Was bei Sicherheitsvorfällen in der Cloud zu tun ist

Was ist Cloud Incident Response?

Die Reaktion auf Zwischenfälle umfasst im Allgemeinen Pläne, Prozesse und Kontrollen, die Unternehmen bei der Vorbereitung, Erkennung, Analyse und Wiederherstellung nach einem Zwischenfall helfen.

Die Reaktion auf Cloud-Vorfälle unterscheidet sich da nicht. Unternehmen benötigen nach wie vor Pläne, Verfahren und Kontrollen, die die Erkennung von Vorfällen und die Reaktion darauf erleichtern. Die Infrastruktur hat sich jedoch geändert. Viele Unternehmen nutzen Cloud Service Provider (CSPs) für private und öffentliche Cloud-Bereitstellungen sowie eine Vielzahl von SaaS-, IaaS- und PaaS-Systemen. Die Reaktion auf Vorfälle in der Cloud weist daher einige besondere Unterschiede auf.

Reaktion auf Vorfälle in der Cloud im Vergleich zum traditionellen Incident Response

Die Cloud-Bereitstellung erfolgt nach dem Modell der geteilten Verantwortung. Dies bedeutet, dass einige Ressourcen und Dienste in der Cloud ganz oder teilweise von Diensteanbietern verwaltet werden können. Wenn Unternehmen beispielsweise ein Eindringen in eine SaaS-Cloud bemerken, kann es sein, dass aufgrund der begrenzten Untersuchungsmöglichkeiten und der geringen Sichtbarkeit oder Telemetrie von Ereignissen und Indikatoren für eine Kompromittierung keine Maßnahmen zur Reaktion auf Vorfälle ergriffen werden können. In einer heterogeneren IaaS-Cloud hingegen befinden sich viele Objekte und Anlagen unter der Kontrolle des Kunden und liegen weitgehend in dessen Verantwortung.

Ein weiterer Unterschied ist, dass viele der Sicherheitstools und -kontrollen, auf die sich Teams in lokalen Rechenzentren verlassen, nicht immer optimal für Cloud-Umgebungen geeignet sind. Einige sind zum Beispiel nicht kompatibel oder haben Implementierungs- oder Leistungsprobleme. Andere Tools sind möglicherweise nicht auf Cloud-API-Aufrufe und Cloud-Arbeitsmodelle abgestimmt, um Angriffe und Eindringungsindikatoren kontextbezogen zu erkennen.

Ein dritter Unterschied besteht darin, dass die gesamte Cloud-Struktur Software-basiert ist. Das bedeutet, dass mehr Gewicht auf die Nutzung von Cloud-nativen Diensten als Leitplanken und kritische Elemente des Ablaufs bei der Reaktion auf Vorfälle gelegt wird - zum Beispiel, indem man sich hauptsächlich auf Automatisierung und Orchestrierung konzentriert. Schließlich können neue Kosten durch die Erstellung von Protokollen und Ereignissen in der Cloud sowie durch Cloud-Sicherheitsdienste entstehen.

Vorteile und Herausforderungen bei der Reaktion auf Vorfälle in der Cloud

Der Aufbau eines Plans zur Reaktion auf Vorfälle in der Cloud bringt viele Vorteile mit sich, vor allem, da die Zahl der Cloud-Bereitstellungen weiter zunimmt. Die schlechteste Zeit, um herauszufinden, wie man auf einen Vorfall reagieren soll, ist während eines Vorfalls, daher ist Vorbereitung der entscheidende Faktor. Eine solide Strategie für die Reaktion auf Cloud-Vorfälle stellt sicher, dass die Teams schnell und effektiv auf Sicherheitsvorfälle reagieren können, was wiederum Folgendes bedeutet:

• Verhinderung von Betriebsunterbrechungen.
• Verringerung des Schadens durch Zwischenfälle, wie zum Beispiel Datenschutzverletzungen.
• Schnellere und effektivere Erholung von Zwischenfällen.

Zu den größten Herausforderungen bei der Reaktion auf Cloud-Vorfälle gehören die folgenden:

• Mangel an Fachkräften.
• Mangelnde Vertrautheit mit Cloud-spezifischen Ereignissen, wie beispielsweise API-Aufrufen und zu analysierenden und zu verarbeitenden Informationen.
• Nicht ordnungsgemäße Implementierung von Tools, die einen umfassenden Einblick in die Cloud-Aktivitäten ermöglichen.
• Unkenntnis darüber, wie sich Vorfälle in der Cloud von Vorfällen innerhalb eines traditionellen Perimeters unterscheiden.
• Fehlender Zugang zu physischen Servern, was die Art und Weise, wie forensische Beweise gesammelt werden, verändert.

Rahmenbedingungen für die Reaktion auf Vorfälle in der Cloud

Pläne für die Reaktion auf Vorfälle basieren häufig auf Incident Response Frameworks, in denen beschrieben wird, wie Vorgänge zur Reaktion auf Vorfälle am besten strukturiert werden können. Konzepte gibt es unter anderem vom BSI (IT-Grundschutz), NIST, ISO, ISACA und dem SANS Institute.

Die Cloud Security Alliance (CSA) bietet ein Cloud-spezifisches Rahmenwerk an, das die folgenden Schlüsselphasen beschreibt:

Vorbereitung und anschließende Überprüfung. Die Vorbereitungsphase der Reaktion auf Cloud-Vorfälle umfasst die Implementierung von Tools und Kontrollen, die Schulung der Mitarbeiter in Bezug auf Cloud-Dienste, Cloud-Sicherheitsfunktionen und Cloud-Bedrohungen sowie die Erstellung von Cloud-Reaktionsrichtlinien und Playbooks. Diese Phase umfasst alle Maßnahmen, die ein Sicherheitsteam in die Lage versetzen, Cloud-Vorfälle zu bewältigen, bevor sie auftreten.

Erkennung und Analyse. Unternehmen sollten die Umgebung von Cloud-Diensten auf potenzielle Anzeichen von Angriffen und anderen Störungen oder Vorfällen überwachen. Verfolgen Sie potenzielle Vorboten, zum Beispiel Benachrichtigungen über neue Cloud-Angriffsvektoren, Schwachstellen in Cloud-Diensten und bekannte Störungen. In dieser Phase erkennen die Sicherheitsteams unerwünschte Ereignisse, die darauf hindeuten, ob eine umfassende Reaktion auf einen Vorfall erforderlich ist, sowie die möglichen Auswirkungen auf die Cloud-Umgebung und das Unternehmen als Ganzes. In dieser Phase werden auch Artefakte zur Beweisführung gesammelt.

Eindämmung, Eliminierung und Wiederherstellung. In dieser Phase werden mehrere Ziele verfolgt. Zunächst sollte das Reaktionsteam verhindern, dass sich der Vorfall ausbreitet oder verschlimmert. Dies kann Maßnahmen wie die Migration in eine andere Verfügbarkeitszone oder Region zur Verbesserung der Kontinuität oder die Isolierung und Quarantäne von Anlagen umfassen, die sich verdächtig oder bösartig verhalten. Bei der Beseitigung geht es darum, die Ursache des Vorfalls zu eliminieren oder zu beheben, zum Beispiel ein mit Malware infiziertes Container-Image und Laufzeitsystem oder ein kompromittiertes Konto. Wiederherstellung bedeutet die Wiederaufnahme des normalen Geschäftsbetriebs in der Cloud-Umgebung.

Nachbereitung. In dieser Phase wird überprüft, was während eines Vorfalls passiert ist, um festzustellen, was gut funktioniert hat und was nicht, und wie man verhindern kann, dass sich ein solcher Vorfall wiederholt. Dies ist ein idealer Zeitpunkt, um sich mit anderen Teams und Interessenvertretern abzustimmen, einschließlich Cloud Engineering, Architektur, DevOps und Anwendungsentwicklungsteams sowie Dienstanbietern. Nutzen Sie diese Phase auch, um festzustellen, ob die Kontrollen und Prozesse Ereignisse und Vorfälle richtig erkannt und darauf reagiert haben.

Bewährte Praktiken zur Reaktion auf Cloud-Vorfälle

Die folgenden Best Practices sollten bei der Entwicklung und Ausführung von Strategien zur Reaktion auf Cloud-Vorfälle berücksichtigt werden:

• Schicken Sie die Mitglieder des Cloud-Notfallteams zu einer Schulung des Cloud-Anbieters. Machen Sie das Team mit den Arten von Diensten, Objekten, APIs, Befehlen und anderen Cloud-zentrierten Konzepten vertraut, die sie benötigen, um eine Cloud-Incident-Response-Funktion ordnungsgemäß aufzubauen.
• Aktivieren Sie das Identitäts- und Zugriffsmanagement und die rollenbasierte Zugriffskontrolle für Reaktionsteams. Dies ist ein wichtiger Planungsschritt. Von der IT-Abteilung kann nicht erwartet werden, dass sie in der Hitze des Gefechts ein Modell mit den geringsten Rechten (POLP, Principle of least Privilege) für Analysten zur Reaktion auf Vorfälle erstellt. Erstellen Sie Konten mit den geringsten Rechten, um bei Bedarf bestimmte Aktionen in der Cloud durchzuführen. Definieren Sie für diese eine Rolle, idealerweise für den kontoübergreifenden Zugriff. Aktivieren Sie die Multifaktor-Authentifizierung für diese Konten.
• Aktivieren Sie die schreibgeschützte Speicherung von Protokollen und Beweisen. Tun Sie dies im Voraus, auch wenn die Beweise derzeit nicht in der Cloud gespeichert sind. So kann beispielsweise Amazon Simple Storage Service Versioning für die sichere Aufbewahrung und Wiederherstellung verwendet werden.
• Aktivieren Sie die Cloud-weite Protokollierung, falls verfügbar. Aktivieren Sie getriggerte metrikbasierte Alarme, wie Amazon CloudWatch oder Azure Monitor.
• Aktivieren Sie Cloud-Guardrail-Dienste, um zusätzliche Transparenz und Überwachung zu erhalten. Dienste wie Microsoft Defender for Cloud, Google Cloud Security Command Center, Amazon GuardDuty und AWS Security Hub könnten Teams in die Lage versetzen, die systemeigene Struktur des CSP zur Überwachung von Assets, Services und Verhaltensweisen in Cloud-Konten und -Abonnements zu nutzen.
• Stellen Sie sicher, dass die Tools zur Reaktion auf Vorfälle mit den verwendeten Dienstanbietern kompatibel sind. Prüfen Sie beispielsweise, ob die EDR-Tools (Endpoint Detection and Response) sowie Workload-Forensik in der Lage sind, Angriffe und bösartige Aktivitäten innerhalb von PaaS-Systemen wie Containern, Kubernetes und Serverless zu überwachen und zu melden.
• Berücksichtigen Sie die Integration von Cloud-Service-APIs und Automatisierungsfunktionen in Workflows, wenn Sie Playbooks für die Reaktion auf Vorfälle in der Cloud erstellen. Es ist einfacher, automatisierte Wenn-Dann-Aktionen in der Cloud zu erstellen als in lokalen Rechenzentren. Verwenden Sie dazu leicht verfügbare native Tools. Ein Alarm von GuardDuty könnte beispielsweise eine Änderung auslösen, um den betroffenen Workload zu isolieren, bis das Vorfallreaktionsteam eine Untersuchung durchführen kann. GuardDuty könnte auch eine AWS Lambda-Funktion oder eine AWS Config-Regel auslösen, die den Workload aus einem genehmigten Image neu aufbaut. Aktivieren Sie auf ähnliche Weise die automatische Erfassung
• Zusammenarbeit und Abstimmung mit Cloud-Engineering- und DevOps-Teams. Erstellen Sie Playbooks und Pläne für die Reaktion auf Cloud-Vorfälle, um Produktionsunterbrechungen so gering wie möglich zu halten.