Was ist Cloud-Sicherheitsüberwachung?

Die Überwachung der Cloud-Sicherheit umfasst mehrere Prozesse, die es Unternehmen ermöglichen, betriebliche Arbeitsabläufe in einer Cloud-Umgebung zu überprüfen, zu verwalten und zu beobachten.

Die Cloud-Sicherheitsüberwachung kombiniert manuelle und automatisierte Prozesse, um die Sicherheit von Servern, Anwendungen, Softwareplattformen und Websites zu verfolgen und zu bewerten.

Cloud-Sicherheitsexperten überwachen und bewerten die in der Cloud gespeicherten Daten kontinuierlich. Sie erkennen verdächtiges Verhalten und beheben Cloud-basierte Sicherheitsbedrohungen. Identifizieren sie eine bestehende Bedrohung oder Schwachstelle, können sie Maßnahmen empfehlen, um das Problem schnell zu beheben und weiteren Schaden zu minimieren.

Vorteile der Cloud-Sicherheitsüberwachung

Die Cloud-Sicherheitsüberwachung ermöglicht Ihnen:

• Compliance gewährleisten– Die meisten wichtigen Vorschriften wie PCI DSS und HIPAA erfordern eine Überwachung. Unternehmen, die Cloud-Plattformen nutzen, sollten Überwachungstools nutzen, um diese Vorschriften einzuhalten und Strafen zu vermeiden.
• Schwachstellen erkennen– Um Schwachstellen zu identifizieren, ist es wichtig, den Überblick über Ihre Cloud-Umgebungen zu behalten. Mit einem automatisierten Überwachungstool können Sie schnell Warnmeldungen an Ihre IT- und Sicherheitsteams senden und ihnen helfen, verdächtige Verhaltensmuster und Indikatoren für Kompromittierungen (IoCs) zu erkennen.
• Vermeiden Sie Betriebsunterbrechungen– Sicherheitsvorfälle können den Geschäftsbetrieb stören oder zu dessen vollständiger Einstellung zwingen. Störungen und Datenschutzverletzungen können das Vertrauen und die Zufriedenheit der Kunden beeinträchtigen. Daher ist es wichtig, Ihre Cloud-Umgebungen zu überwachen, um die Geschäftskontinuität und Datensicherheit aufrechtzuerhalten.
• Schützen Sie sensible Daten– mit einer Cloud-Sicherheitsüberwachungslösung können Sie regelmäßige Audits durchführen und Ihre Daten schützen. Sie können den Zustand Ihrer Sicherheitssysteme überwachen und erhalten Empfehlungen zur Umsetzung von Sicherheitsmaßnahmen.
• Nutzen Sie kontinuierliche Überwachung und Support– Ein Cloud-Sicherheitsmanagement-Service kann Ihr System rund um die Uhr überwachen. Während die Aufrechterhaltung der Sicherheit vor Ort eine regelmäßige physische Überwachung erfordert, ermöglichen Cloud-basierte Dienste eine kontinuierliche Überwachung und verringern so das Risiko, dass Bedrohungen unbemerkt bleiben.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, sich besser an die Herausforderungen der Cloud-Sicherheit anzupassen:

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, die Überwachung der Cloud-Sicherheit zu optimieren:

Verwenden Sie kontextbezogene Warnmeldungen
Kontextualisieren Sie Warnmeldungen basierend auf Benutzerrollen, bisherigem Verhalten und Ressourcensensitivität. Warnmeldungen bei Kontomissbrauch auf Administratorebene oder bei der Übertragung vertraulicher Daten sollten Vorrang vor Ereignissen mit geringerem Risiko haben.

Automatisieren Sie die Reaktion auf Vorfälle mithilfe vordefinierter Playbooks
Nutzen Sie SIEM- oder XDR-Plattformen mit automatisierten Playbooks, um schnell auf gängige Cloud-Bedrohungen zu reagieren. So wird sichergestellt, dass wiederkehrende Aufgaben, wie das Isolieren kompromittierter Instanzen oder das Blockieren böswilliger Benutzer, sofort und ohne menschliches Eingreifen ausgeführt werden.

Integrieren Sie die Echtzeit-Anomalieerkennung
Kontinuierliche Verhaltensanalysen, die Abweichungen von normalen Aktivitätsmustern in Echtzeit erkennen, sind von entscheidender Bedeutung. So können Insider-Bedrohungen, Missbrauch von Anmeldeinformationen oder nicht autorisierte Ressourcenbereitstellungen erkannt werden, bevor sie eskalieren.

Nutzen Sie die Multi-Cloud-Überwachungsintegration
Wählen Sie Überwachungstools, die sich nahtlos in mehrere Cloud-Anbieter integrieren lassen. Dies trägt zur Konsolidierung von Protokollen und Sicherheitsdaten bei und bietet eine einheitliche Ansicht Ihres gesamten Cloud-Ökosystems. Dies ist für die Erkennung von Cloud-übergreifenden Angriffsmustern unerlässlich.

Nutzen Sie maschinelles Lernen zur Reduzierung des Protokollrauschens
Implementieren Sie Machine-Learning-Modelle, die das Protokollrauschen durch Herausfiltern falscher Positivmeldungen reduzieren. So kann sich Ihr Sicherheitsteam auf echte Bedrohungen konzentrieren und den Vorfalluntersuchungsprozess optimieren.

Wie funktioniert die Cloud-Sicherheitsüberwachung?

Cloud-Service-Anbieter bieten in der Regel native, in ihre Infrastruktur integrierte Tools zur Cloud-Sicherheitsüberwachung an. Sie können Ihre Cloud-Umgebung auch um eine Überwachungslösung eines Drittanbieters erweitern. Alternativ können Sie lokale Sicherheitsmanagementlösungen zur Überwachung Ihrer Cloud-Umgebung nutzen.

Cloud-Überwachungstools aggregieren Protokolldaten von mehreren Servern, Instanzen und Containern. Eine fortschrittliche Cloud-Überwachungslösung korreliert und analysiert die gesammelten Daten, um anomale Aktivitäten zu erkennen und das Incident-Response-Team zu alarmieren. Cloud-Sicherheitsüberwachungslösungen bieten typischerweise folgende Funktionen:

• Kontinuierliches Monitoring– eine Cloud-Überwachungslösung sollte alle Aktivitäten in der Cloud kontinuierlich überwachen, damit Sie verdächtiges Verhalten in Echtzeit erkennen und die Bedrohung eindämmen können.
• Transparenz– Durch die Migration in die Cloud verringert sich die Transparenz der gesamten Unternehmensinfrastruktur. Ein Cloud-Monitoring-Tool zentralisiert die Überwachung und bietet eine einheitliche Ansicht des Benutzer-, Datei- und Anwendungsverhaltens.
• Auditing– Leistungsstarke Überwachungs- und Auditing-Funktionen können Ihnen dabei helfen, die Einhaltung der für Ihr Unternehmen geltenden Vorschriften sicherzustellen.
• Skalierbarkeit– ein Cloud-Sicherheitsüberwachungstool kann große Datenmengen überwachen, die an verschiedenen Standorten verteilt sind.
• Integration– Idealerweise lässt sich die Überwachungslösung in Ihre vorhandenen Tools und Dienste integrieren, um maximale Transparenz zu gewährleisten. Wählen Sie eine Lösung, die mit Ihren vorhandenen Produktivitätssuiten (wie Google Workspace, G Suite oder Microsoft 365), Endpunktsicherheitslösungen (wie VMware, Carbon Black oder Crowdstrike) und Identitätsprüfungs- und Authentifizierungsdiensten (wie Okta oder Duo) kompatibel ist.

Wie können Sie SIEM für die Cloud-Sicherheitsüberwachung nutzen?

SIEM-Software fungiert als Overlay für viele Systeme, auf die wir uns täglich verlassen, um Sicherheitsbedrohungen in Cloud-Umgebungen zu verhindern. Zu diesen Systemen gehören:

• Software zur Verwaltung von Sicherheitsrichtlinien
• Anti-Malware-Anwendungen
• Firewalls und Tools zur Erkennung oder Verhinderung von Eindringlingen (IDS/IPS)

Darüber hinaus ruft SIEM Daten von Betriebssystemen wie Windows und Linux sowie unternehmenskritischen Anwendungen wie Microsoft SQL Server und Oracle ab.

Ein SIEM kann helfen, diese riesigen Informationsmengen, die in Form von Datenströmen in unterschiedlichen Formaten ankommen, zu verstehen, indem es sie normalisiert und in einem zentralen Repository speichert. Ein SIEM kann Daten korrelieren und aggregieren, um Sicherheitseinblicke zu liefern und umsetzbare Warnmeldungen für Sicherheitsteams zu generieren.

Hier sind zwei Beispiele, wie SIEM zur Erkennung von Cloud-Bedrohungen eingesetzt werden kann:

• Erkennen einer Insider-Bedrohung– beispielsweise ein Mitarbeiter, der eine Sicherheitsfehlkonfiguration ausnutzt, um seine Berechtigungen vom Benutzer zum Administrator zu erhöhen. Ein SIEM kann bei der Erkennung eines Angriffs helfen, indem es die Rechteerhöhung mit ungewöhnlichen Anmeldungen desselben Benutzers korreliert.
• Identifizierung bösartiger Ressourcen– denken Sie an einen betrügerischen Cloud-Server, der plötzlich in der Umgebung gestartet wird. Dies kann versehentlich geschehen und eine Sicherheitsbedrohung darstellen oder von Angreifern absichtlich ausgelöst werden. Ein SIEM kann den neuen Server identifizieren, ihn mit Informationen aus Schwachstellen- und Malware-Scan-Tools korrelieren und feststellen, dass er keiner Sicherheitsüberprüfung unterzogen wurde.

SIEM-Anwendungsfälle für die Cloud-Sicherheitsüberwachung [P1]

Mit einer SIEM-Lösung erhalten Administratoren einen Gesamtüberblick über viele gängige Sicherheitslücken. Ein SIEM kann dabei helfen, Schwachstellen aus dem alltäglichen Trubel zu isolieren.

Verdächtige Ereignisse können durch die Untersuchung von Daten wie Anmeldeereignissen, Änderungen an Benutzerberechtigungen oder -rollen, dem Starten oder Stoppen von Diensten in der Umgebung, der Erkennung von Malware und ungewöhnlicher Bandbreitennutzung erkannt werden.

Hier sind drei Beispiele, die veranschaulichen, wie ein SIEM zur Erkennung eines Cloud-Sicherheitsvorfalls beitragen kann:

• Unbefugte Benutzeranmeldung– Ein SIEM kann erkennen, wenn sich ein Benutzer direkt bei einem Cloud-Server anmeldet, ohne die üblichen kryptografischen Schlüssel zu verwenden. Dies könnte darauf hindeuten, dass sich die Kontorolle des Benutzers geändert hat und er nach einer Möglichkeit sucht, auf Daten zuzugreifen, für die er keine Zugriffsberechtigung mehr hat. Ebenso können Mitarbeiter ihre Berechtigungen vom Benutzer zum Administrator erhöhen, um auf Informationen anderer Unternehmensbereiche zuzugreifen.
• Aufgabentrennung– SIEM kann dabei helfen, Mitarbeiter zu identifizieren, die Zugriff auf organisatorische Funktionen haben, die von verschiedenen Personen bearbeitet werden müssen. Wenn beispielsweise ein Mitarbeiter der Buchhaltungsabteilung Zugriff auf genehmigte Gehaltsabrechnungen erhält und auch für die Definition der Gehälter im System verantwortlich ist, kann dieser Mitarbeiter Gelder auf sein eigenes Bankkonto überweisen.
• Korrelation von Ereignissen– Ein SIEM kann mehrere Ereignisse identifizieren, die für sich genommen keine Bedeutung haben, aber zusammengenommen eine Sicherheitsverletzung darstellen können. Nehmen wir beispielsweise an, eine neue Compute-Instanz in der Cloud wird gestartet und ein Sicherheitsscan schlägt fehl. Dies könnte auf eine einfache Fehlkonfiguration zurückzuführen sein. In Kombination mit an anderer Stelle in der Umgebung erkannter Malware oder einer Änderung der Berechtigungen könnte dies jedoch bedeuten, dass ein Angreifer die Umgebung kompromittiert hat.

Cloud-Sicherheitsüberwachung mit Exabeam

Auch wenn eine reine Cloud-Initiative noch nicht in Gang ist, ist es wahrscheinlich, dass Ihr Unternehmen in naher Zukunft seine Geschäftsprozesse in die Cloud verlagern wird. Bevor Sie diesen Schritt unternehmen, sollten Sie unbedingt prüfen, wie Sie den Cloud-Betrieb sichern, indem Sie die damit verbundenen Sicherheits- und Compliance-Probleme verstehen. Glücklicherweise ermöglicht eine moderne SIEM-Lösung (Security Information and Event Management) oder XDR-Lösung (Extended Detection and Response) Ihren Analysten, die Cloud-Sicherheit Ihres Unternehmens mit erweiterter Überwachung, Verhaltensanalyse und Automatisierung zu gewährleisten.

Ein moderner Ansatz sammelt automatisch Warndaten aus mehreren Clouds, erkennt Abweichungen von der normalen Benutzer- und Entitätsaktivität mithilfe von Verhaltensanalysen und unterstützt Analysten dabei, schnell auf Angriffe auf Cloud-Anwendungen und -Infrastruktur zu reagieren. Ein modernes SIEM oder XDR kann Sie dabei unterstützen, zunehmend gezielte und komplexe Angriffe und Insider-Bedrohungen zu bekämpfen, indem es andere Cloud-Sicherheitslösungen wie Identity and Access Management (IAM), Cloud Access Security Broker (CASB) und Secure Access Service Edge (SASE) ergänzt, um Cloud-basierte Angriffe besser zu erkennen, zu untersuchen und darauf zu reagieren und gleichzeitig die Erkennung von Fehlalarmen zu minimieren.

Als Cloud-basierte Lösungen adressieren Exabeam Fusion SIEM und Fusion XDR die Cloud-Sicherheit auf vielfältige Weise und gewährleisten so den Schutz sensibler Daten, Anwendungen und Infrastrukturen. Als führender Anbieter von Next-Gen SIEM und XDR steigert Exabeam die SOC-Produktivität deutlich und ermöglicht es Teams, Cyberangriffe in 51 Prozent kürzerer Zeit zu erkennen, zu untersuchen und darauf zu reagieren. Hier sind einige Beispiele dafür, wie Exabeam die Cloud-Sicherheit unterstützt:

• Sammelt Warndaten durch direkte Aufnahme von Dutzenden von Cloud-Sicherheitstools und beliebten Cloud-basierten Diensten in mehreren Unternehmens-Clouds sowie von Hunderten anderer Produkte
• Erkennt neue und aufkommende Bedrohungen mithilfe von Verhaltensanalysen
• Bietet maschinell erstellte Zeitleisten, um die Produktivität der Analysten zu verbessern und die Reaktionszeiten durch die Automatisierung der Vorfalluntersuchung zu verkürzen
• Enthält Reaktions-Playbooks mit vorgefertigten Konnektoren und Hunderten von Aktionen zur Eindämmung und Minderung von Bedrohungen
• Bietet vorgefertigte Compliance-Pakete (Exabeam Fusion SIEM)
• Unterstützt Erkennung und Untersuchung mit Zuordnungen zu MITRE ATT&CK
• Ergänzt andere Cloud-Sicherheitslösungen wie IAM und CASB, um Cloud-basierte Angriffe besser zu erkennen, zu untersuchen und darauf zu reagieren und gleichzeitig die Erkennung von Fehlalarmen zu minimieren