Cloud Detection & Response – Vectra AI über die Notwendigkeit einer neuen alten Security-Disziplin

München/Wien, den 25.03.2023 – Da immer mehr Unternehmen die Cloud verwenden, ziehen Cyber-Kriminelle schnell nach. Der IBM-Bericht "Cost of a Data Breach Report" hat ergeben, dass 45 Prozent aller Datenverletzungen im Jahr 2022 auf die Cloud zurückzuführen sind und die durchschnittlichen Kosten eines solchen Verstoßes bei 5 Millionen US-Dollar liegen.

Es handelt sich nicht mehr um die Frage ob, sondern wann das eigene Unternehmen mit einem Cyber-Angreifer konfrontiert wird. Da solche Attacken letztlich unvermeidlich sind, ist die Wahl der geeigneten Sicherheitstools von entscheidender Bedeutung, um wichtige SecOps-Kennzahlen wie zum Beispiel den Zeitpunkt für die Erkennung, die Untersuchung und die Reaktion auf diesen Angriff zu optimieren. Nach Meinung von Vectra AI ist eine fortschrittliche CDR-Lösung (Cloud Detection and Response) hierfür die richtige Antwort.

Ausgefeilte Gefährdungen der Cloud sind die neue Normalität

Viele Cloud-Schwachstellen und -Attacken sorgten im vergangenen Jahr für Schlagzeilen, aber keine war nach Meinung von Vectra AI schlimmer als der Angriff auf LastPass. Das Unternehmen für Passwortmanagement wurde Opfer einer Reihe von Angriffen auf seine hybriden Services, die zum Diebstahl sensibler Kundendaten aus seinen Speicher-Ressourcen in der Cloud führten.

Was zunächst wie ein teilweiser Zugriff auf ein einzelnes Entwicklerkonto aussah, entpuppte sich bald als ein vollständiges, durch gestohlene Anmeldeinformationen ausgelöstes Abziehen von verschlüsselten Snapshots der Kundenpasswörter aus den Speicher-Ressourcen in der Cloud von LastPass. Diese Snapshots können vom Angreifer möglicherweise mit roher Gewalt geöffnet werden, um an die Daten der Passwörter zu kommen. Als der Einbruch zuerst gemeldet wurde, hieß es zunächst, dass geschäftskritische Kundeninformationen einschließlich Master-Passwörtern, Daten und persönlicher Informationen vollkommen sicher seien. Leider stellte sich dies bald als falsch heraus.

Bei der Sicherheit kommt alles auf das Vertrauen an. Angriffe wie in dem geschilderten Ausmaß führen schnell zu negativen Nachrichten in der Presse, Beschuldigungen von Seiten der Security Community und nicht zuletzt zu irreparablen Rufschädigungen.

Gestohlene Zugangsdaten – der bevorzugte Angriffsweg für raffinierte Kontrahenten aus der Cloud

Wenn es um Sicherheitsfragen geht, sind die richtigen Leute und die richtigen Prozesse entscheidend, doch die geeignete Technologie kann den besonders wichtigen Unterschied ausmachen. Beim Angriff auf LastPass wurde die Cloud mit gültigen, aber gestohlenen Anmeldedaten instrumentalisiert. So etwas ist nicht überraschend. Heutzutage gehen die meisten raffinierten Angriffe in der Cloud von Angreifern aus, die Phishing-Kampagnen verwenden, um Anmeldedaten zu stehlen und sich dann als legitime Benutzer auszugeben. Leider lassen sich mit diesen Mitteln häufig populäre Security Tools zur Prävention aushebeln, die ein Unternehmen eventuell verwendet.

Nach einem Angriff können alle Aktionen, die von einem kompromittierten Konto aus durchgeführt werden, plötzlich als völlig legitim erscheinen. Genau das ist bei LastPass passiert. Der Bericht des Unternehmens spielt darauf an:

"Insbesondere war der Akteur hinter dem Angriff in der Lage, die von einem leitenden DevOps-Ingenieur gestohlenen gültigen Anmeldeinformationen zu verwenden, um auf eine gemeinsam genutzte Umgebung von Cloud Storage zuzugreifen. Dies erschwerte es den Ermittlern zu Beginn, zwischen den Aktivitäten des Angreifers und den laufenden legitimen Aktivitäten zu unterscheiden." (Quelle)

Die Beseitigung solch raffinierter Bedrohungen, die auf gestohlenen Anmeldeinformationen beruhen, stellt eine Herausforderung für jedes Unternehmen dar. In der Tat hat der Bericht von IBM Security herausgefunden, dass Angriffe, die von gestohlenen Zugangsdaten ausgehen, die längste durchschnittliche Zeit zur Identifizierung (243 Tage) und die längste durchschnittliche Zeit zur Eindämmung (84 Tage) aller anfänglichen Bedingungen bei einem Data Breach besitzen. In Anbetracht der Tatsache, dass die Angriffswellen in der Cloud im Vergleich zu On-Premise-Netzwerken eher flach ausfallen, benötigt ein gewiefter Angreifer mit gültigen Anmeldeinformationen nicht viel Zeit, um Kanäle für das Beharrungsvermögen einzurichten und sich schnell vom ersten Zugriff bis zu den Phasen des wirklichen Angriffs zu bewegen.

Um Cloud-Umgebungen wirksam zu schützen, müssen sich SOC-Teams unbedingt auf die Identifizierung von Sicherheitsvorfällen konzentrieren, bei denen diese Taktiken von Angreifern zum Einsatz kommen. Besonders dann, wenn sie perfekt zu den Fähigkeiten eines CDR-Tools zu passen scheinen.

Basierend auf einer detaillierten Analyse der Informationen, die in der LastPass-Mitteilung veröffentlicht wurden, hätte eine moderne CDR -Lösung zahlreiche bösartige Verhaltensweisen auf der gesamten Angriffslinie aufgedeckt und sie dem kompromittierten Konto eines Entwicklers zugeordnet. Der Workflow der Untersuchung hätte einen Überblick über alle während des Zeitraums des Angriffs durchgeführten Aktionen geliefert und es dem SOC-Team ermöglicht, den Angreifer noch vor Eintritt der beabsichtigten Auswirkungen auszuschalten.

Die geeigneten Security Tools auszuwählen kann nicht hoch genug eingeschätzt werden

Für Unternehmen ist die Nutzung der Cloud heute keine zusätzliche Option mehr, sondern eine Notwendigkeit. Die Vorteile der Cloud sind vielfältig, aber die Kosten der Migration können komplex sein. Ihre Übernahme treibt das riesige Wachstum an Funktionen an, die von Cloud-Anbietern jetzt angeboten werden. Das sieht man schon an folgendem Beispiel: AWS hat in den letzten sechs Jahren bereits etwa 40 neue Services pro Jahr hinzugefügt!

Dieses Wachstum und die Akzeptanz von Cloud-Diensten haben allerdings auch zu einer größeren und sich ständig verändernden Angriffsfläche auf Seiten der Unternehmen geführt. Unternehmen, die sich in dieser dynamischen Cloud-Landschaft bewegen, müssen sich nicht nur vor neuartigen Angriffen schützen, sondern auch vor bereits weit verbreiteten Bedrohungen wie der Offenlegung von Daten in der Cloud.

Um die Security-Situation weiterhin gesichert zu halten, verlassen sich SOC-Teams heute auf besondere Tools. Es gibt jetzt jedoch Hunderte von Anbietern, die unterschiedliche Tool-Optionen anbieten, was SOC-Teams überfordern kann. Angesichts der vielen technischen Fachausdrücke und einem eigenen Jargon kann es jedoch schwierig sein, die Funktionen zu verstehen, die von verschiedenen Anbietern für Cloud Security angeboten werden. Darüber hinaus kann der Einsatz dieser Tools oft mühsam sein und zu unbeabsichtigten blinden Flecken in der Sicherheitslage des Unternehmens führen.

Warum eine moderne CDR-Lösung erforderlich ist, um fortgeschrittene Cloud-Angriffe aufzuhalten

Während präventive Tools einerseits einen guten Überblick über Cloud-Ressourcen, Fehlkonfigurationen und nicht-konforme Einstellungen bieten, sind sie andererseits unzureichend, wenn es darum geht, neue Angriffsfaktoren zu erkennen. Dabei sind gerade diese genau die Bedrohungsfaktoren, die Anlass zur Sorge geben sollten. Tatsächlich machten Phishing und gestohlene Zugangsdaten im Jahr 2022 bereits etwa 35 Prozent aller Datenschutzverletzungen aus: Das sind deutlich mehr als jene, die man auf Cloud-Fehlkonfigurationen zurückführen kann (etwa 15 Prozent). Wenn man sich allein auf Präventions- und Situations-Tools verlässt, bleiben zwangsläufig blinde Flecken bei den Installationen zurück, die sie anfällig für versierte Angreifer machen.

Ein modernes CDR-System, das auf Attack Signal Intelligence basiert, überwacht alle Aktionen in einer Cloud-Umgebung und zeigt verdächtige Verhaltensweisen in Echtzeit an. Es verwendet AI, um über ereignisbasierte oder einfache Anomalien hinauszugehen und sich stattdessen auf Verhaltensmuster zu konzentrieren – also auf jene TTPs (Taktik, Technik, Prozedur), die allen Angriffen zugrunde liegen. Die daraus resultierende Klarheit der Signale ermöglicht es Vectra, ausgeklügelte, mehrstufige Angriffe sofort aufzudecken, so dass SecOps-Teams schnell Prioritäten setzen, Untersuchungen durchführen und auf die dringendsten Bedrohungen reagieren können. Ganz gleich, ob es sich um einen bestehenden Anwender handelt, der sich verdächtig verhält, oder um ein externes System mit kompromittierten Anmeldedaten, das in der eigenen AWS-Umgebung agiert - Attack Signal Intelligence kann verdächtige Aktionen von legitimen Aktivitäten unterscheiden.

Ein Kernpunkt von moderner CDR besteht außerdem in der AI-gesteuerten Zuordnung. Alle beobachteten Verhaltensweisen werden zu den handelnden Personen zurückverfolgt, selbst wenn diese über Ketten von temporären Berechtigungsnachweisen (Rollen) agieren. Vectra CDR bietet außerdem Funktionen zur Untersuchung dieser Akteure (einschließlich der Möglichkeit, Rohprotokolle abzufragen) und zur Einrichtung von Reaktions-Workflows, die es dem SOC ermöglichen, verdächtige Akteure schnell zu isolieren und Angreifer zu stoppen.

In dynamischen Cloud-Umgebungen ist es unabdingbar, die richtigen Such-Tools einzusetzen, um eine umfassende Abdeckung innerhalb der Grenzen der Cloud-Installation zu gewährleisten. Unabhängig davon, wo man sich gerade auf seiner Cloud-Reise befindet, lässt sich eine CDR-Lösung in wenigen Minuten einrichten. Diese versetzt SecOps in die Lage, schnell nach fortgeschrittenen Bedrohungen zu suchen. In einer Welt, in der Sicherheitsverletzungen so etwas wie die neue Normalität darstellen, sollte dieser Ansatz ein unverzichtbarer Bestandteil der Werkzeuge von SOC-Teams sein.

# # # ENDE # # #

Über Vectra

Vectra ist ein führender Anbieter von wirklich intelligenten Lösungen für Netzwerkerkennung und Reaktionen in hybriden und Multi-Cloud-Umgebungen. Vectra deckt dabei sowohl On-Premise-Netzwerke ab als auch die Cloud (in den Varianten IaaS, SaaS und PaaS). Vectra verwendet dabei speziell entwickeltes und patentiertes Machine Learning (ML) und Artificial Intelligence (AI), die 97 Prozent der netzwerkbasierten MITRE ATT@CK-Techniken abdecken.

Pressekontakt
tech2com UG (haftungsbeschränkt)
Philipp Haberland
0049 163 2722 363
p.haberland@tech2com.de

25.05.2023: | |