Cloud Threat Intelligence: Bedrohungsdaten richtig nutzen

Strategische und operative Cloud-Bedrohungsdaten

Sicherheitsteams müssen sowohl strategische als auch operative Bedrohungsdaten auswerten. Strategische Bedrohungsdaten betreffen Führungskräfte und nicht-technische Interessengruppen, die Entscheidungen zum Risikomanagement treffen.

Zu den Beispielen für strategische Cloud-Bedrohungsdaten gehören folgende:

• Aktuelle Angriffstrends und Kampagnen, die auf einen bestehenden Dienstanbieter abzielen, wie beispielsweise die von China gesponserten Angriffe auf Microsoft in den Jahren 2022 und 2023.
• Reputationsänderungen bei Cloud-Diensten, die sich auf ein Kundenunternehmen auswirken könnten.
• Neue Schwachstellen oder Angriffe, die auf bestimmte Cloud-Workloads oder genutzte Diensttypen abzielen, wie Serverless, Kubernetes oder Container.

Operative Bedrohungsdaten sind eher taktischer Natur. Sie helfen bei der Information von Security Operations Center (SOC), Threat Hunting, DevOps und anderen technischen Teams.

Beispiele für operative Bedrohungsinformationen sind folgende:

• Spezifische Angriffsmuster gegen Cloud-Ressourcen, einschließlich Passwort-Spraying, Missbrauch von API-Schlüsseln und privilegierten Rollen sowie Einsatz und Betrieb von Kryptowährungs-Minern in Containern.
• Nutzung von Cloud-Speichern und anderen Diensten zum Hosten und Verbreiten von Malware.
• Protokolle der Cloud-Anbieter und Ereignisdaten, die auf eine unerlaubte Nutzung von Ressourcen, ungewöhnliche Zugriffsversuche, versuchte ausgehende Verbindungen für die Datenexfiltration oder Befehls- und Kontrollfunktionen und so weiter hinweisen könnten.

Schlüsselkomponenten eines Programms zur Aufklärung von Cloud-Bedrohungen

Um Cloud Threat Intelligence effektiv zu implementieren, benötigen Unternehmen das richtige Team und die richtigen Technologien.

Ein Cloud-fokussiertes Threat Intelligence-Team sollte je nach Größe und Fähigkeiten eines Unternehmens die folgenden Hauptbeteiligten umfassen:

• Teams für Cloud-Architektur und Technik
• DevOps
• Sicherheitsarchitektur und -technik
• SOC-Teams (Security Operations Center)
• Spezielle Bedrohungsanalyseteams- und -funktionen

Zu den sekundären Teilnehmern können auch interne Risikomanagement-Teams und Führungskräfte gehören. Analysten von Drittanbietern können ebenfalls Erkenntnisse über Bedrohungen und Cloud-Sicherheit liefern.

Um den Aufbau einer Basis für konsistente und brauchbare Cloud-Bedrohungsdaten zu erleichtern, sollten Unternehmen die folgenden Technologien implementieren und überwachen:

• Cloud-Protokollerstellungs- und -erfassungsdienste, wie AWS CloudTrail oder Amazon CloudWatch, Azure Monitor und Google Cloud Logging.
• Sammlung von Netzwerkflussdaten in jeder der gängigen IaaS-Clouds.
• Sicherheitsdienste, die sich mit den Provider-Umgebungen abstimmen oder Bedrohungsdaten liefern, wie Microsoft Sentinel, Amazon GuardDuty oder Google Cloud Security Command Center.
• Alle verwendeten Workload-Schutzplattformen, wie zum Beispiel führende EDR-Tools (Endpoint Detection and Response) oder Cloud-native Anwendungsschutzplattformen.
• Cloud Security Posture Management (CSPM) und CASB-Plattformen (Cloud Access Security Broker), die Einblicke und Kontext in den Konfigurationsstatus und das interaktive Cloud-Verhalten bieten.

Sicherheitsteams sollten Anwendungsfälle definieren und Integrations-Playbooks entwickeln, die gesammelte Daten verwertbar machen. Dies hilft dabei, fundierte Risikoentscheidungen zu treffen, und ermöglicht eine genauere und gezieltere Suche nach Bedrohungen sowie gezielte Untersuchungen. Die Erstellung eines Dashboards mit den im Laufe der Zeit erkannten und überwachten Risikoveränderungen kann auch dazu beitragen, Cloud-Bedrohungsdaten in Metriken und KPIs für Führungskräfte zu verdichten.