Bedrohungen für Multi-Cloud-Umgebungen erkennen und stoppen

Welche Rolle spielt Threat Hunting in der Cloud?

Lassen Sie uns damit beginnen, den Begriff des Threat Hunting genauer zu beleuchten. Er steht für weit mehr als nur die Bekämpfung von Bedrohungen. Wir werden zeigen, welche großen Vorteile Threat Hunting sowohl in Single- als auch Multi-Cloud-Umgebungen mit sich bringt.

Threat Hunting basiert auf, vereinfacht gesagt, informationsgestützten Analysen. Mit ihnen lässt sich etwa feststellen, ob und wo ein Angreifer sich bereits einen Zugang zu den Ressourcen eines Unternehmens verschaffen konnte. Threat Hunting stellt dazu Hypothesen auf Grundlage bekannter Vorgehensweisen von Angreifern auf. Sie ermöglichen zum Beispiel eine Einschätzung darüber, wo sich ein Eindringling bereits heimlich einen Zugang zu einer Umgebung verschafft haben könnte. Auf dieser Basis versucht Threat Hunting dann, Testbedingungen herauszuarbeiten, um diese Annahme entweder zu beweisen oder zu widerlegen.

Damit ist Threat Hunting ein großer Schritt nach vorne bei der Bekämpfung von Cyberbedrohungen. In der Vergangenheit ist es häufig vorgekommen, dass besonders fortgeschrittene Angreifer die zu ihrer Entdeckung eingesetzten Maßnahmen umgehen konnten, so dass keine Alarme ausgelöst wurden. Beim Einsatz von Threat Hunting ist das ganz anders. Durch das permanente Achten auf Hinweise für eine bereits erfolgte Infiltration durch Angreifer in einem Netzwerk können Unternehmen tatsächlich erfolgte Attacken leichter identifizieren und die Angreifer stören, bevor sie ihre Ziele erfolgreich umsetzen können.

Genau dieses Vorgehen lässt sich auch in einer Cloud-Umgebung anwenden. Der Unterschied liegt dabei nur in der Art, wie Sie an die Informationen kommen, die Sie für die Untersuchungen und die Tools zur Reaktion auf Angriffe benötigen, und wie Sie diese Daten analysieren.

Cloud-basiertes Threat Hunting setzt auf drei grundlegenden Überlegungen auf:

• Nur weil Ihr Unternehmen die Cloud nutzt, heißt das nicht, dass Angriffe nicht mehr stattfinden.
• Es wirkt sich positiv auf Ihre Verteidigung aus, wenn Sie die Ziele der Angreifer und die von ihnen verwendeten Methoden kennen und Mittel haben, dagegen vorzugehen.
• Transparenz auf allen Ebenen, sogar dort wo im Shared-Responsibility-Modell (Prinzip der geteilten Verantwortung) die operative Verantwortung des Cloud-Betreibers liegt, ist nützlich, um Angreifer oder die von ihnen verwendeten Methoden besser zu verstehen.

Die Multi Cloud macht das alles noch viel komplexer

Aus logistischer Sicht macht die Multi-Cloud das Threat Hunting nicht gerade leichter. Abbas Kudrati, Binil Pillai and Chris Peiris haben die Probleme in ihrem Buch „Threat Hunting in the Cloud: Defending AWS, Azure and Other Cloud Platforms Against Cyberattacks“ beschrieben:

“Wenn Unternehmen von einer physischen Infrastruktur oder einer reinen On-Premises-Infrastruktur zu einer Cloud-Umgebung migrieren, wird das Threat Hunting zu einer weit größeren Herausforderung. Das liegt vor allem an Schwierigkeiten mit der Compliance sowie der Transparenz der angewendeten Konfigurationen, mit entfernt untergebrachten Datenquellen und Infrastrukturen, grundlegenden Sicherheitsfunktionen und der Zahl der eingesetzten APIs (Application Programming Interfaces). Kurz und bündig gesagt, erfordert Threat Hunting dann mehr Aufmerksamkeit, wenn sich die Angriffsoberfläche vergrößert.”

Was die Autoren damit sagen wollen, ist, dass die Analysten mehr Informationen und ein besseres Training benötigen, wenn sie nach Bedrohungen in der Multi Cloud suchen sollen. Das liegt daran, dass sie nicht nur die benötigten Tools verstehen und nutzen müssen, sondern auch die verschiedenen Sicherheitsmodelle, Architekturen, Technologie-Stacks und anderen Elemente, die nicht nur von ihrer eigenen Organisation eingesetzt werden, sondern auch von den Cloud-Providern und anderen beteiligten Anbietern.

Threat Hunting in der Multi Cloud erhöht den benötigten Aufwand also erheblich. Hier werden noch mehr Tools, Konzepte, APIs und Datenquellen benötigt. Analysen über mehreren Umgebungen hinweg und das Korrelieren von Daten müssen ebenso mit einbezogen werden. Stellen Sie sich das am besten wie ein Gespräch mit drei Teilnehmern vor, an dem zum Beispiel ein On-Premises-Nutzer, ein Anwendungs-Frontend in einer PaaS-Umgebung (Platform as a Service) und eine Backend-API in einer virtuellen Maschine (VM) in einer IaaS-Umgebung (Infrastructure as a Service) teilnehmen. Die Entscheidung darüber, ob eine bei dieser Kommunikation gemachte Aussage zutrifft, erfordert die Überprüfung unterschiedlicher Protokolle und diverser Monitoring-Tools in den verschiedenen Umgebungen. Der Aufwand ist damit weit höher als bei einer Kommunikation, an der nur zwei Personen teilnehmen.

Threat Hunting in der Multi Cloud

Wenn Ihr Unternehmen beabsichtigt, Threat Hunting in seiner Multi-Cloud-Umgebung einzusetzen, sollten Sie sich zuerst mit den Methoden beschäftigen, die Sie dafür benötigen. Die dabei zu entwickelnde Strategie ist letztendlich einzigartig für jedes Unternehmen. Das liegt an mehreren Ursachen. So hängt die optimale Strategie von der jeweiligen Cloud-Nutzung, den Fähigkeiten zum Threat Hunting und den dabei gewählten Vorgehensweisen und den geschäftlichen Bedürfnissen ab. Es gibt eben kein Patentrezept, das für alle passt. Aber es gibt eine Reihe von grundlegenden Maßnahmen, die interessierte Unternehmen zumindest anfangs umsetzen können.

Erstens sollten Sie die Daten und Events angleichen, die sich zwischen Ihren unterschiedlichen Umgebungen bewegen, seien sie in der Cloud oder lokal untergebracht. Hier liegt bereits eine häufig zu beobachtende Fehlerquelle in der Multi Cloud. Sie sollten daher auf eine gemeinsame Sicherheitsarchitektur achten, die tiefergehende Analysen ermöglicht sowie konsolidierte Dashboards bietet, die sich von einer zentralen Stelle aus verwalten lassen.

Das Analysieren von Events, die aus unterschiedlichen Quellen stammen, gehört zu den wichtigsten Pfeilern bei der Absicherung einer Multi-Cloud-Umgebung, bei ihrem Betrieb, bei der Reaktion auf sicherheitsrelevante Vorfälle und, deswegen sind wir ja hier, für das eigentliche Threat Hunting. Um diese Ziele erreichen zu können, müssen Sie sich ausführlich über die verschiedenen Cloud-Umgebungen und die dabei genutzten Dienste informieren, alle involvierten Sicherheitsmodelle kennen und sicherstellen können, dass Sie die richtigen Daten von jeder Quelle sammeln.

Zweitens sollten Sie sich mit einem Bereich beschäftigen, der auch systematisches Threat Modeling genannt wird. Dafür benötigen Sie eine Lösung, die mehrere Cloud-Umgebungen abdecken kann. Das erleichtert es herauszufinden, welche Bedrohung priorisiert werden muss sowie wie und wo Sie die Ihnen zur Verfügung stehenden Ressourcen einsetzen müssen, um die benötigten Informationen zu bekommen. Threat Modeling ist hier eine großartige Hilfe. Indem Sie sich in den Kopf des Angreifers zu versetzen versuchen, können Sie Hypothesen darüber entwickeln, wo und wie Ihre Gegner vermutlich angreifen werden. Auf diese Weise räumen Sie den Bereichen, die Sie dann weiter untersuchen wollen, eine höhere Priorität ein. Zudem fällt es Ihnen dann leichter, genau die benötigten Daten in jeder Umgebung zu sammeln und die Tests zusammenzustellen, mit denen Sie erfahren, ob sich tatsächlich bereits ein Eindringling in Ihrer Umgebung befindet.

Drittens sollten Sie sich immer über neue Erkenntnisse und Ereignisse auf dem Laufenden halten. Informieren Sie sich kontinuierlich darüber, was Sie in den verschiedenen Umgebungen aufdecken können und analysieren Sie, wie die unterschiedlichen Komponenten zusammenarbeiten, welche nativen Dienste eingesetzt werden und wie sie sich ins Gesamtbild einfügen. Das mag sehr aufwendig klingen. Es gibt aber nur wenige Unternehmen über einer bestimmten Größe, die diese Aufgaben schon zuverlässig, zutreffend und voll umfassend erledigen können.