Fünf Aspekte zur Auswahl von Cloud Detection and Response

Was bedeutet Cloud Detection and Response?

CDR ist ein neuer Begriff, der sich auf verschiedene Bedeutungen beziehen kann. Primär lassen sich zwei Auslegungen erkennen:

1. Erkennung und Reaktion auf sicherheitsrelevante Ereignisse, die auf Cloud-Workloads und -Services abzielen; und
2. Erkennung und Reaktion mit Hilfe Cloud-basierter Tools.

In diesem Beitrag wird der Begriff „CDR“ als Erweiterung von „Detection and Response“ (Erkennung und Reaktion) verwendet, um Assets, einschließlich Workloads und genutzter Dienste, in der Cloud durch lokale oder Cloud-basierte Produkte abzudecken.

Wichtige Überlegungen zu Cloud Detection and Response

Beachten Sie, dass CDR noch in der Entwicklung ist. Derzeit ist CDR noch in der Entwicklung. Noch nicht jeder Anbieter hat Cloud Detection and Response als eigenes Produkt oder als funktionale oder operative Kategorie eingeführt. Wenn Ihr Unternehmen CDR in Erwägung zieht, finden Sie hier fünf wichtige Aspekte, die Ihnen helfen, sich in diesem Bereich zurechtzufinden.

An welcher Stelle, aus welchem Grund und in welcher Form würde man CDR benötigen?

Ein Großteil der Kommunikation über CDR stammt aus dem Marketing der Anbieter. Da es sich um eine neu entstehende Kategorie handelt, ist es wichtig, sich nicht vom Ansatz eines Anbieters blenden zu lassen und zuzulassen, dass dieser das zukünftige Denken beeinflusst.

Gehen Sie stattdessen von dem Problem aus, das gelöst werden muss, und arbeiten Sie daran, es zu verstehen. Formulieren Sie die Problemstellung aus, und suchen Sie dann nach passenden Lösungen. Dies erhöht die Wahrscheinlichkeit die passende Lösung zu finden, und nicht nur das, was einem jemand verkaufen möchte.

Den richtigen CDR-Ansatz finden

Bei Cloud Detection and Response existieren mehrere Ansätze. Eine Strategie besteht in der Analyse von Protokollierungs- und Überwachungsdaten von Cloud-Anbietern, um Angreiferaktivitäten zu lokalisieren. Eine andere besteht darin, einen Agenten auf IaaS-Workloads einzusetzen, um Betriebsinformationen über bestimmte Workloads und deren internen Zustand zu sammeln.

Der erste Ansatz hat den Vorteil, dass er auch für Dienste jenseits von IaaS, wie PaaS, verwendet werden kann. Ein Nachteil ist, dass die Protokollierungsformate oft an den Anbieter angepasst sind. Der zweite Ansatz hat den Vorteil, dass er eine Vielzahl von Informationen aus einer bestimmten Arbeitslast erhält, die zwischen Cloud-Service-Providern (CSPs) übertragbar sind. Ein Nachteil ist, dass er nur im IaaS-Kontext (Infrastructure as a Service) funktioniert.

Fazit: Wo die Fähigkeit benötigt wird, beeinflusst, welcher Ansatz - oder eine Kombination aus beiden - für Ihr Unternehmen am besten geeignet ist.

Wann wird ein CDR-artiges Produkt benötigt?

Die Cloud bringt einige Besonderheiten in Sachen Erkennung und Reaktion mit sich. Die Tatsache, dass CDR so neu ist, hat jedoch zwei wichtige Auswirkungen:

• Es können neue Marktteilnehmer hinzukommen, die genau dieses Problem angehen.
• Bestehende Anbieter können in diesen Bereich expandieren.

Ist es sinnvoll, ein neues CDR-Produkt zu kaufen, wenn Ihr vorhandenes MDR- oder EDR-Produkt dies in einer zukünftigen Erweiterung seiner Funktionalität anbieten könnte? Werden Anbieter von Cloud Security Posture Management (CSPM) CDR-Funktionen in ihr Produktangebot aufnehmen? Könnten Cloud Service Provider zum Beispiel die Funktionen von AWS GuardDuty oder Microsoft Defender for Cloud erweitern, um ähnliche Dienste anzubieten?

Diese Entwicklungen können in kurzer Zeit oder überhaupt nicht stattfinden. Es kommt also darauf an, welchen Zeitrahmen Sie wählen. Das bedeutet, dass Sie das CDR im Rahmen einer mehrjährigen Strategie betrachten und nicht als etwas, das Sie mal eben spontan umsetzen.

Wie sehen die CDR-Planungen der bisher genutzten Anbieter aus?

Es ist davon auszugehen, dass bestehende Anbieter von Detection-and-Response-Lösungen einen Plan in Sachen Cloud-Ausrichtung haben. Einige befinden sich in der Phase „Installieren Sie unseren Agenten auf Cloud-Workloads“. Andere erklären, wie man das Beste aus dem bestehenden Angebot in der Cloud herausholen kann.

Sprechen Sie mit bestehenden Anbietern über ihre Pläne, bevor Sie ein neues Nischenprodukt kaufen. Es ist keine Selbstverständlichkeit, dass bestehende Anbieter Ihr Unternehmen schnell oder gründlich genug unterstützen können, aber es schadet nie, nach ihrem Zeitplan zu fragen, um eine fundierte Entscheidung treffen zu können.

Wie werden Sie die Maßnahmen umsetzen?

Überlegen Sie, wie Sie die Erkennung und Reaktion in Ihre bestehenden Prozesse integrieren können. Wenn Sie über eine Abteilung für die Reaktion auf Zwischenfälle oder ein Security Operations Center verfügen, könnte dies bedeuten, dass Sie den bestehenden Teams ein weiteres Fenster zur Überprüfung geben – aber so einfach ist es selten. Überlegen Sie, wie Sie Informationen aus bestehenden Plattformen, lokalen Datenquellen und mehr mit Informationen aus der Cloud verknüpfen können.

Besprechen Sie mit den Betriebsteams und Cloud-Architekten, wie die Änderungen umgesetzt werden sollen. Schließlich können Cloud-Workloads vergänglich sein - zum Beispiel von Infrastructure-as-Code-Skripten wie Terraform generiert –, wie es bei lokalen Hosts nicht der Fall ist. Das bedeutet, dass die dauerhafte Bereinigung eines Workloads möglicherweise anders ablaufen muss als vor Ort. Besprechen Sie die Vorgehensweise mit den Beteiligten und den Betriebsteams, die die nötige Aufsicht haben.