Die Auswahl und der Einsatz modernster Sicherheitstools als Teil der Gesamt-Sicherheitsstrategie ist einer von vielen kritischen Erfolgsfaktoren beim Schutz von Daten: „Dabei reicht es aber nicht aus, nur eine oder zwei Sicherheitslösungen einzusetzen“, warnen Christoph Koslowski, Marcin Jung, Sylwia Sławińska und Adam Burek vom Global IT Security Team von ERGO in einem Gastbeitrag für //next. Und verraten uns, was stattdessen den effektivsten Schutz gegen aktuelle Angriffsmethoden darstellt.
Die zunehmende Digitalisierung unserer Geschäftsprozesse führt unweigerlich dazu, dass das Gesamtrisiko eines Unternehmens immer stärker von Cyberrisiken geprägt wird. Gleichzeitig werden die Angriffsmethoden immer ausgefeilter und die möglichen Schäden immer verheerender. Die Auswahl und der Einsatz fortschrittlicher Sicherheitstools als Teil der Gesamtsicherheitsstrategie ist daher einer der vielen kritischen Erfolgsfaktoren für den Schutz von Daten. Derzeit reicht es nicht aus, nur eine oder zwei Sicherheitslösungen zu verwenden! Der wirksamste Schutz gegen solche Angriffe ist vielmehr der Aufbau einer mehrschichtigen Sicherheitsverteidigung, die aus verschiedenen Sicherheitsmechanismen besteht, welche die Anzahl der nutzbaren Angriffsvektoren in der Cloud-Umgebung minimieren. Einige Beispiele für Sicherheitsdienste sind Best-Practice-Benchmarks, Web Application Firewalls sowie Anomalieerkennung.
Cloud Security Posture Management Services führen eine kontinuierliche Überprüfung des Reifegrads der Cloud-Sicherheit auf der Grundlage von Industriestandards und Best Practices durch. Um eine angemessene Qualität einer solchen Überprüfung zu erreichen, müssen Daten aus einer Vielzahl von Tools und Diensten gesammelt werden – darunter die Erkennung von Bedrohungen, Schwachstellen, die Klassifizierung sensibler Daten, das Scannen der Infrastruktur und die Netzwerksicherheit. All diese Daten lassen sich zusammenführen, um einen ganzheitlichen Überblick über die wirkliche Sicherheitslage der Organisation zu erhalten. Jeder große Cloud-Anbieter bietet unserer Erfahrung nach ein solches Tool an, in dem die Sicherheitserkenntnisse zusammengefasst und für bessere Such- und Analysemöglichkeiten organisiert werden.
Eine Web Application Firewall (WAF) hilft, Web-Anwendungen und/oder APIs vor gängigen Web-Exploits und Bots zu schützen, die deren Verfügbarkeit beeinträchtigen, unsere Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen. Solche WAFs blockieren normalerweise bekannte bösartige und unerwünschte Anfragen, bevor sie die Anwendung erreichen. Es ist möglich, benutzerdefinierte Regeln zu erstellen, um bestimmte Verkehrsmuster herauszufiltern, die gängige Angriffsarten wie SQL-Injection und Cross-Site-Scripting verhindern. Um die Implementierung und die Kosten für die Bereitstellung einer WAF-Lösung zu vereinfachen, können Cloud-Anbieter verwaltete Regelsätze anbieten, die einen grundlegenden Schutz gegen gängige Web-Angriffssignaturen bieten. Eine WAF bietet in der Regel Echtzeit-Metriken und erfasst Rohanfragen mit Details zu IP-Adressen, geografischen Standorten, URIs, Benutzer-Agenten und Referrern. Cloud-basierte WAFs lassen sich auch in andere Cloud-Sicherheitstools (wie etwa ein Security Incident and Event Management System) integrieren, was die Erstellung von benutzerdefinierten Alarmen bei Überschreitung von Schwellenwerten oder Auslösung bestimmter Warnungen vereinfacht.
Die meisten Cloud-Anbieter bieten zentrale Protokollierungs- und Überwachungsdienste für ihre Cloud-Plattformen an. Es gibt auch Dienste, die für die Erkennung von Bedrohungen zuständig sind – und die kontinuierlich auf bösartige Aktivitäten achten sowie anomales Verhalten in der Cloud überwachen. All diese Dienste kombinieren in der Regel Machine-Learning-Algorithmen, die Millionen von Ereignissen über mehrere Datenquellen in der Cloud verarbeiten können. Im AWS-Beispiel umfassen diese Quellen Ereignisprotokolle von AWS CloudTrail, Ablaufprotokolle von Amazon Virtual Private Cloud (VPC), Audit-Protokolle von Amazon Elastic Kubernetes Service sowie DNS-Abfrageprotokolle.
Neben dem Aufbau eines solchen soliden Fundaments von mehrschichtigen Kern-Cloud-Sicherheitsdiensten können neu veröffentlichte Funktionen wie intelligenter Malware-Schutz dazu beitragen, die Effizienz und Erkennungsrate von fortgeschrittenen Angriffen zu verbessern. Dies gilt für Anomalieerkennungsdienste, die potenziell gefährdete virtuelle Maschinen in erster Linie anhand des Netzwerkverkehrs identifizieren. Die Verfolgung des Datenverkehrs bis hin zu den einzelnen Servern sowie die Identifizierung infizierter Dateien in einer Cloud-Umgebung kann jedoch eher langsam ausfallen, da manuelle Aktionen wie die Erstellung eines Snapshots und die Durchführung eines Anti-Malware-Scans mit Tools von Drittanbietern erforderlich sind. Wenn jedoch der Malware-Schutz aktiviert und mit den vorhandenen Anomalieerkennungsdiensten verbunden ist, lassen sich bei Anzeichen einer Infektion über das Netzwerk automatisch die Warnungen/Funde korrelieren, was zu einer standardisierten Reaktion führt: nämlich beispielsweise der Erstellung eines Snapshots oder der Einleitung eines agentenlosen Scans auf dem Backup der EC2-Instanz oder des Containers, um die infizierten Dateien zu identifizieren. Dies hilft Sicherheitsteams wie uns, Fehlalarme zu erkennen und Malware-Infektionen schneller zu beseitigen.
Die Cloud-Anbieter bauen ihre Kompetenzen im Bereich der Cloud-Sicherheit weiter aus, und es werden systematisch neue Dienste und Tools entwickelt. Durch deren Integration können wir eine mehrschichtige Sicherheitsabwehr aufbauen, die es uns ermöglicht, eine Vielzahl von Bedrohungen nahezu in Echtzeit zu überwachen, zu erkennen, zu identifizieren, zu schützen und darauf zu reagieren.
Text: Christoph Koslowski, Marcin Jung, Sylwia Sławińska, Adam Burek
Am beliebtesten