Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Ein Erkennungs- und Reaktions-Benchmark, der für die Cloud entwickelt wurde

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 125

Die Geschwindigkeit und Komplexität von Cloud-Angriffen hat die Zeit, die Sicherheitsteams zum Erkennen und Reagieren haben, bevor es zu einem Verstoß kommt, rapide verkürzt. Laut dem Bericht „Mandiant M-Trends 2023“., Die Verweildauer für eine On-Prem-Umgebung beträgt 16 Tage. Im Gegensatz, es dauert nur 10 Minuten, um einen Angriff auszuführen in der Cloud, nachdem ein ausnutzbares Ziel entdeckt wurde. Hinzu kommt der Druck, vier Werktage Zeit zu haben, um einen wesentlichen Cyber-Vorfall der SEC zu melden, und es wird klar, dass in der Cloud alles schneller geht. Sicherheitsteams brauchen Hilfe.

Ältere Erkennungs- und Reaktions-Frameworks können Unternehmen nicht ausreichend schützen. Die meisten vorhandenen Benchmarks sind für endpunktzentrierte Umgebungen konzipiert und für Sicherheitsteams, die moderne Cloud-Umgebungen schützen, einfach zu langsam.

Die Branche benötigt einen modernen Erkennungs- und Reaktions-Benchmark, der für die Cloud konzipiert ist. Um Angreifern in der Cloud einen Schritt voraus zu sein, müssen Sicherheitsteams die Anforderungen erfüllen 5/5/5-Benchmark, der fünf Sekunden für die Erkennung, fünf Minuten für die Triage und fünf Minuten für die Reaktion auf Bedrohungen angibt.

Wenn die Kosten eines Cloud-Verstoßes laut dem „Cost of a Data Breach Report 4.45“ von IBM 2023 Millionen US-Dollar betragen, müssen Sicherheitsteams in der Lage sein, Angriffe mit Cloud-Geschwindigkeit zu erkennen und darauf zu reagieren. Andernfalls wird sich der Explosionsradius schnell vergrößern und die finanziellen Auswirkungen werden sich schnell verschärfen. Die Einhaltung des 5/5/5-Benchmarks wird Unternehmen dabei helfen, sicher und zuverlässig in der Cloud zu agieren.

Der 5/5/5 Cloud Detection and Response Benchmark

Der sichere Betrieb in der Cloud erfordert eine neue Denkweise. Cloud-native Entwicklungs- und Releaseprozesse stellen besondere Herausforderungen für die Bedrohungserkennung und -reaktion dar. DevOps-Workflows – einschließlich Code, der für Anwendungen festgeschrieben, erstellt und bereitgestellt wird – beziehen neue Teams und Rollen als Schlüsselakteure des Sicherheitsprogramms ein. Cloud-Angriffe konzentrieren sich nicht auf die Ausnutzung herkömmlicher Schwachstellen bei der Codeausführung per Fernzugriff, sondern eher auf die Kompromittierung der Software-Lieferkette und den Identitätsmissbrauch sowohl von Menschen als auch von Maschinen. Kurzlebige Arbeitslasten erfordern erweiterte Ansätze zur Reaktion auf Vorfälle und zur Forensik.

Während Identitäts- und Zugriffsmanagement, Schwachstellenmanagement und andere vorbeugende Kontrollen in Cloud-Umgebungen notwendig sind, können Sie ohne ein Programm zur Bedrohungserkennung und -reaktion zur Bekämpfung von Zero-Day-Exploits, Insider-Bedrohungen und anderem böswilligen Verhalten nicht sicher bleiben. Es ist unmöglich, alles zu verhindern.

Der 5/5/5-Benchmark fordert Unternehmen dazu auf, die Realität moderner Angriffe anzuerkennen und ihre Cloud-Sicherheitsprogramme voranzutreiben. Der Benchmark wird im Kontext der Herausforderungen und Chancen beschrieben, die Cloud-Umgebungen für Verteidiger bieten. Um 5/5/5 zu erreichen, ist die Fähigkeit erforderlich, Cloud-Angriffe schneller zu erkennen und darauf zu reagieren, als die Angreifer sie abschließen können.

5 Sekunden, um Bedrohungen zu erkennen

Herausforderung: Die Anfangsphasen von Cloud-Angriffen sind aufgrund der Einheitlichkeit der APIs und Architekturen eines Cloud-Anbieters stark automatisiert. Für die Erkennung mit dieser Geschwindigkeit sind Telemetriedaten von Computerinstanzen, Orchestratoren und anderen Workloads erforderlich, die häufig nicht verfügbar oder unvollständig sind. Eine effektive Erkennung erfordert eine detaillierte Transparenz über viele Umgebungen hinweg, einschließlich Multicloud-Bereitstellungen, verbundener SaaS-Anwendungen und anderer Datenquellen.

Chance: Die Einheitlichkeit der Cloud-Anbieter-Infrastruktur und bekannte Schemata der API-Endpunkte erleichtern zudem den Datenabruf aus der Cloud. Die Verbreitung von Cloud-Erkennungstechnologien von Drittanbietern wie eBPF hat es ermöglicht, einen umfassenden und zeitnahen Einblick in IaaS-Instanzen, Container, Cluster und serverlose Funktionen zu erhalten.

5 Minuten für Korrelation und Triage

Herausforderung: Selbst im Kontext eines einzelnen Cloud-Dienstanbieters besteht eine Korrelation zwischen Komponenten und Diensten

herausfordernd. Der überwältigenden Menge an Daten, die in der Cloud verfügbar sind, fehlt oft der Sicherheitskontext, so dass die Verantwortung für die Analyse beim Benutzer liegt. Für sich genommen ist es unmöglich, die Sicherheitsauswirkungen eines bestimmten Signals vollständig zu verstehen. Die Cloud-Steuerungsebene, die Orchestrierungssysteme und die bereitgestellten Workloads sind eng miteinander verflochten, was es Angreifern leicht macht, zwischen ihnen zu wechseln.

Chance: Durch die Kombination von Datenpunkten innerhalb und aus Ihren Umgebungen erhalten Sie verwertbare Erkenntnisse für Ihr Bedrohungserkennungsteam. Identität ist eine Schlüsselkontrolle in der Cloud, die die Zuordnung von Aktivität über Umgebungsgrenzen hinweg ermöglicht. Der Unterschied zwischen „Alarm bei einem Signal“ und „Erkennung eines echten Angriffs“ liegt in der Fähigkeit, die Zusammenhänge schnell zu erkennen und dabei so wenig manuellen Aufwand wie möglich für die Sicherheitsteams zu erfordern.

5 Minuten, um eine Reaktion einzuleiten

Herausforderung: Cloud-Anwendungen werden oft mit serverlosen Funktionen und Containern entwickelt, die im Durchschnitt weniger als 5 Minuten leben. Herkömmliche Sicherheitstools erwarten langlebige und leicht verfügbare Systeme für forensische Untersuchungen. Die Komplexität moderner Umgebungen macht es schwierig, den gesamten Umfang der betroffenen Systeme und Daten zu identifizieren und geeignete Reaktionsmaßnahmen für Cloud-Dienstanbieter, SaaS-Anbieter sowie Partner und Lieferanten festzulegen.

Chance: Die Cloud-Architektur ermöglicht uns die Automatisierung. API- und Infrastructure-as-Code-basierte Mechanismen für die Definition und Bereitstellung von Assets ermöglichen schnelle Reaktions- und Abhilfemaßnahmen. Es ist möglich, gefährdete Assets schnell zu zerstören und durch saubere Versionen zu ersetzen, wodurch Geschäftsunterbrechungen minimiert werden. Unternehmen benötigen in der Regel zusätzliche Sicherheitstools, um Reaktionen zu automatisieren und forensische Untersuchungen durchzuführen

Nächste Schritte

Um tiefer in die Welt der Cloud-Angriffe einzutauchen, laden wir Sie ein, in die Rolle des Angreifers und Verteidigers zu schlüpfen und unser Kraken Discovery Lab auszuprobieren. Die Kraken Lab-Highlights Scharlachrot, eine renommierte Cyber-Angriffsoperation, die auf Cloud-Umgebungen abzielt. Die Teilnehmer werden die Feinheiten des Sammelns von Anmeldeinformationen und der Eskalation von Berechtigungen entdecken, alles innerhalb eines umfassenden Cloud-Frameworks. Registrieren das nächste Kraken Discovery Lab.

Über den Autor

Ryan Davis

Ryan Davis ist Senior Director of Product Marketing bei Sysdig. Ryan konzentriert sich darauf, die Markteinführungsstrategie für wichtige Cloud-Sicherheitsinitiativen und Anwendungsfälle voranzutreiben.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.