Unternehmen setzen immer mehr auf Cloud-Plattformen – kaum noch jemand bezieht keine Services aus der Cloud. Während dies durchaus auch positive Einflüsse auf die Security hat, gibt es leider auch negative Seiten. Jüngstes Beispiel: Der spektakuläre Hack von chinesischen Angreifern mittels eines gestohlenen Microsoft Signing Keys. Verhindern lassen sich solche Angriffe eigentlich nicht, mit den richtigen Tools kann man diese aber detektieren und darauf reagieren. Die Lösungen laufen unter dem Namen «Cloud Detection and Response» (CDR). Im Folgenden möchte ich erläutern, wie das funktioniert und warum es so wichtig ist.
Was ist Cloud Detection and Response (CDR)?
Cloud Detection and Response (CDR) sind Security-Lösungen, welche speziell für die Cloud entwickelt wurden. Sie umfassen die kontinuierliche Überwachung, Erkennung und Reaktion auf Sicherheitsbedrohungen in Cloud-Diensten.
Klassischerweise lassen sich die Tools über APIs zu den verschiedenen Diensten integrieren, darüber werden meist Audit-Logs bezogen und analysiert. CDR-Plattformen setzen meist auf maschinelles Lernen und Verhaltensanalyse, um verdächtige Aktivitäten und Anomalien zu erkennen. Die Cloud-Provider bieten meist ähnliche Funktionen direkt an, gehen aber nicht so weit wie etablierte Lösungen, wie z.B. Vectra oder CrowdStrike. Die Lösungen bieten zudem den Vorteil, dass sie über mehrere Anbieter funktionieren und auch Informationen aus der On-Premise-Welt integrieren. Da alles über APIs läuft, ist die Integration meist innert kürzester Zeit durchgeführt.
Warum ist CDR so wichtig?
1. Realtime Detection
CDR ermöglicht eine sofortige Erkennung von Bedrohungen, bevor diese zu ausgewachsenen Sicherheitsproblemen führen. Egal ob kompromittierte Accounts, maliziöse Konfigurations-Anpassungen oder ein Insider-Threat, welcher Files aus dem SharePoint abzieht, CDR wird dies innert kürzester Zeit detektieren.
2. Automatic Response
Wie von EDR- oder NDR-Tools bekannt, kann auch CDR so konfiguriert werden, dass bei Bedrohungen automatische Gegenmassnahmen eingeleitet werden. Ein Beispiel dafür wäre das Sperren von einem kompromittierten Account.
3. Adaptability
CDR-Lösungen sind darauf ausgelegt, sich an den ständigen Wandel in der Cloud anzupassen. Neue Bedrohungen können so effizient erkannt werden. Die Tools werden deshalb oftmals selbst aus der Cloud bezogen.
4. Insider Threats
CDR detektieren nicht nur Angreifer in der Cloud, sondern können auch Insider Threats, bei denen legitime Benutzer unbefugt auf sensible Daten zugreifen, sehr effektiv aufspüren.
5. Compliance und Datenschutz
Die Überwachung von Aktivitäten in der Cloud hilft dabei, Compliance-Richtlinien einzuhalten und damit den Datenschutz zu gewährleisten.
Fazit, TLDR
In einer Zeit, wo die Cloud-Nutzung immer mehr zunimmt, ist Cloud Detection and Response (CDR) ein Must-have, um die wachsenden Bedrohungen in der Cybersicherheit zu bewältigen. Mit der Fähigkeit, Bedrohungen in Echtzeit zu erkennen und automatisch darauf zu reagieren, können Unternehmen sensible Daten und Ressourcen wirksam schützen. Die Investition in eine moderne CDR-Lösung oder einen entsprechenden Service sollte daher unbedingt geprüft werden.
Weiterführende Links:
