungen dieses Kunden zu erfüllen. Von einem Anbieter dieser Art kann vernünftigerweise erwartet werden, dass er die folgenden Dienstleistungen erbringt:
Während Personen und Geräte in ein Netzwerk ein- und aussteigen, ändern sich die Beziehungen zwischen diesen Assets ständig. Und in diesem flüchtigen Zustand können schnell neue Schwachstellen geschaffen und ausgenutzt werden.
Deshalb sollte ein CDR-Dienstleister in der Lage sein, alle seine leistungsstarken Fähigkeiten zu nutzen, um effektive Netzwerkerkennungs- und -reaktionsprotokolle (NDR) zu erstellen, die die Integrität eines hybriden Netzwerks schützen, indem sie in Echtzeit Benutzer- und Entitätsverhaltensanalysen (UEBA) überwachen.