.jpg)
Stellen Sie sich einen modernen cloud vor: eine erfolgreiche Anmeldung, eine App mit zu weitreichenden Berechtigungen, ein Token, das die Abhilfemaßnahmen übersteht, und eine Verbindung, die sich unauffällig in cloud normalen cloud einfügt.
Das ist keine hypothetische Annahme. Microsoft hat berichtet, dass „Midnight Blizzard“ – auch bekannt als APT29 und NOBELIUM – mithilfe von „Password Spraying“ ein älteres, nicht produktives Mandantenkonto ohne MFA kompromittiert hat und diesen Einstiegspunkt anschließend nutzte, um OAuth-Anwendungen zu missbrauchen, sich lateral zu bewegen sowie auf Unternehmens-E-Mails zuzugreifen und diese zu exfiltrieren. Die NSA und ihre Partner haben davor gewarnt, dass APT29 über inaktive und automatisierte Konten auf cloud Infrastrukturen abzielt und Token, Geräteregistrierungen sowie Proxy-Infrastrukturen nutzen kann, um den Zugriff aufrechtzuerhalten und seine Aktivitäten zu verschleiern.
APT29 ist kein Einzelfall. Storm-0558 nutzte gefälschte Authentifizierungstoken, um auf cloud E-Mails zuzugreifen, während Storm-0501 zeigt, dass finanziell motivierte Akteure von hybriden Umgebungen auf cloud und Störmaßnahmen cloud umsteigen.
Das ist das cloud im Kleinen: Der Angriff ist real, doch die Hinweise darauf sind über Identitäten, Anwendungsberechtigungen, cloud , den Datenzugriff und das Netzwerkverhalten verstreut.
Seit Jahren basiert cloud auf Teilperspektiven: Protokolle der Steuerungsebene, Paketaufzeichnung, sofern dies im jeweiligen Einsatzszenario praktikabel war, und im Nachhinein rekonstruierte SIEM-Zeitachsen. Jeder dieser Ansätze hat seinen Wert. Keiner von ihnen allein vermittelt den Sicherheitsverantwortlichen jedoch ein ganzheitliches Bild davon, wie sich ein Angriff durch die cloud bewegt.
Angreifer richten sich nicht nach der Struktur von Sicherheitstools. Sie bewegen sich über Identitäten, APIs, Workloads, Dienste und Netzwerkpfade hinweg, sodass die Verteidiger zu viele Zusammenhänge herstellen müssen – und das zudem zu manuell und zu spät.
Bei Cloud gibt es ein Korrelationsproblem
Den meisten Unternehmen mangelt es nicht an Daten cloud . Sie verfügen über Sicherheitsbewertungen, Identitätswarnungen, native cloud , Workload-Signale, Netzwerktelemetrie und SIEM-Ereignisse. Das Problem ist, dass diese Signale oft in unterschiedlichen Tools gespeichert sind, verschiedenen Teams zugeordnet sind und die Sprache verschiedener cloud sprechen.
Diese Fragmentierung bietet Angriffen Versteckmöglichkeiten. Eine kompromittierte Identität, eine Änderung der Berechtigungen, eine neue Arbeitslast und eine ungewöhnliche ausgehende Verbindung können jeweils an unterschiedlichen Stellen auftreten. Für sich genommen mag jedes dieser Ereignisse erklärbar erscheinen. Zusammen können sie jedoch auf einen Angriff hindeuten, der sich durch die Umgebung bewegt.
Für Risikoverantwortliche und Sicherheitsleiter entsteht dadurch eine gefährliche Illusion: Das Unternehmen hat cloud Einblick in viele Bereiche der cloud verpasst cloud weiterhin, wie sich Risiken konkret entfalten. Für die Praktiker bedeutet dies eine tägliche Belastung: Sie müssen zwischen verschiedenen Konsolen hin- und herwechseln, Zeitachsen zusammenfügen, anbieterspezifische Protokolle interpretieren und entscheiden, ob scheinbar zusammenhangslose Ereignisse eine Abfolge von Angreiferverhalten darstellen, die dem MITRE ATT&CK zugeordnet werden kann. Was wie isolierte Signale erscheinen mag, stellt in Wirklichkeit Aufklärung, Zugriff auf Anmeldedaten, Privilegienausweitung, laterale Bewegung oder Persistenz dar, die sich über die gesamte cloud hinweg entfalten. Das Problem ist nicht die Transparenz an einem einzigen Ort. Es ist der Mangel an Korrelation zwischen den Orten, an denen sich Angreifer bewegen.
cloud die Lücke in der Transparenz immer schwerer ignorieren
Die meisten Unternehmen nutzen nicht nur eine einzige, klar abgegrenzte cloud. Sie setzen AWS und Azure ein, nutzen GCP für Analysen oder KI, verlassen sich bei Unternehmensanwendungen auf OCI oder übernehmen durch Übernahmen neue cloud .
Jede cloud ihr eigenes Identitätsmodell, ihr eigenes Protokollformat, ihre eigene Netzwerkabstraktion und ihre eigene Betriebssprache cloud , was die manuelle Korrelation gerade dann erschwert, wenn die Verteidiger sie am dringendsten benötigen. Kaum hat ein Team begonnen zu verstehen, was ein Angreifer in einer cloud tut, entfaltet sich der Angriff möglicherweise bereits an anderer Stelle.
.jpg)
Angreifer machen sich dies zunutze. Bei UNC3944, auch bekannt als Scattered Spider, wurde beobachtet, dass die Gruppe Identitätsanbieter, Sicherheitslücken in SaaS-Lösungen und cloud wie Azure, AWS und GCP ins Visier nimmt und dabei Berechtigungen, Virtualisierungsplattformen und cloud missbraucht, um sich lateral zu bewegen und Daten zu stehlen.cloud verursachen das Problem nicht. Das Problem besteht bereits.cloud verschärfen es lediglich.
Ein hybridercloud macht selten Halt vor Unternehmens- oder cloud . Der Angreifer folgt Identitäten, Berechtigungen, Workloads und Vertrauensbeziehungen, wohin auch immer diese führen. Die Herausforderung für die Verteidiger besteht darin, dass die Untersuchung oft über verschiedene cloud Tools verstreut ist, obwohl der Angriff selbst zusammenhängend bleibt.
Und diese Herausforderung wird immer größer, da Angreifer immer schneller vorgehen. Jüngste Forschungsergebnisse haben gezeigt, dass ein autonomes KI-System Schwachstellen ausnutzt, Anmeldedaten sammelt und sich ohne menschliches Eingreifen lateral durch cloud bewegt. Aktivitäten, die früher Stunden oder Tage dauerten, können zunehmend innerhalb von Minuten ablaufen. Die Verteidiger haben es nicht nur mit einer lückenhaften Übersicht zu tun, sondern auch mit immer weniger Zeit, um die Zusammenhänge zu erkennen.
Erfahren Sie in unserem E-Book mehr darüber, wie Angreifer vorgehen.
Die Steuerungsebene zeigt Veränderungen an. Die Flussprotokolle zeigen Bewegungen an.
Ein cloud beginnt oft in der Steuerungsebene: Eine Identität wird authentifiziert, eine IAM-Richtlinie (Identity and Access Management) wird geändert, ein Schlüssel wird erstellt, eine Rolle wird geändert, eine Sicherheitsgruppe wird geöffnet oder eine Workload wird gestartet. Diese Signale sind von Bedeutung. Sie zeigen, wer was getan hat, was sich geändert hat und welcher Zugriff nun möglich sein könnte. Sie zeigen jedoch nicht immer, was dieser Zugriff ermöglicht.
Die cloud zeigt, wie Workloads, Dienste, Anwendungen und Benutzer miteinander kommunizieren: ob eine neue Workload auf eine sensible Datenbank zugegriffen hat, ein Dienst ein unbekanntes Ziel kontaktiert hat oder Datenverkehr zwischen Umgebungen stattgefunden hat, die normalerweise nicht miteinander interagieren sollten.
Bei einer Untersuchung müssen diese Details schnell zusammengeführt werden. Ein neuer Schlüssel, eine auf den ersten Blick routinemäßig erscheinende Verbindung im Arbeitsablauf und ein harmlos wirkender ausgehender Datenfluss lassen sich für sich genommen vielleicht leicht abtun. In zeitlicher Abfolge betrachtet können sie jedoch darauf hindeuten, dass eine Identität dazu genutzt wird, sich Zugriff zu verschaffen, sich durch die Umgebung zu bewegen und an Daten zu gelangen.
Pakete bieten umfassende Transparenz, sofern ihr Einsatz sinnvoll ist. In dynamischencloud kann die umfassende Erfassung von Paketen jedoch hinsichtlich Architektur, Skalierbarkeit und Wartung komplex sein. Flow-Logs bieten eine skalierbarere Möglichkeit, das Verhalten cloud zu beobachten: Welche Systeme haben miteinander kommuniziert, über welche Ports und Protokolle, in welche Richtung und mit welchem Volumen bzw. Muster?
Doch Flow-Protokolle sind lediglich ein weiteres Signal, solange sie nicht mit Identitäten, Aktivitäten in der Steuerungsebene, dem Workload-Kontext und dem Verhalten von Angreifern verknüpft werden. Erst diese Korrelation macht aus cloud verwertbare Erkennungsinformationen, noch bevor es zu Auswirkungen kommt.
Der nächste Schritt ist cloud einheitliche cloud und -Erkennung
Eine cloud , bei der jedes Team jeden Anbieter separat interpretieren muss, wird Schwierigkeiten haben, Schritt zu halten. Selbst Zero Trust auf vernetzte Transparenz Zero Trust . Sicherheitsverantwortliche benötigen vernetzte Transparenz, um zu überprüfen, ob Identitäten, Änderungen in der Steuerungsebene und das Verhalten von Workloads mit den Vorgängen in der cloud übereinstimmen – dort, wo Anwendungen kommunizieren, Dienste interagieren, Daten fließen und das Geschäft tatsächlich stattfindet.
Die Lösung liegt nicht in einem weiteren Dashboard, einem Rohprotokollstrom oder einer weiteren Warnmeldung, die Analysten wieder in denselben manuellen Untersuchungskreislauf zurückwirft. Bei Cloud muss der Schwerpunkt von der Erfassung von Telemetriedaten auf die Verknüpfung von Verhaltensmustern verlagert werden.
Sicherheitsteams müssen in Echtzeit wissen, ob Identitätsaktivitäten, Änderungen in der Steuerungsebene, das Verhalten von Workloads und die Kommunikation cloud Teil desselben Angriffs sind. Vorhandene Tools sind zwar nützlich, liefern den Verteidigern jedoch allzu oft nur Bruchteile: Sicherheitsstatus, Identitäten, Datenverkehr und Protokolle. Bei einem sich schnell entwickelnden cloud reichen solche Bruchteile nicht aus. Darüber hinaus benötigen die Teams auch Funktionen cloud und Reaktion cloud , unterstützt durch KI-gesteuerte Untersuchungstools und Reaktionsfunktionen, die vernetzte Signale in Kontext, Anleitungen und Maßnahmen umwandeln – und zwar mit der Geschwindigkeit, die moderne Angriffe erfordern.
Dadurch werden Signale über verschiedene Ebenen und Anbieter hinweg in Echtzeit miteinander verknüpft, sodass Sicherheitsteams den Angriffsweg erkennen können, solange noch Zeit zum Handeln bleibt.
Dies ist die treibende Kraft hinter den erweiterten Funktionen Vectra AI zur Überwachbarkeit cloud über Amazon Web Services (AWS), Microsoft Azure, Google Cloud (GCP) und Oracle Cloud (OCI) hinweg. Die Vectra AI vereint die Transparenz der Steuerungsebene und cloud, sodass Unternehmen cloud als zusammenhängendes Verhalten in ihrencloud erkennen können und nicht als isolierte Ereignisse.
Da Angreifer KI nutzen, um Zeitabläufe zu verkürzen und sich über verschiedene Domänen hinweg zu bewegen, muss moderne cloud die richtigen Signale schnell genug miteinander verknüpfen, um den Angriff zu erkennen, bevor er zu einer Sicherheitsverletzung führt.
Möchten Sie mehr von unserem Vectra AI erfahren? Erfahren Sie in unserem neuesten Podcast mehr übercloud .