Start Cloud Digitale Forensik in modernen Cloud-Umgebungen

Digitale Forensik in modernen Cloud-Umgebungen [Q&A]

6
0


Anwendungen und Infrastruktur verlagern sich zunehmend in die Cloud und Container. Dies bietet zwar Komfort und Kosteneinsparungen, bringt jedoch bei Sicherheitsvorfällen Herausforderungen mit sich.

Wir sprachen mit James Campbell, CEO und Mitbegründer von Cado-Sicherheit um sich über die Bedeutung digitaler Forensik im Umgang mit Cloud-Systemverstößen zu informieren.

BN: Was ist die größte Herausforderung für Unternehmen bei der Untersuchung von Vorfällen in der Cloud?

JC: Die größten Herausforderungen drehen sich um Geschwindigkeit und Zugang. Wenn heute ein Cyber-Vorfall in der Cloud auftritt, verbringen Sicherheitsanalysten unzählige Tage damit, ein Flickwerk rudimentärer Tools zu verwenden, um die für eine manuelle Untersuchung erforderlichen Daten zu sammeln und zu verarbeiten. Die Tage oder Monate, die es braucht, um Daten zu sammeln, zu verarbeiten und zu analysieren, sind kostbare Zeit, die ein Hacker frei hat, um Unternehmen Schaden zuzufügen. Noch schlimmer ist, dass Vorfälle aufgrund des hohen Aufwands und der Zeit, die für eine ordnungsgemäße Untersuchung erforderlich sind, häufig geschlossen werden, ohne tiefer als die in einer Detektionsplattform angezeigte Oberfläche zu graben.

Da die Cloud-Akzeptanz weiterhin exponentiell zunimmt, stehen Sicherheitsteams jetzt unter extremem Druck, Cloud-Experten zu werden. Erschwerend kommt hinzu, dass viele Unternehmen mehr als eine Cloud-Plattform nutzen, was bedeutet, dass Sicherheitsanalysten die Komplexität und Feinheiten jeder einzelnen verstehen müssen. Zeit-, Werkzeug- und Zugriffsbeschränkungen in Verbindung mit der Komplexität der Cloud machen es Sicherheitsteams oft unmöglich, die wahre Ursache, den Umfang und die Auswirkungen eines Sicherheitsvorfalls zu untersuchen.

BN: Warum müssen nach einem Cyberangriff immer gründlichere forensische Untersuchungen durchgeführt werden?

JC: Ganz einfach: Die Durchführung einer gründlichen forensischen Untersuchung nach einem Verstoß ist entscheidend, um die Ursache zu identifizieren und zukünftige Sicherheitsverletzungen zu verhindern. Aufgrund der Schwere, die für eine ordnungsgemäße Untersuchung erforderlich ist, werden Vorfälle jedoch häufig geschlossen, ohne dass eine tiefere Untersuchung als bei einer herkömmlichen Erkennungslösung erforderlich ist, wodurch das Risiko auf dem Tisch bleibt, dass Hacker durch das Netz schlüpfen.

Während Systemdaten auf niedriger Ebene, die von herkömmlichen Erkennungslösungen gesammelt werden, Sicherheitsteams einen Überblick über das Geschehen auf hoher Ebene bieten, erfordert eine ordnungsgemäße Untersuchung mehr. Sicherheitsanalysten benötigen Zugriff auf 100 Prozent der Daten rund um einen Sicherheitsvorfall. Darüber hinaus müssen Sicherheitsexperten in der Lage sein, mehrere Datenquellen, einschließlich Festplatteninformationen, Cloud-Provider-Protokolle, Arbeitsspeicher und mehr, auf einer einzigen Ebene zu untersuchen. Hier können digitale Forensik-Lösungen helfen, indem sie den Kontext bereitstellen, um die gesamte Bandbreite eines Vorfalls zu verstehen, damit Sicherheitsanalysten fundierte Entscheidungen treffen und die Ursache ermitteln können.

BN: Wie verändert die beschleunigte Einführung von Cloud Computing das Spiel in Bezug auf digitale Forensik und Reaktion auf Vorfälle?

JC: Legacy-Forensik-Tools wurden vor Jahrzehnten entwickelt, um On-Premise-Umgebungen zu unterstützen, aber das Problem ist, dass dort keine Daten mehr vorhanden sind. Es wandert mit exponentiellen Geschwindigkeiten in die Cloud, und wo Daten hingehen, folgen Cyber-Angreifer. Wenn Sicherheitsteams heute eine Bedrohung in einer modernen Umgebung mit traditionellen Ansätzen untersuchen müssen, ist dies unglaublich komplex und zeitaufwändig. Daten werden manuell gesammelt und verarbeitet, und Sicherheitsexperten sind auf mehrere Tools und Tabellenkalkulationen angewiesen, um eine Untersuchung zusammenzuführen.

Um mit dem beschleunigten Tempo der Cloud-Einführung und der Zunahme von Cloud-Bedrohungen Schritt zu halten, müssen die digitalen Forensik-Tools von heute den Zeit-, Ressourcen- und Kostenaufwand für die Untersuchung eines Sicherheitsvorfalls drastisch reduzieren. Durch die Nutzung der Leistungsfähigkeit der Automatisierung zur Rationalisierung der mühsamsten Teile einer forensischen Untersuchung, einschließlich der Datenerfassung und -verarbeitung, können Sicherheitsteams einen Sicherheitsvorfall schnell und präzise untersuchen, selbst wenn die erforderlichen Daten mehrere Cloud-Plattformen, Systeme und Regionen umfassen.

BN: Welche Elemente der digitalen Forensik vor Ort lassen sich nicht auf die Durchführung von Untersuchungen in der Cloud übertragen?

JC: Die Erfassung und Verarbeitung von Daten unterscheidet sich in Cloud-Umgebungen stark von On-Prem. Der Grund dafür ist, dass die Cloud Geschwindigkeit und Skalierbarkeit ermöglicht, die in einer lokalen Welt einfach nicht verfügbar sind. Bisher konnte allein der Datenerfassungsprozess Stunden (sogar Tage) dauern, da Unternehmen oft damit rechnen mussten, jemanden zum Standort der Hardware zu fliegen oder auf den Versand zu warten.

Darüber hinaus erfordern forensische Untersuchungen oft riesige Datenmengen, und all diese Daten müssen verarbeitet und normalisiert werden. Dies erfordert oft viel Zeit, manuellen Aufwand und führt erst nach Abschluss der Bearbeitung zu einem Mehrwert. Bei Cado haben viele Organisationen, mit denen wir gesprochen haben, ähnliche Geschichten geteilt – es kann Tage oder sogar Wochen dauern, bis eine Untersuchung überhaupt beginnen kann. In der Zwischenzeit läuft der Angreifer um potenziell exfiltrierende Daten herum. Aus diesem Grund ist es bei der Durchführung von Untersuchungen in der Cloud unerlässlich, dass Unternehmen Sicherheitslösungen einsetzen, die es ihnen ermöglichen, riesige Datenmengen, die über unzählige Assets gleichzeitig erfasst werden, zu verarbeiten.

BN: Mit dem Umstieg in die Cloud setzen auch Unternehmen immer mehr auf Container. Ist es möglich, an Containern aufgrund ihrer ephemeren Natur forensische Untersuchungen durchzuführen?

JC: Absolut. Die Herausforderung bei Containern besteht darin, dass sie sich kontinuierlich auf und ab drehen. Wenn zwischen dem Hoch- und Herunterfahren bösartige Aktivitäten auftreten, können diese Daten für immer verloren gehen. Aus diesem Grund haben Angreifer diese Umgebungen ausgenutzt, um ihre Spuren zu verwischen.

Es ist jedoch möglich, trotz ihrer ephemeren Natur forensische Untersuchungen durchzuführen. Cloud-native digitale Forensik-Lösungen bieten die Geschwindigkeit und Automatisierung, die erforderlich sind, um Vorfalldaten in Containerumgebungen zu erfassen, bevor sie verschwinden. Durch die Integration der Forensik in Ihren täglichen Untersuchungsworkflow können Sie sicherstellen, dass Beweise erfasst, verarbeitet und aufbewahrt werden, sobald böswillige Aktivitäten erkannt werden. Diese Transparenz ermöglicht es Analysten, schnell zu erkennen, welche Assets und Daten kompromittiert wurden, ohne sich fragen zu müssen, ob etwas übersehen wurde.

Bildnachweis: Lichtquelle/Depositphotos.com



Vorheriger ArtikelParallels Desktop 17 für Mac ist da mit Unterstützung für Windows 11 und macOS Monterey
Nächster ArtikelMicrosoft aktualisiert die Mindestsystemanforderungen für Windows 11, aber das ist für viele keine gute Nachricht

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein