Start Cloud Wie Automatisierung zur Cloud-Sicherheit beitragen kann

Wie Automatisierung zur Cloud-Sicherheit beitragen kann [Q&A]

4
0


Sichere Cloud

Angriffe auf Cloud-Systeme machen sich oft Fehlkonfigurationen zunutze, die leicht unentdeckt bleiben können.

Können die Sicherheitsteams von heute Automatisierung und fortschrittliche Analysen nutzen, um sich an die aktuelle Cloud-basierte Bedrohungslandschaft anzupassen und die Sicherheit des Unternehmens zu gewährleisten?

Rob Fry, Chief Technology Officer bei Security Operations Center Company JASK — und ehemaliger leitender Sicherheitsarchitekt bei Netflix — glaubt, dass sie es können. Wir haben mit ihm gesprochen, um mehr zu erfahren.

BN: Was sind die häufigsten Arten von Cloud-Fehlkonfigurationen und wie sind Unternehmen dabei Datenverlusten ausgesetzt?

RF: Die Wahrheit ist, dass die Mehrheit der Cloud-Fehlkonfigurationen, die zu Datenschutzverletzungen führen, ähnlich der Art von Fehlkonfigurationen sind, die wir in Rechenzentrumsumgebungen sehen, die ebenfalls zu Datenschutzverletzungen führen. Diese Sicherheitsverletzungen sind nicht immer auf eine Fehlkonfiguration der „Cloud“ zurückzuführen, sondern auf Webserver oder dieselbe Software, die Sie in einem Rechenzentrum sehen. Cloud-Verletzungen sind nicht nur ein Cloud-Problem, sondern stellen eine neue Art von Herausforderung für Kunden dar, die sich über die Funktionsweise dieses neuen Paradigmas informieren und verstehen müssen.

Diese Herausforderung und ein Hauptgrund für Fehlkonfigurationen ist mangelnde Erfahrung bei der Konfiguration von Cloud-Infrastrukturen, um sicherzustellen, dass die Daten ordnungsgemäß gesichert sind. Es gibt deutliche Änderungen der Methodik von der Sicherung der Cloud gegenüber dem Rechenzentrum, und die meisten Unternehmen befinden sich noch hinter dieser Lernkurve.

Die Protokollierung ist ein großartiges Beispiel. Ob per Logline oder API, Cloud-Anbieter bieten im Vergleich zu einem Rechenzentrum eine viel einfachere Möglichkeit, das Geschehen in Ihrer Umgebung zu protokollieren. Unabhängig von der Umgebung sind Daten nur dann sicher, wenn die Protokollierung richtig konfiguriert ist, um einen Überblick über das zu erhalten, was Sie schützen möchten.

Darüber hinaus sehen wir eine Überprovisionierung des Zugriffs häufig als eine weitere schlechte Konfiguration in Cloud-Umgebungen. Eine der großartigen Eigenschaften von Cloud-Anbietern ist IAM (Identity and Access Management), ein fantastisches Werkzeug für die rollenbasierte Verwaltung und eine sicherere Umgebung. Immer wieder sehen wir jedoch, dass ein Webserver gepoppt wird und ein auf diesem Server ausgeführter Dienst mehr Zugriff hat, als er benötigt, und dann werden schlimme Dinge passieren. Es kommt darauf an, den privilegierten Zugriff Ihrer Systeme und Benutzer, aber auch von IAM zu verstehen, um nicht mehr als das unbedingt Notwendige zur Verfügung zu stellen.

Und schließlich ist einer der häufigsten Dienste, bei denen dies geschieht, Datenspeicherdienste wie Amazon S3-Buckets, die nicht ordnungsgemäß konfiguriert und ungesichert sind. Dies liegt in der Regel an mangelnder Erfahrung in der Protokollierung, um zu erkennen, wann die Konfiguration zu weit offen ist, oder am operativen Verständnis für die richtigen Zugriffsrechte, die massiv überproportioniert werden und dann ein S3-Bucket und sein Inhalt weit offen bleiben Internet.

BN: Warum bleiben Cloud-Fehlkonfigurationen so oft unbemerkt und welche Schritte können unternommen werden, um die Transparenz und die Sicherheit zu erhöhen?

RF: Zunächst ist es wichtig, das weit verbreitete Missverständnis zu verstehen und zu entlarven, dass Cloud-Umgebungen weniger sicher sind als Rechenzentren. Obwohl die Angriffsfläche der Cloud tatsächlich größer ist, ist die Möglichkeit, diese Fläche in der Cloud zu sichern, auch viel besser. Die Herausforderung liegt wiederum in einem fehlenden Verständnis der Cloud und der dafür erforderlichen Ausbildung und Erfahrung. Die Dienste des Cloud-Anbieters sind in der Regel sicher. Ihre operative Nutzung des Dienstes des Anbieters liegt in Ihrer Verantwortung, daher ist die Annahme, dass die Daten eines Unternehmens aufgrund des Anbieters kompromittiert wurden, normalerweise eine unangemessene Erzählung.

Ein Hauptgrund, warum Fehlkonfigurationen unbemerkt bleiben, besteht darin, dass Kunden nicht wissen, wie sie die Protokollierung aktivieren sollen, welche Protokollierung sie aktivieren sollen (es gibt mehrere) oder was sie in der Protokollierung konfigurieren müssen. Daher bleibt es unbemerkt, da es nicht aufgezeichnet wird. Einer der Stärken und Gründe, warum Sie eine Cloud-Umgebung schneller und einfacher sichern und Fehlkonfigurationen erkennen können, besteht darin, dass die Cloud nur eine Abstraktionsschicht voller APIs ist, die Informationen mit einem darunter liegenden Rechenzentrum sammeln. Durch einfache Anrufe und das Klicken auf einige wenige Schaltflächen hier und da kann die Möglichkeit zur Sicherung, Aufrechterhaltung der Transparenz und Erkennung von Fehlkonfigurationen in der Cloud in bestimmten Fällen auf Sekunden reduziert werden.

Eine einfache Möglichkeit, die Transparenz und Sicherheit zu verbessern, besteht darin, Sicherheitsgruppen kontinuierlich zu scannen und zu überwachen. Als ich bei Netflix war, haben wir etwas namens Security Monkey entwickelt, das sich über unseren gesamten AWS-Fußabdruck erstreckte, was erheblich war, aber mit APIs war es ziemlich einfach. Für Sicherheitsgruppen hatten wir ein Standardprofil, wie es konfiguriert werden sollte, und bestimmte Konfigurationen wurden sofort gekennzeichnet (z. B. Any-Any-All). Vor allem, wenn es sich in bestimmten Teilen des Netzwerks befand, wurde es sofort entfernt. Heute müssen Sie es nicht einmal selbst bauen, da es sowohl Open Source- und kommerzielle Lösungen als auch Lösungen des Anbieters gibt, die Sie auf diese Weise schützen können.

BN: Welche bösartigen Taktiken verwenden Angreifer, um Cloud-Fehlkonfigurationen auszunutzen?

RF: So wie Kunden ihre Infrastruktur kontinuierlich scannen sollten, scannen böswillige Angreifer auch kontinuierlich Cloud-Anbieter nach Fehlkonfigurationen. Wenn Sie also keine fortlaufenden Scans für sich selbst durchführen, machen Sie sich keine Sorgen, jemand anderes als Ihre Organisation erledigt dies für Sie, außer dass dies nicht zu wünschenswerten Ergebnissen führt.

Die meisten Unternehmen behalten auch die CPU-Auslastung in der Cloud nicht genau im Auge. In letzter Zeit ist eine beliebte Möglichkeit für Angreifer, Geld zu verdienen, die Installation von Schadsoftware für das Bitcoin-Mining. Aufgrund der Kosten und Beobachtungen zu den Kosten in der Cloud ist dies ein sehr häufiges Ereignis und hat ein äußerst lukratives Geschäft für böswillige Hacker geschaffen, die Bitcoin abbauen.

Eine andere gängige Taktik besteht darin, etwas wie einen GitHub oder eine Coding-Site für einen Entwickler zu minen, der versehentlich einen API-Schlüssel in den Code einfügt. Wenn ein Angreifer Zugriff auf einen API-Schlüssel erhält, kann er diesen gegen den Dienst verwenden. Wenn der Schlüssel mehr Rechte und Zugriff hat, als er haben sollte, hat der Bösewicht mehr Rechte und Zugriff, als er haben sollte.

BN: Wie hat sich die Rolle des SOC-Analysten bei der Sicherung der Cloud-Infrastruktur gegenüber früheren On-Premise-Umgebungen verändert?

RF: Die Rolle hat sich erheblich verändert, und Sicherheitsanalysten benötigen Hilfe bei der Umstellung vom Schutz der Rechenzentrumsumgebungen auf die zusätzliche Sicherung der Cloud-Infrastruktur. Im Rechenzentrum haben viele von ihnen gelernt, Sicherheitsmethoden anzuwenden, und sie verstehen diese Umgebung besser. Um fehlende Erfahrung auszugleichen, setzen Analysten zunehmend auf Services und Software, um ihr Cloud-Verständnis zu erweitern und die Lücke zu schließen. Derzeit werden SaaS-Lösungen gefunden, die „in der Cloud geboren“ wurden und ein tiefes Verständnis von Cloud und Rechenzentrum haben, die den zugrunde liegenden Unterschied abstrahieren können, um sowohl Cloud- als auch Rechenzentrumssicherheitsinformationen einheitlich darzustellen.

Und da die Cloud anders funktioniert, müssen Sicherheitsanalysten auch lernen, dass die Angriffe gegen sie unterschiedlich sind und wie die Dynamik dieser Angriffe in der Cloud funktioniert. In Wirklichkeit sind es die gleichen Komponenten – Dateiausführung, Netzwerkprotokolle – aber wie sie in der Cloud funktionieren und wie ein Angreifer sie ausnutzen würde, ist unterschiedlich. Es ist unglaublich vorteilhaft, einen Drittanbieter zu haben, der sich mit der Cloud-Infrastruktur auskennt und helfen kann, die Punkte für diejenigen zu verbinden, die dies nicht tun.

Darüber hinaus steigt aufgrund der starken Nutzung von APIs in der Cloud oder im Rechenzentrum jedes Jahr der Bedarf an der Möglichkeit, Skripts oder Code für Sicherheitsanalysten zu schreiben. Dieser Anwendungsfall ist nicht das, was ich als vollständige Programmierung bezeichnen würde, aber die Möglichkeit, eine Schnittstelle mit einer API herzustellen, um Daten abzurufen und zu analysieren und diese Informationen anzuwenden, ist sehr wichtig. Der damit verbundene manuelle Arbeits- und Arbeitsaufwand ist erheblich.

BN: Welche Rolle spielt die Sicherheitsautomatisierung bei der Abwehr von Cloud-nativen Angriffen und Sicherheitsverletzungen?

RF: Es ist nicht das Einzige, aber es kann alles sein, wenn es richtig angewendet wird. Da die meisten modernen Produkte über APIs verfügen, versucht jeder, Dienste mit jedem anderen zu integrieren. Dies birgt sowohl große Herausforderungen als auch Chancen. Da die Cloud eine Abstraktion des Rechenzentrums ist, die auf APIs ausgeführt wird, die alle nahtlos miteinander interagieren, ist die Fähigkeit zur Automatisierung und Abwehr eines Angriffs sehr hoch.

Autonomes Scannen, Automatisieren der Bestandsaufnahme, Abrufen von unmittelbarem Kontext aus der Datenkorrelation bei Ereignissen, alles über Automatisierung durchgeführt, sind echte Möglichkeiten mit vielen nachgewiesenen Ergebnissen sowohl von der Sicherheits-Community, die sie selbst entwickelt, als auch von Anbietern, die Lösungen entwickeln, die den gleichen Effekt haben, außer in einem größeren Segment. der potentiellen Nutzer.

Bildnachweis: Maksim Kabakou/Shutterstock



Vorheriger ArtikelRaspberry Pi 4 Linux-Computer erhält doppelt so viel RAM und USB-C-Stromversorgung
Nächster ArtikelMac-Benutzer: Es ist Zeit aufzuwachen und die Schwachstellen zu riechen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein