Suchen

Proaktive Cloud-Sicherheit So steht es um Threat Hunting in der Cloud

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Elke Witmer-Goßner

Trotz der Furcht vor Cloud-Risiken verhalten sich viele Unternehmen reaktiv in Fragen der Cloud-Sicherheit. Die aktive Suche nach Bedrohung, also Threat Hunting in der Cloud, kommt noch zu kurz, wie eine Studie der EU-Agentur für Cybersicherheit ENISA zeigt. Dabei gibt es bereits viele Lösungen und Services, die bei Cloud Threat Hunting helfen können.

Firma zum Thema

Unternehmen sollten sich nicht zu sehr auf vorhandene Sicherheitsmechanismen verlassen, sondern aktiv gegen drohende Gefahren Vorsorge treffen.
Unternehmen sollten sich nicht zu sehr auf vorhandene Sicherheitsmechanismen verlassen, sondern aktiv gegen drohende Gefahren Vorsorge treffen.
(Bild: © ink drop - stock.adobe.com)

Cloud- Sicherheit ist den Unternehmen in Deutschland weiterhin sehr wichtig, wie der Cloud-Monitor 2020 von Bitkom und KPMG zeigt. Obwohl Cloud-Nutzer bereits einiges für die Cloud-Security tun, fürchten sie weiterhin den unberechtigten Zugriff auf sensible Unternehmensdaten. 77 Prozent der befragten Unternehmen haben bereits ein Cloud-Sicherheitskonzept, trotzdem besteht bei 70 Prozent die Sorge vor den unberechtigten Zugriffen auf die Cloud-Daten.

Cloud-Bedrohungen suchen, nicht nur fürchten

Wenn Sicherheitsmaßnahmen ergriffen wurden, aber weiterhin größere Risiken befürchtet werden, sollte man sich aktiv auf die Risiko- und Bedrohungssuche machen, empfiehlt zum Beispiel das Analystenhaus Gartner. Dann ist es Zeit für Threat Hunting. Nach Sicherheitsbedrohungen zu suchen bedeutet, in der IT-Umgebung nach Spuren von Angreifern in der Vergangenheit und Gegenwart zu suchen, so Gartner. Unternehmen, die die Bedrohungssuche einsetzen, verwenden einen speziellen Prozess, um versteckte Bedrohungen aufzudecken, die von automatisierten Kontrollen bisher übersehen werden.

Doch wie steht es um Threat Hunting in der Cloud? Darauf liefert eine Studie von ENISA, der EU-Agentur für Cybersicherheit, eine ernüchternde Antwort. Obwohl die breite Mehrheit der Unternehmen bereits Cloud-Dienste nutzt, richten sie ihre proaktive Detektion auf andere IT-Umgebungen aus. Wie die Studie „Proactive Detection“ von ENISA zeigt, nutzen die befragten Unternehmen insbesondere Sandboxes, Network IDS, Endpoint Monitoring, Cloud Monitoring, Dynamic Mobile Malware Analysis oder X.509 Certificates Monitoring, um Bedrohungen proaktiv aufzuspüren. Cloud-Monitoring wird allerdings am wenigsten eingesetzt. Dabei könnte und sollte Cloud-Monitoring dafür eingesetzt werden, um mögliche Attacken auf Cloud-Dienste schneller und zuverlässiger erkennen zu können.

Proaktive Detektion braucht stärkeren Cloud-Fokus

Die ENISA-Experten geben aber zu bedenken: Große Cloud-Provider bieten firmeninterne spezialisierte Sicherheitstools an, mit denen Protokolle erfasst und analysiert sowie der Netzwerkverkehr überwacht werden können. Die Funktionen solcher Tools variieren erheblich zwischen den Anbietern: In einigen Fällen erfüllen ihre Funktionen die Anforderungen der Teams an Überwachung und Erkennung. Die Mehrheit der Anbieter, insbesondere mittlere und kleine, hat diesbezüglich aber kein ausreichendes Angebot.

Proaktive Bedrohungssuche in der Cloud wird mit automatisiertem Threat Hunting möglich, so Hunters.
Proaktive Bedrohungssuche in der Cloud wird mit automatisiertem Threat Hunting möglich, so Hunters.
(Bild: Hunters)

Scheitert Threat Hunting in der Cloud also an verfügbaren Lösungen? Oder fehlt es an den Fähigkeiten zur aktiven Bedrohungssuche in den Unternehmen? Ein Blick auf den Markt zeigt, dass es Tools gibt, von Providern und Drittanbietern, ebenso Managed Services für das Threat Hunting in der Cloud. Unternehmen sollten sich deshalb der aktiven Bedrohungssuche in der Cloud annehmen und die für sie passende Lösung wählen.

Provider-Tools für die Bedrohungsjagd
Cloud-Provider wie AWS liefern Nutzern mögliche Werkzeuge für das Threat Hunting, natürlich in aller Regel beschränkt auf die jeweiligen Cloud-Services, die der Kunde bei dem Anbieter nutzt. Amazon Detective zum Beispiel hilft laut AWS bei der Bedrohungssuche, indem Nutzer sich auf bestimmte Ressourcen wie IP-Adressen, AWS-Konten, VPC- und EC2-Instanzen konzentrieren und detaillierte Visualisierungen der mit diesen Ressourcen verbundenen Aktivitäten bereitstellen können. Amazon Detective hilft demnach bei der Suche, indem es zeitbasierte Analysen und die Möglichkeit bietet, einen Drill-In durchzuführen, alle Aktivitäten während eines bestimmten Zeitraums anzuzeigen und Abweichungen von der Norm zu erkennen.

Security-Tools für Threat Hunting
Bei den Anbietern für Cloud-Security und Cybersicherheit findet man ebenfalls eine Reihe von möglichen Lösungen. Als Beispiele für Threat Hunting Plattformen, die auch die Cloud-Dienste unter die Lupe nehmen, seien genannt:

Man muss allerdings bedenken, dass sich viele Werkzeuge an Security-Analysten richten. Wenn also die Security-Expertise im Unternehmen knapp ist, dann lohnt sich zudem ein Blick auf entsprechende Threat Hunting Services, die auch die Cloud umfassen.

Threat Hunting als Dienstleistung
Dienstleistungen im Bereich Cloud Threat Hunting sind ebenfalls bereits verbreitet. Als Beispiele an dieser Stelle seien genannt:

(ID:46730565)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research