peshkova - stock.adobe.com
Cloud Detection and Response: Anwendungsfälle im Überblick
Es gibt gute Gründe, dass sich Unternehmen und IT-Teams intensiver mit dem noch jungen Segment Cloud Detection and Response beschäftigen. Hier einige typische Anwendungsfälle.
Herkömmliche Erkennungs- und Reaktionsmodelle aus der lokalen IT-Umgebung müssen weiterentwickelt und verändert werden, um Cloud-Umgebungen zu schützen. Die Anpassung von EDR (Endpoint Detection and Response), NDR (Network Detection and Response) sowie XDR (Extended Detection and Response) an die Cloud hat sich jedoch als schwierig erwiesen. Hier kommt Cloud Detection and Response (CDR) ins Spiel.
CDR-Produkte und -Dienste bieten Tools und Workflow-Funktionen, die Unternehmen bei der Überwachung und Behebung von Cloud-Sicherheitsproblemen unterstützen. Da es sich um eine noch junge Technologie handelt, ist es für Sicherheitsteams hilfreich, Anwendungsfälle zu betrachten, die aufzeigen, wo CDR den größten Wert bietet und Lücken in einem Cloud-zentrierten Erkennungs- und Reaktionsmodell schließen kann.
Nachfolgend sind Anwendungsfälle aufgeführt, bei denen CDR helfen kann, die Bemühungen um die Sicherheit von Cloud-Umgebungen sowie von herkömmlichen Umgebungen zu beschleunigen. Die ersten vier Anwendungsfälle wurden in einer Präsentation auf einer Konferenz der Cloud Security Alliance (CSA) im Jahr 2022 vorgestellt. Die letzten vier sind zusätzliche Anwendungsfälle, die Sicherheitsteams in Betracht ziehen sollten.
1. Auffälliges Anlegen von zahlreichen EC2-Instanzen
CDR-Tools können Angriffe erkennen und darauf reagieren, bei denen eine fragwürdige Anzahl von EC2-Instanzen (Amazon Elastic Compute Cloud) erstellt wird. In der Präsentation wurde ein Angriff auf eine Cloud-Arbeitslast beschrieben, bei dem eine Cloud-Identitätsrolle eine größere Anzahl von EC2-Instanzen als normal erstellt hat. Zusätzliche Indikatoren für eine Gefährdung, die innerhalb der EC2-Arbeitslast entdeckt wurden, zeigten, dass ein Kryptomining-Bot installiert worden war.
2. API-Aufruf-Aktivität, die den Enumeration-Prozess signalisiert
Ein zunehmender Anwendungsfall für CDR sind API-Aufrufe und Interaktionen mit APIs, da diese die meisten Interaktionen mit Cloud-Diensten und -Objekten ausmachen. Im Beispiel des Referenten entdeckte CDR unbekannte Agenten, die mit einer Cloud-API interagierten. Die spezifischen Arten von Anfragen, die gestellt wurden, entsprachen bekannten Aufklärungs- und Cloud-Enumerationsangriffen, und die spezifische Identitäts- und Zugriffsverwaltungsrolle (IAM), die den API-Aufrufen zugewiesen wurde, erwies sich als toleranter als nötig.
3. Ungewöhnlicher Netzwerkverkehr
In diesem Anwendungsfall erkannte das CDR-Tool ein Ereignis, bei dem eine bekannte bösartige oder verdächtige IP-Adresse erfolgreich eine Verbindung zur Cloud-Infrastruktur initiierte. Ungeprüft versuchte dieses System, den Lambda-Quellcode zu durchforsten, der eine Vielzahl von AWS-Geheimnissen enthält.
4. Ungewöhnlicher Zugriff auf Speicherknoten
Fehlkonfigurationen in der Cloud können zu Schwachstellen, Angriffen und Sicherheitsverletzungen führen. Nirgendwo ist dies mehr der Fall als bei Amazon S3-Buckets (Simple Storage Service) in AWS. Der letzte Anwendungsfall, der in der CSA-Präsentation erläutert wurde, beschrieb ein ungewöhnliches Rollenverhalten bei der Interaktion mit einem S3-Bucket, das personenbezogene Daten enthielt. Da der API-Aufruf an das S3-Objekt ungewöhnlich war, bewertete das CDR-Tool die Konfiguration des Buckets - er war ohne Authentifizierung öffentlich zugänglich, und die darin gespeicherten Daten waren für den Angreifer zugänglich.
5. Überwachung der Cloud-Aktivitäten durch Dritte
Geschäftspartner sowie externe Dienstleister greifen häufig berechtigt auf die Cloud-Ressourcen eines Unternehmens zu. Die Überwachung von Anfragen aus unbekannten oder bekannten böswilligen Quellen sowie die verbesserte Erkennung und automatische Beantwortung von bekannten Dritten, wie Geschäftspartnern und Beratern, könnten leicht zu einem der wichtigsten Anwendungsfälle für CDR werden.
6. Unzulässige Änderungen erkennen
Unbefugte Änderungen an der Cloud-Konfiguration könnten zu einer Gefährdung oder Kompromittierung führen. Dieser CDR-Anwendungsfall kann auf eine Vielzahl von Ressourcen- und Diensttypen angewendet werden.
7. Unverhältnismäßige Berechtigungen
Eine der größten Herausforderungen beim Aufbau und der Pflege einer sicheren Cloud-Umgebung ist die Verwaltung von Cloud-Identitäten und Berechtigungsrichtlinien. Vielen Cloud-IAM-Rollen werden mehr Privilegien als nötig gewährt, was zu Missbrauch und böswilligen Aktionen führen kann. CDR kann helfen, überprivilegierte Konten zu identifizieren.
8. Automatisierte Reaktion und Abhilfemaßnahmen
Obwohl das Konzept der Cloud-Guardrails bekannt ist und verstanden wird, finden viele Teams den Aufbau einer durchgängigen Guardrail-Automatisierung schwierig. CDR-Plattformen könnten gemeinsame Erkennungs- und Reaktionspläne rationalisieren und vereinfachen, die die Vorteile der Cloud-Struktur für die Automatisierung nutzen. Automatisierte Warnmeldungen, Quarantäne, Konfigurationsänderungen und Rollback sowie Untersuchungen und die Sammlung von Beweisen könnten für viele Teams eine gute Ausgangsbasis für CDR sein.
Es ist durchaus ratsam, dass Unternehmen den Bereich Cloud Detection and Response beobachten. Mit zunehmender Reife und Verbreitung bei den Sicherheitsteams könnten sich weitere CDR-Anwendungsfälle ergeben und weiterentwickeln.
