Jenseits von Konfigurationsperfektion: Die Neudefinition von 'Cloud '

März 20, 2025

Jahrelang drehte sich die Definition von "cloud " um die Behebung von Fehlkonfigurationen von Ressourcen und die Durchsetzung des Zugriffs mit geringsten Rechten. Diese Praktiken machen intuitiv Sinn - schließlich muss eine cloud sicher sein, wenn sie korrekt konfiguriert ist und die geringsten Rechte berücksichtigt, oder?

Aber was ist, wenn uns dieser Fokus in die Irre führt?

In Wirklichkeit ist die Besessenheit von der Perfektion der Konfiguration vielleicht nicht so wirkungsvoll, wie wir denken. Die Beseitigung von Fehlkonfigurationen ist zwar wertvoll, kann aber auch ein falsches Gefühl von Sicherheit vermitteln und viel Energie kosten - und damit von einer ganzheitlichen Behandlung der cloud ablenken.

Die versteckte Falle des "schnellen Denkens" bei der Cloud

Was ist, wenn unser Bauchgefühl in Bezug auf cloud uns in die falsche Richtung geführt hat?

Das Verständnis der Neigung des Gehirns, sich auf Intuition zu verlassen, ist entscheidend für die Verringerung von Fehlern bei risikobasierten Entscheidungen. Wie die Arbeit von Daniel Kahneman ^zeigt1, kann Intuition oft zu falschem Vertrauen führen - besonders gefährlich bei der Verwaltung einer komplexen cloud .

Ich beobachte, dass viele Unternehmen nach ihrem Bauchgefühl handeln und glauben, dass Fehlkonfigurationen und das Streben nach dem am wenigsten privilegierten Zugang den Umfang der cloud bestimmen. Dieses Bauchgefühl "fühlt sich richtig an" und ist ein Beispiel für das, was Kahneman als System-1-Denken bezeichnet - schnell, intuitiv und oft fehlerhaft.

Die Konzentration auf die Behebung von Fehlkonfigurationen bei den Ressourcen ist zwar naheliegend, doch kann dieser Ansatz zu blinden Flecken in der Sicherheitsstrategie führen. Übermäßiges Vertrauen in diese Methode kann dazu führen, dass andere wichtige Kontrollen übersehen werden.

Warum sich "Perfekte Körperhaltung" so richtig anfühlt

Die Behebung von cloud schafft eine unmittelbare Feedbackschleife. Jedes gelöste Problem vermittelt ein Gefühl des Fortschritts, ähnlich wie der Dopaminstoß beim Erledigen einer Aufgabe auf einer Checkliste. Sicherheitsteams fühlen sich produktiv, und Dashboards zeigen Abwärtstrends an, was die Überzeugung stärkt, dass das Risiko sinkt.

Etwas zu messen, macht es nicht automatisch sinnvoll. Cloud geht über Konfigurationskorrekturen hinaus - sie erfordert ein tieferes Verständnis der sich entwickelnden Bedrohungslandschaft, der wachsenden Angriffsfläche und der Taktiken der Angreifer. Letztlich sollten diese Bemühungen einem größeren Ziel dienen: der Minimierung des tatsächlichen Cyber-Risikos des Unternehmens und nicht nur dem Abhaken von Compliance-Kästchen.

Das Problem mit Confirmation Bias

Berücksichtigen wir nur die Daten, die das unterstützen, was wir bereits glauben?

Confirmation Bias führt dazu, dass sich Sicherheitsteams auf Aktivitäten konzentrieren, die mit bestehenden Überzeugungen übereinstimmen. Wenn Unternehmen davon ausgehen, dass die Behebung von Fehlkonfigurationen und das Streben nach geringstmöglichen Rechten die einzigen Aktivitäten sind, die für eine sichere cloud erforderlich sind, übersehen sie möglicherweise andere Möglichkeiten zur Risikominderung, z. B. eine gute cloud , die Fähigkeit zur Wiederherstellung oder die Reaktion auf Vorfälle.

Diese Voreingenommenheit wird durch die jährlichen Trendberichte der Branche, Sicherheitstools und Compliance-Checklisten noch verstärkt, in denen herstellerdefinierten Arbeiten Vorrang vor der Bewältigung von Cyber-Risiken mit unterschiedlichen Kontrollen eingeräumt wird - ein Gürtel- und Hosenträgeransatz.

Dies kann dazu führen, dass Sicherheitsteams übermäßig viel Zeit mit der Behebung kleinerer Probleme verbringen und sich zu sehr auf die langwierigen Abhilfemaßnahmen konzentrieren, während andere Funktionen des Unternehmens unausgereift und nicht auf einen cloud vorbereitet sind.

Wenn Metriken uns in die Irre führen

Metriken sollen die Frage beantworten: "Wie sieht es aus?", aber sie können auch Vorurteile verstärken, vor allem, wenn sie den Fortschritt bei einer bestimmten Aufgabe und nicht bei einem größeren Ziel messen. Ebenso heben Dashboards oft die Verringerung offener Fehlkonfigurationen oder die Verbesserung der Konformitätswerte hervor, aber diese Zahlen korrelieren nicht unbedingt mit dem verringerten realen Risiko.

So kann ein CSPM-Tool beispielsweise einen deutlichen Rückgang der Fehlkonfigurationen im Laufe der Zeit anzeigen, was aber nichts darüber aussagt, ob Angreifer weniger Möglichkeiten haben, die Umgebung auszunutzen. Ohne den richtigen Kontext können diese Metriken irreführend sein.

Korrelation ≠ Verursachung: Jährliche Cloud

Wie viele Sicherheitsstatistiken sind aus dem Zusammenhang gerissen?

In den Berichten der Industrie werden häufig alarmierende Zahlen genannt, wie z. B.:

"61 % der Unternehmen haben einen Root-Benutzer oder Kontoinhaber ohne MFA".
"82 % der AWS Sagemaker-Benutzer haben ein Notebook mit Internetzugang."

‍

‍

Diese Aussagen implizieren, dass Organisationen einem erheblichen Risiko ausgesetzt sind. Es kommt jedoch auf den Kontext an.

Root-Benutzer ohne konfigurierte MFA können das sichere Muster einer gut verwalteten AWS-Organisation sein. Ein öffentlich zugänglicher Service verfügt möglicherweise über zusätzliche identitätsbasierte oder detektivische Kontrollen, die das Risiko eines offenen endpoint mindern.

‍

Die Gefahr von flüchtigen Datenproben in Bedrohungsberichten

Sicherheitsteams reagieren oft auf Veränderungen in Branchenberichten, ohne deren statistische Bedeutung zu hinterfragen. Eine Technik, die in einem Jahr als 46. häufigster Angriffsvektor eingestuft wird, kann im nächsten Jahr auf Platz 4 aufsteigen, was Alarm auslöst und Ressourcen mobilisiert.

Die Daten, die diesen Ranglisten zugrunde liegen, basieren jedoch häufig auf einer begrenzten Stichprobengröße aus dem Kundenstamm eines einzelnen Sicherheitsanbieters. Wenn sich die Anzahl der analysierten Kunden von Jahr zu Jahr erheblich ändert, kann der Trend zudem irreführend sein.

Selbst weithin angesehene Berichte wie der Verizon Data Breach Investigations Report (DBIR) räumen Einschränkungen bei den Datenquellen ^ein2 und verweisen auf die von Jahr zu Jahr schwankende Beteiligung. Folglich müssen Unternehmen Trends aus instabilen Datenquellen kritisch bewerten, bevor sie diese für Sicherheitsentscheidungen nutzen.

Cloud im "Thinking Slow"-Modus treffen

Um nachhaltige Entscheidungen für Ihre Sicherheitsorganisation zu treffen, müssen Sie zu dem übergehen, was Daniel Kahneman als System 2-Denken beschreibt - langsam, überlegt und logisch.

Im Gegensatz zum schnellen, unbewussten und fehleranfälligen System 1 ermöglicht System 2 eine bewusste, anstrengende und zuverlässige komplexe Entscheidungsfindung. Anstatt auf jede Fehlkonfigurationswarnung mit einer System-1-Reaktion zu reagieren, müssen Unternehmen einen Schritt zurücktreten und System 2 einschalten, um Risiken ganzheitlich zu bewerten.

Dies bedeutet:

Alle Funktionen Ihrer Sicherheitsorganisation, von der Verwaltung über die Erkennung bis hin zur Reaktion und Wiederherstellung, werden bewusst und absichtlich einbezogen.
Priorisierung der Maßnahmen unter Berücksichtigung der Wahrscheinlichkeit und der Auswirkungen von Bedrohungen durch eine sorgfältige Analyse.
Durch den Wechsel von einer reaktiven Denkweise zu einem strategischen Ansatz können Sicherheitsteams fundiertere und zuverlässigere Entscheidungen treffen, die sich an den realen Risiken orientieren.

‍

Die Opportunitätskosten der Priorisierung von perfekter Körperhaltung

Jede Entscheidung ist mit Opportunitätskosten verbunden, was auch für die Priorisierung von Maßnahmen in einer Sicherheitsorganisation gilt. Wenn übermäßig viel Gehirnschmalz in die Beseitigung von Fehlkonfigurationen und die Minimierung von Rechten gesteckt wird, bleibt weniger Kapazität für andere Aufgaben:

Erkennung von Bedrohungen und Reaktion auf Vorfälle.
Automatisierung und Orchestrierung der Sicherheit.
Governance und Risikomanagement.

Mehr als perfekte Körperhaltung

Unternehmen sollten sich darüber im Klaren sein, dass ein einseitiger Ansatz für die cloud nicht viel bringt. Das unerbittliche Streben nach Perfektion in der Konfiguration muss durch eine breitere Perspektive ausgeglichen werden.

Seien Sie skeptisch gegenüber Metriken, die bestehende Vorurteile verstärken, wie z. B. die bloße Anzahl der behobenen Fehlkonfigurationen. Entwickeln Sie stattdessen Metriken, die die allgemeine Risikominderung und Widerstandsfähigkeit messen und Ihre Sicherheitslage widerspiegeln.

Um die Ressourcenzuweisung und Entscheidungsfindung in komplexen Umgebungen zu steuern, sollten Sie etablierte Rahmenwerke wie das NIST Cybersecurity Framework nutzen, um einen ganzheitlichen Sicherheitsansatz zu gewährleisten. Vermeiden Sie außerdem die Bildung eines isolierten Cloud , das mit einer unangemessenen Last belastet ist. Fördern Sie stattdessen eine Kultur der gemeinsamen Verantwortung, indem Sie das gesamte Unternehmen in die Verantwortung für cloud einbeziehen.

Referenzen

_{[1]: Daniel Kahneman Das Denken: Schnell und langsam:}_{https://www.goodreads.com/book/show/11468377-thinking-fast-and-slow}

_{[2]: Verizon Data Breach Report -2024: https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf}

‍

Möchten Sie mehr erfahren?

Vectra® ist der führende Anbieter von KI-gesteuerter hybrider cloud Bedrohungserkennung und -bekämpfung. Die Vectra-Plattform und -Dienste decken öffentliche cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastrukturen ab - sowohl vor Ort als auch cloud-basiert. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Dienste, um sich gegen ransomware, Kompromittierungen der Lieferkette, Identitätsübernahmen und andere Cyberangriffe zu schützen, die ihr Unternehmen betreffen.

Wenn Sie mehr darüber erfahren möchten, setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen genau, wie wir das machen und was Sie tun können, um Ihre Daten zu schützen. Wir können Sie auch mit einem unserer Kunden in Kontakt bringen, um direkt von ihm über seine Erfahrungen mit unserer Lösung zu hören.

Kontaktieren Sie uns