Die Planung der digitalen Forensik im Cloud Computing kann für Sicherheitsteams eine Herausforderung darstellen. Bis vor kurzem gab es nur wenige Tools, die Analysten bei der Überprüfung von Systemen und der Beschaffung von Informationen für forensische Untersuchungen im Cloud Computing unterstützen.

Bei der Beschaffung und Analyse von digitalem Beweismaterial versuchen die Analysten in der Regel, die folgenden Daten zu erhalten:

Die Beschaffung und Analyse von Cloud-Forensik-Beweisen sind im Laufe der Zeit einfacher geworden. Eine große Herausforderung bleibt jedoch bestehen: Die Bedenken bei Cloud-Forensik-Untersuchungen konzentrieren sich oft eher auf die Frage: „Werden die Beweise rechtlich Bestand haben?“ anstatt auf die Frage: „Können wir etwas mit diesen Erkenntnissen anfangen?“

Indem sie mehr über Cloud-Forensik-Techniken und -Tools lernen, um Untersuchungen zu ermöglichen oder zu automatisieren, sind Sicherheitsteams besser gerüstet, diese Herausforderung zu meistern.

Techniken der forensischen Beweiserhebung in der Cloud

Die verwendeten Techniken und Tools der digitalen Forensik hängen davon ab, wo die Sicherheitsanalysten Beweise sammeln, einschließlich Workloads, Containern und anderen Bereichen des Netzwerks.

Erhebung von Cloud-Workloads

Die Erfassung von Beweisen für Cloud-Workloads unterscheidet sich je nach Art der verwendeten Workloads. Die Erfassung von Datenträgern in einer laufenden Instanz ist ähnlich wie die interne Erfassung von Datenträgern in virtuellen Umgebungen. Dies liegt daran, dass die meisten IaaS-Anbieter ihren Kunden die Möglichkeit bieten, einen Snapshot einer VM-Arbeitslast zu erstellen. Analysten können den Snapshot in ein Live-Analyse-Volume konvertieren und es an eine forensische Workstation in der Cloud oder vor Ort anschließen. In den meisten Cloud-Umgebungen können Kunden IaaS-Betriebssysteme und Datenlaufwerke direkt über das Verwaltungsportal erfassen.

Die Erfassung des Speichers in einer gemeinsam genutzten Umgebung erfordert eine Erfassungsmethode auf Instanzbasis. Um den laufenden Speicher von Instanzen zu erfassen, benötigen Sicherheitsteams separate Tools, egal ob remote oder lokal. Für diesen Zweck gibt es eine Vielzahl von Tools. Acquire Volatile Memory for Linux (AVML) von Microsoft ist beispielsweise ein kostenloses Open-Source-Dienstprogramm, das den Speicher von herkömmlichen Workload-Instanzen erfasst. WinPmem und Linpmem, die speziell auf Windows beziehungsweise Linux zugeschnitten sind, sind weitere Beispiele für kostenlose Workload-Erfassungstools.

Der Ruhezustand einer Arbeitslast ist eine weitere Methode, um in einigen Cloud-Umgebungen wie AWS eine Speichererfassung auf dem lokalen Festplattenvolumen zu erstellen. In Google Cloud können Sicherheitsteams eine RAM-Disk für In-Memory-Daten erstellen. Viele agentenbasierte Tools von Drittanbietern wurden für die Arbeit in Cloud-Umgebungen angepasst, was für große Unternehmen besser geeignet sein könnte.

Forensische Untersuchung von Containern

Die Forensik in Container-basierten Umgebungen unterscheidet sich etwas. In Container-Umgebungen, in denen das Unternehmen die zugrunde liegende Laufzeit-Engine kontrolliert, können Tools wie Docker Forensics Toolkit und Docker Explorer dabei helfen, das gemeinsam genutzte Unions-Dateisystem mit individuellen Container-Protokollen und der Container-Historie auszuwerten.

Für Cloud-Container-Infrastrukturen wie Amazon Elastic Kubernetes Service, Azure Kubernetes Service und Google Kubernetes Engine gibt es eine neue Funktion in Kubernetes, die als Kubelet Checkpoint API bekannt ist und es Analysten ermöglicht, eine Kopie oder ein laufendes Container-Image für die Offline-Analyse zu erstellen. Beachten Sie, dass diese Funktion möglicherweise nicht in allen PaaS-Modellen verfügbar ist.

Serverlose Funktionen sollten sich weitgehend auf Protokolle und tatsächliche Codeversionen als Beweismittel verlassen, da es in der Regel nicht viel mehr zu sammeln gibt.

Netzwerkforensik im Kontext der Cloud

Die Netzwerkforensik wird in den meisten Cloud-Umgebungen durch neue Funktionen für die Spiegelung des Netzwerkverkehrs und die Paketerfassung ermöglicht. Teams können Flussprotokolldaten verwenden, um Verhaltensmodelle für den Netzwerkverkehr zu erstellen.

Außerdem kann jeder Kunde Virtual Private Cloud Traffic Mirroring in AWS und Google Cloud Packet Mirroring nutzen. Diese Dienste ermöglichen es dem Kunden, den Datenverkehr zur forensischen Analyse automatisch an ein Network Intrusion Detection System oder einen Speicherort zu kopieren. Microsoft bietet derzeit kein Paketreplikationssystem auf Netzwerkebene in Azure an, aber der Network-Watcher-Dienst kann den Datenverkehr zu einem ausgewählten Ziel kopieren, indem Agenten auf allen VMs installiert werden, von denen das Team den Datenverkehr kopieren möchte.

NDR-Tools (Network Detection and Response) sind auch für die Umgebungen führender Cloud-Anbieter weithin verfügbar.