Verhaltensbasierte Angriffserkennung in Amazon Web Services

Werden derzeit IT-Verantwortliche befragt, wo sie der Sicherheitsschuh drückt, dann lautet die Antwort meist unisono „Cloud“ (siehe auch IT-Security: Die aktuellen Herausforderungen für Unternehmen). Kein Wunder, landen doch immer mehr Workloads in der Cloud, ohne dass dort die gleiche Transparenz in Sachen Sicherheit gewährleistet wäre, wie im eigenen Rechenzentrum. Und viele der Sicherheitslösungen, die in Unternehmen eingesetzt werden, sind dann spätestens in der Public Cloud außen vor.

LightCyber hat nun neue Produkte angekündigt, mit der sich die Lücken bei der Erkennung von Sicherheitsverletzungen in Cloud- und Hybrid-Cloud-Rechenzentren schließen lassen sollen. Wenn sich um Workloads handelt, die Amazon Web Services nutzen. Diese Workloads lassen sich nun prüfen, wenn diese in IaaS- und Hybrid-Cloud-Rechenzentren laufen. Die neuen Magna-Produkte würden dabei Analyse des Netzwerkverkehrs mit der Analyse des Nutzer- und Systemverhaltens kombinieren.

Bereitgestellt werden die neuen Produkte Magna Detector AWS und Magna Probe AWS in der AWS Virtual Private Cloud eines Unternehmens. Mit den Lösungen sollen sich Angriffsaktivitäten von Insidern sowie zielorientierte externe Angreifer erkennen lassen, die IT-Assets in einem AWS-Cloud-Rechenzentrum kapern wollen. Von Insidern beinhaltet in diesem Kontext natürlich auch immer Aktivitäten mit deren Zugangsdaten und nicht zwangsweise böswillige Mitarbeiter.

Prinzipiell würden Angreifer dort genauso vorgehen, wie beim Auskundschaften in einem normalen On-Premise-Rechenzentrum. Sprich, weitere Schwachstellen suchen und die Kontrolle mittels Seitwärtsbewegungen ausdehnen. Die Systeme sollen in der Lage sein, Versuche von Command-&-Control-Kommunikation (C&C) zu erkennen. Die Magna-Plattform verwendet maschinelle Lernverfahren zur verhaltensbasierten Angriffserkennung.

Dies erlaubt der Magna-Plattform ihre Pappenheimer über die Zeit kennen zu lernen. Die Lösung versteht sich mit dem Active Directory und kann so lernen und unterscheiden, welche Aktivitäten für welche Anwendergruppen normal sind und welche nicht. In einem Dashboard lässt sich schnell ablesen wo, beispielsweise Fachabteilung oder Arbeitsgruppe, es zu verdächtigen Aktivitäten gekommen ist. Bei der Analyse wird nur auf Metadaten zugegriffen, es werden keine persönlichen Inhalte gespeichert.

LightCyber hat sein Magna Cloud Expert System in der Europäischen Union angesiedelt, um die EU-Datenschutzgesetze einzuhalten. Dieses Cloud Expert System, ergänzt die Ergebnisse der Magna-Appliances um zusätzliche Untersuchungsdetails und Bedrohungsinformationen.

Die LightCyber-Lösungen verwenden für das Scannen des virtuellen Netzwerks native AWS VPC Flow Logs oder die noch im Beta-Stadium befindliche Gigamon Visibility Fabric für AWS. Zudem würden die neuen Produkte die Fähigkeiten der bisherigen Magna-Plattform ergänzen und zwar im Hinblick auf die Überwachung des ein- und ausgehenden Netzwerkverkehrs in die Public Cloud per Site-to-Site-VPN.

Neben den neuen Produkten für die Amazon Web Services hat LightCyber eine neue Version des Magna Pathfinder vorgestellt. Diese beinhaltet nun agentenfreie On-demand-Funktionalität zur Abfrage von Linux-basierten Workstations und Servern. Bislang unterstützt Magna Pathfinder nur Windows-basierte Systeme.