Die größten Sicherheitslücken in Hybrid cloud in den Bereichen Identitätsmanagement, cloud und Netzwerk

cloud sind die blinden Flecken, die zwischen domänenspezifischen Sicherheitskontrollen entstehen, wenn Unternehmen gleichzeitig auf lokale Infrastrukturen,cloud, SaaS-Plattformen und Identitätssysteme zurückgreifen. Angreifer machen keinen Halt vor Domänengrenzen; sie bewegen sich lateral über diese hinweg und nutzen dabei gültige Anmeldedaten und vertrauenswürdige Protokolle, um sich in Umgebungen zu verstecken, in denen bereits in endpoint, cloud, Identitäts- und Netzwerk-Tools investiert wurde. Zu verstehen, wie sich hybride Angriffe tatsächlich über diese Schichten hinweg entfalten, ist der Ausgangspunkt für die Schließung dieser Lücke.

In dieser Ressource wird erläutert, wo cloud bei Identitäts-, cloud, Netzwerk- und endpoint entstehen, wie moderne Angreifer diese Lücken in der Praxis ausnutzen und was SOC-Teams, Sicherheitsanalysten und CISOs benötigen, um Angreiferverhalten zu erkennen – darunter laterale Bewegung, Missbrauch von Anmeldedaten und Privilegieneskalation –, das von domänenspezifischen Tools übersehen wird.

Sicherheitslücken in cloud Hybrid cloud entstehen dort, wo Tools an Domänengrenzen enden

cloud sind kein Versagen einzelner Tools. Sie sind eine architektonische Realität, die entsteht, wenn Sicherheitskontrollen, die für einen einzelnen Bereich – endpoint, cloud , Identitäts- und Zugriffsmanagement oder Netzwerkperimeter – optimiert sind, in Umgebungen eingesetzt werden, in denen sich Angreifer nahtlos über alle diese Bereiche hinweg bewegen. Jedes Tool erfüllt seine Aufgabe innerhalb seines jeweiligen Bereichs einwandfrei. Die Lücke entsteht zwischen den einzelnen Bereichen, und genau dort agieren moderne Angreifer.

Moderne Unternehmensnetzwerke umfassen lokale Rechenzentren,cloud , SaaS-Plattformen, Identitätssysteme, IoT- und OT-Infrastrukturen sowie KI-integrierte Toolchains. Angreifer, denen ein erster Zugriff gelingt, bleiben nicht an einem Ort. Sie bewegen sich in Nord-Süd- und Ost-West-Richtung durch diese Domänen, tarnen sich im legitimen Datenverkehr, nutzen vertrauenswürdige Identitäten aus und wechseln zwischen Systemen hin und her, ohne in einem einzigen Tool Warnmeldungen auszulösen.

Das Ergebnis ist eine Abdeckungsmatrix mit strukturellen Schwachstellen: cloud , die das Verhalten von Angreifern während der Laufzeit nicht erkennen können, Identitätskontrollen, die an der Authentifizierungsgrenze enden, endpoint , die cloud oder SaaS-Plattformen nie erreichen, und Netzwerk-Tools, die Signaturen, aber nicht das tatsächliche Verhalten prüfen. Diese Lücken sind keine Ausnahmefälle, sondern die Hauptangriffswege, die moderne Angreifer nutzen.

Legende: ● Vollständige Sichtbarkeit | ● Teilweise Sichtbarkeit | ○ Keine Sichtbarkeit

Die vier Schwachstellen, die Angreifer zwischen Ihren Tools ausnutzen

Sicherheitslücken cloud Hybrid cloud lassen sich in vier Kategorien einteilen, die jeweils einem Bereich entsprechen, in dem Sicherheitstools an einer Grenze den Überblick verlieren.

• Nach der Authentifizierung entstehen Identitätslücken, da IAM und PAM ihre Kontrollen einstellen und die Verhaltenserkennung noch nicht einsetzt. Sobald ein Angreifer die Anmeldeprüfung mit gültigen Anmeldedaten bestanden hat, werden die Identitätskontrollen deaktiviert.
• Nach der Zugriffsgewährung entstehen Cloud , da Sicherheitsüberwachungstools nicht mehr aktiv sind und das Verhalten von Angreifern während der Laufzeit nicht mehr überwacht wird. CSPM, CASB und CNAPP wurden entwickelt, um Risiken zu verhindern und Konfigurationen vorzunehmen, nicht jedoch, um zu erkennen, was authentifizierte Identitäten innerhalb cloud tun.
• Im Ost-West-Datenverkehr entstehen Sicherheitslücken, da Perimeterkontrollen hier keine Reichweite haben und seitliche Bewegungen unbemerkt ablaufen. Firewalls, NAC und IDPS überwachen die Außengrenzen, nicht jedoch die Bereiche zwischen den internen Systemen, in denen Angreifer ihre Angriffe ausweiten.
• Endpoint entstehen überall dort, wo keine Sicherheitsagenten eingesetzt werden können – bei cloud , nicht verwalteten Geräten, SaaS-Plattformen und Identitäts-APIs, die Angreifer gezielt ins Visier nehmen, da dort keine Telemetriedaten vorliegen.

Warum umgehen identitätsbasierte Angriffe herkömmliche Sicherheitsmaßnahmen?

Identitätsbasierte Angriffe sind erfolgreich, weil Identitätssicherheits-Tools darauf ausgelegt sind, den Zugriff zu kontrollieren, nicht aber zu erkennen, wie sich authentifizierte Identitäten nach der Zugriffsgewährung verhalten. Sobald ein Angreifer durch phishing, SIM-Swapping oder den Diebstahl von Sitzungstoken gültige Anmeldedaten erlangt hat, umgeht er die MFA, erfüllt die IAM-Richtlinien und gelangt als vertrauenswürdiger Benutzer in die Umgebung. Die Tools, die ihn eigentlich aufhalten sollten, erkennen lediglich eine normale Anmeldung. Was danach geschieht, bleibt ihnen verborgen.

Gestohlene Zugangsdaten führen zu Sicherheitslücken nach der Authentifizierung

Sobald sich ein Angreifer anmeldet, anstatt sich gewaltsam Zugang zu verschaffen, versagen präventionsorientierte Identitätskontrollen effektiv. IAM gewährt Zugriff, da die Anmeldedaten den Richtlinien entsprechen. Die MFA-Anforderungen sind erfüllt, da der Angreifer über das Token verfügt. PAM wird umgangen, da das verwendete Konto nicht als privilegiert eingestuft ist oder der Angreifer seine Berechtigungen über ein Konto erweitert, das noch nicht im Geltungsbereich liegt.

Aktivitäten nach der Authentifizierung, wie das Erkunden der Umgebung, das Delegieren des Zugriffs auf Postfächer, das Ändern von Berechtigungsbereichen und das Hinzufügen von Verbundvertrauensbeziehungen, erscheinen aus der Perspektive einzelner Tools als normales Benutzerverhalten. Zur Erkennung ist eine Verhaltensanalyse über Zeit und Domänen hinweg erforderlich, nicht eine Zugriffskontrolle auf Ereignisebene.

IAM, PAM und UEBA sind nicht gleichbedeutend mit der Erkennung von Identitätsbedrohungen

IAM, PAM und UEBA befassen sich jeweils mit einem bestimmten Aspekt des Identitätsrisikos. IAM regelt, wer sich authentifizieren darf und mit welchen Berechtigungen. PAM beschränkt den Zugriff auf bestimmte privilegierte Konten. UEBA erstellt statistische Profile des normalen Verhaltens und meldet statistische Abweichungen. Keiner dieser Ansätze ermöglicht eine Echtzeit-Erkennung des Verhaltens von Angreifern nach der Authentifizierung in hybriden Umgebungen. Die folgende Tabelle zeigt, wo die einzelnen Tools an Transparenz verlieren und wie Angreifer diese Schwachstellen ausnutzen.

Warum Missbrauch von Microsoft 365 und Entra ID schwer aufzudecken ist

Microsoft 365 und Microsoft Entra ID (ehemals Azure AD) gehören zu den am häufigsten ausgenutzten Angriffsflächen bei modernen Hybridangriffen. Angreifer zielen auf die Delegierung von Postfächern, OAuth-Anwendungsberechtigungen, Verbundvertrauensbeziehungen und Lücken in Richtlinien für den bedingten Zugriff ab – alles Aktivitäten, die legitime Microsoft-APIs nutzen und Ereignisse generieren, die ohne den Kontext des Verhaltens zunächst unauffällig erscheinen.

Um anomale Aktivitäten in der cloud zu erkennen, ist ein Verhaltenskontext erforderlich, den native Microsoft-Tools und API-basierte CASB-Integrationen zur Laufzeit nicht bereitstellen können. UEBA erfordert eine vollständige Protokollerfassung und eine Bewertungslatenz, die Angreifer überholen können. Die Lücke besteht in der Verhaltenserkennung dessen, was authentifizierte Identitäten tatsächlich tun, und nicht nur dessen, was ihnen erlaubt ist.

Warum cloud nach wie vor Sicherheitslücken in der Laufzeit hinterlassen

Cloud sind in erster Linie darauf ausgelegt, Richtlinien zu verhindern, zu konfigurieren und durchzusetzen, nicht jedoch, das Verhalten von Angreifern während der Laufzeit zu erkennen. CASB kontrolliert den Zugriff auf SaaS-Dienste. CSPM überprüft cloud . CWPP überwacht Workload-Prozesse, in denen Agenten eingesetzt werden. CNAPP bündelt die Transparenz hinsichtlich der Sicherheitslage und der Workloads. SASE regelt die Zugriffspfade. Jedes dieser Tools ist in seinem jeweiligen Anwendungsbereich leistungsstark. Keines bietet jedoch eine kontinuierliche Echtzeit-Erkennung des Verhaltens von Angreifern innerhalb von cloud SaaS-Umgebungen, sobald der Zugriff gewährt wurde.

CASB, CSPM, CNAPP, CWPP und SASE im Vergleich

Die folgende Tabelle zeigt, wie Angreifer die einzelnen cloud umgehen und wo weiterhin Erkennungslücken bestehen. Dabei handelt es sich nicht um Fehler der Tools, sondern um konzeptionelle Grenzen. Diese Lücken bestehen, weil das Sicherheitsstatus-Management und die Zugriffssteuerung für andere Bedrohungsmodelle konzipiert wurden als die verhaltensbasierte Erkennung von Angreifern nach der Authentifizierung.

Warum Sicherheitsl cloud auch nach der Zugriffsgewährung bestehen bleiben

Die zentrale Einschränkung von cloud besteht darin, dass ihre Erkennungslogik vor oder an der Zugriffsgrenze aktiviert wird. CSPM meldet eine Fehlkonfiguration, bevor sie ausgenutzt wird. CASB blockiert eine nicht genehmigte App, bevor der Benutzer darauf zugreifen kann. SASE bewertet eine Verbindungsanfrage, bevor der Zugriff gewährt wird. Sobald sich ein Angreifer im System befindet – sei es durch SSO authentifiziert, unter Verwendung eines gültigen API-Tokens oder über eine vertrauenswürdige föderierte Identität –, bleiben diese Tools weitgehend stumm.

Das Verhalten von Angreifern nach dem Zugriff in cloud umfasst: das Aufzählen von Ressourcen und Berechtigungen, die Ausweitung von Berechtigungen durch Manipulation von Rollen, die Änderung von SaaS-Einstellungen zur Erlangung von Persistenz, das Wechseln zwischen cloud und das Abziehen von Daten über legitime Kanäle. Diese Aktivitäten werden durch das Posture-Management nicht blockiert. Sie erfordern eine Verhaltenserkennung im Vergleich zu einer Basislinie normaler cloud .

Wie föderierte Vertrauensmechanismen und der Missbrauch von Berechtigungen Sicherheitsüberwachungs-Tools umgehen

Risiken im Zusammenhang mit föderierten Identitäten und verwalteten Identitäten stellen eine der gefährlichsten und am wenigsten überwachten Angriffsflächen in hybriden Umgebungen dar. Angreifer, die föderierte Vertrauensbeziehungen hinzufügen oder ändern, schaffen Hintertür-Zugangswege, die auch nach dem Zurücksetzen von Anmeldedaten bestehen bleiben, für cloud legitim erscheinen und von standardmäßigen CSPM-Konfigurationsscans, die in regelmäßigen Abständen durchgeführt werden, nicht erfasst werden.

Der Missbrauch von SaaS-Berechtigungen folgt einem ähnlichen Muster. Die Delegierung von Postfächern in Exchange Online, die Erteilung von OAuth-Anwendungsberechtigungen in Entra ID und die Manipulation des Berechtigungsumfangs in cloud erfolgen allesamt über legitime APIs. Sicherheitsüberwachungstools, die die Einhaltung von Richtlinien zu einem bestimmten Zeitpunkt überprüfen, erkennen diese Änderungen nicht, sobald sie auftreten. Eine Echtzeit-Verhaltensanalyse der Interaktion von Identitäten mit cloud ist das Erkennungsmodell, das diese Lücke schließt.

Warum die Erkennung von seitlichen Bewegungen in hybriden Umgebungen versagt

Die Erkennung lateraler Bewegungen versagt in hybriden Umgebungen, da die Tools zur Überwachung der Netzwerkaktivität – Firewalls, NAC, IDPS und SIEM – darauf ausgelegt sind, bekannte Signaturen zu erkennen, Zugriffsrichtlinien durchzusetzen oder Protokolle anderer Tools zusammenzuführen. Keines dieser Tools bietet eine kontinuierliche Verhaltenserkennung, die gleichzeitig erfasst, wie sich Angreifer in Ost-West- und Nord-Süd-Richtung über Identitäts-, cloud und Netzwerkschichten hinweg bewegen.

Scattered Spider ist einer der am besten dokumentierten Angreifer, der es auf Hybridumgebungen abgesehen hat und Social Engineering, Identitätsmissbrauch und cloud nutzt, um Persistenz zu erreichen und Daten zu exfiltrieren. Die folgende Zeitleiste zeigt, wie ein Scattered Spider Angriff in sechs Phasen abläuft – und wo herkömmliche Sicherheitslösungen bei jedem Schritt versagen.

‍

Lücken in der Sichtbarkeit des Ost-West-Verkehrs

Der Ost-West-Verkehr – also die laterale Kommunikation zwischen Workloads, Identitäten und Diensten innerhalb der Umgebung – ist der Bereich, in dem moderne Angriffe nach dem ersten Zugriff voranschreiten. Firewalls und Perimeterkontrollen überwachen den Nord-Süd-Verkehr an der Grenze. EDR-Agenten überwachen endpoint einzelner endpoint . Keines dieser Elemente bietet eine kontinuierliche, verhaltensbasierte Analyse darüber, wie sich Entitäten zwischen den Systemen innerhalb der hybriden Umgebung bewegen.

In der Praxis bedeutet dies, dass ein Angreifer, der sich am Perimeter authentifiziert, zu einer cloud wechselt, sich auf eine SaaS-Plattform verlagert und über Identitätssysteme Zugriffsebenen ausweitet, mehrere Phasen der Kill Chain durchlaufen kann, ohne auch nur einen einzigen Alarm auszulösen. Jeder einzelne Schritt erscheint für sich genommen legitim. Nur die Korrelation von Verhaltensmustern domänenübergreifend deckt das koordinierte Vorgehen des Angreifers auf.

Warum Firewalls, NAC und IDPS die Bewegungen von Angreifern übersehen

Netzwerksicherheitstools basieren auf grundlegend anderen Erkennungsmodellen als die Verhaltensanalyse. Die folgende Tabelle fasst zusammen, wo die Grenzen der einzelnen Tools liegen und welche Schwachstellen Angreifer in diesen Lücken ausnutzen.

‍

Die gemeinsame Einschränkung besteht darin, dass diese Tools nicht zwischen einem legitimen Benutzer und einem Angreifer unterscheiden können, der legitime Anmeldedaten, Protokolle und Zugriffspfade nutzt. Der Verhaltenskontext – also was diese Identität normalerweise tut, wohin sie sich typischerweise verbindet und wie diese Aktivität im Vergleich zu etablierten Mustern aussieht – liegt außerhalb des Anwendungsbereichs von signatur- und richtlinienbasierten Netzwerkkontrollen.

Wie sich Angreifer in vertrauenswürdige Protokolle und verschlüsselten Datenverkehr einschleusen

Moderne Angreifer nutzen gezielt Protokolle, die von Netzwerksicherheitstools als vertrauenswürdig eingestuft werden: HTTPS, DNS, RDP und SMB. Die Überprüfung verschlüsselten Datenverkehrs ist in Unternehmensumgebungen aus Leistungs- und Datenschutzgründen eingeschränkt, was Angreifern, die ihre C2-Kommunikation und Datenexfiltration über verschlüsselte Kanäle leiten, eine zuverlässige Umgehungsmöglichkeit bietet.

Techniken zum „Living-off-the-Land“ verschärfen dieses Problem noch. Wenn ein Angreifer PowerShell, WMI oder standardmäßige Windows-Verwaltungstools nutzt, um die Umgebung zu erfassen und sich lateral zu bewegen, gibt es keine schädliche Binärdatei, die EPP blockieren könnte, keine Signatur, auf die IDPS reagieren könnte, und kein unzulässiges Protokoll, das die Firewall-Richtlinie zurückweisen könnte. Zur Erkennung muss man verstehen, was diese Tools tun – nicht nur, dass sie existieren.

Warum endpoint nicht den gesamten Angriffspfad abdeckt

Endpoint and Response (EDR) und Endpoint Platforms (EPP) sind grundlegende Sicherheitsinvestitionen. EDR liefert detaillierte Telemetriedaten zu Prozessen, Änderungen an der Registrierungsdatenbank und dem Verhalten auf Host-Ebene. EPP verhindert die Ausführung bekannter Bedrohungen durch Signaturen, Heuristiken und Sandboxing. Beide Lösungen sind in ihrem jeweiligen Anwendungsbereich sehr leistungsfähig. Das Problem ist, dass moderne Angriffe den endpoint zunehmend endpoint umgehen oder sich über Oberflächen, cloud , SaaS-Plattformen, Identitätssysteme und nicht verwaltete Geräte bewegen, wo keine Agenten eingesetzt werden können oder diese nicht vorhanden sind.

Wo EDR aufhört

Warum EDR allein nicht ausreicht, lässt sich auf ein Problem der Grenzen zurückführen: Die Sichtbarkeit von EDR endet am verwalteten endpoint. Cloud Angriffe, die über cloud , SaaS-Anwendungen oder Identitäts-APIs erfolgen, generieren niemals EDR-Telemetriedaten. Nicht verwaltete Geräte – IoT-Systeme, OT-Infrastruktur, BYOD-Geräte, Remote-Endpunkte – können keine EDR-Agenten ausführen. Angreifer, die dies wissen, nutzen es gezielt aus: Sie agieren in den Lücken zwischen den von EDR abgedeckten Hosts und verwenden gültige Anmeldedaten, um sich im normalen Datenverkehr zu tarnen.

Wo EPP aufhört

EPP erkennt nur bekannte Bedrohungssignaturen. Dateilose malware vollständig im Arbeitsspeicher ausgeführt wird, löst keine festplattenbasierte Erkennung aus. Zero-day stimmen nicht mit bestehenden Signaturen überein. Legitime Verwaltungstools wie PowerShell, WMI und RDP werden nicht als verdächtig markiert, unabhängig davon, wie der Angreifer sie einsetzt. EPP bietet einen wichtigen Schutz in der Ausführungsphase, ist jedoch kein Erkennungsmechanismus für das Verhalten von Angreifern nach der Authentifizierung.

Warum Angreifer endpoint meiden

Die häufigste Umgehungstechnik bei modernen Hybridangriffen besteht nicht darin, EDR zu umgehen, sondern den Angriff über Bereiche zu leiten, in denen kein EDR vorhanden ist. Angreifer, die sich bei Microsoft Entra ID anmelden, die Berechtigungen für Postfächer in Exchange Online ändern, über cloud Rechte eskalieren und Daten über eine mit OAuth verbundene Anwendung exfiltrieren, haben eine vollständige Kill Chain durchlaufen, ohne einen einzigen endpoint zu berühren. Die folgende Tabelle fasst das Erkennungsmodell und die kritischen blinden Flecken für jedes endpoint zusammen.

‍

Die vier Angriffskategorien, die endpoint regelmäßig übersehen, sind identitätsbasierte Angriffe unter Verwendung gültiger Anmeldedaten in Microsoft 365 oder Entra ID, der Missbrauch von SaaS-Berechtigungen, der den endpoint nicht betrifft, laterale Bewegungen über cloud und nicht verwaltete Geräte hinweg sowie netzwerkbasierte Erkundung und Datenexfiltration über verschlüsselte oder Nicht-HTTP-Kanäle.

Wie Vectra AI Sicherheitslücken in Hybrid cloud Vectra AI

Um cloud zu schließen, müssen bestehende Tools nicht ersetzt werden. Endpoint, cloud, Identitäts- und Netzwerkkontrollen erfüllen jeweils wichtige Funktionen in ihrem jeweiligen Bereich. Die Lücke besteht in der domänenübergreifenden Transparenz und Erkennung von Verhaltensmustern – also der Fähigkeit, zu erkennen, wie sich Identitäten, Workloads und Geräte beim Durchlaufen der Hybridumgebung verhalten, und dieses Verhalten zu zusammenhängenden Angriffsszenarien zu verknüpfen, bevor Schaden entsteht.

Verhaltensbasierte Erkennung über Identitäts-, cloud und Netzwerkbereiche hinweg

Die verhaltensbasierte Erkennung funktioniert anders als signatur- oder richtlinienbasierte Kontrollen. Anstatt Aktivitäten mit einer Liste bekannter schädlicher Muster abzugleichen, modelliert die verhaltensbasierte KI, wie normale Aktivitäten für jede Identität, jede Arbeitslast und jedes Gerät im jeweiligen Kontext aussehen – und erkennt Abweichungen, die den Angriffstechniken entlang der MITRE ATT&CK entsprechen. Dieser Ansatz deckt den Missbrauch von Anmeldedaten, die Ausweitung von Berechtigungen, laterale Bewegungen und C2-Kommunikation auf, selbst wenn Angreifer legitime Anmeldedaten und vertrauenswürdige Protokolle verwenden.

Eine effektive Verhaltenserkennung in hybriden Umgebungen erfordert eine kontinuierliche Analyse des Netzwerkverkehrs, von Identitätsereignissen in Active Directory und Entra ID, von SaaS-Interaktionen sowie der Aktivitäten in cloud – und zwar in Echtzeit und nicht erst im Nachhinein anhand von Protokollen.

Priorisierung von Angriffssignalen

Die hohe Anzahl an Warnmeldungen stellt ein strukturelles Problem im hybriden Sicherheitsbetrieb dar. Da jedes domänenspezifische Tool eigene Warnmeldungen generiert, müssen SOC-Analysten eine Triage über voneinander getrennte Signalströme hinweg vornehmen. Die Folge sind Warnmüdigkeit, übersehene Zusammenhänge und verzögerte Reaktionen. Die Priorisierung von Angriffssignalen – also die automatisierte Korrelation verwandter Ereignisse über Domänen hinweg zu einem einheitlichen Risikobild – behebt dieses Problem, indem sie aufzeigt, welche Entitäten echtes, fortschreitendes Angreiferverhalten darstellen und nicht nur isolierte Anomalien sind.

Eine effektive Priorisierung erfordert bereichsübergreifenden Kontext: Man muss erkennen, dass eine Identitätswarnung in Entra ID, ein cloud in AWS und eine im Ost-West-Datenverkehr festgestellte laterale Bewegung Teil desselben Angriffsablaufs sind – und diesen Zusammenhang aufdecken, bevor der Angriff Auswirkungen zeigt.

Ergänzung, nicht Ersatz bestehender Kontrollen

Die richtige Architektur baut auf bestehenden Investitionen auf, anstatt sie zu ersetzen. EDR, IAM, CSPM und SIEM erfüllen jeweils wichtige Funktionen. Durch die Einbindung von Verhaltenserkennung über Identitäts-, cloud und Netzwerkschichten hinweg – also in den Bereichen, die diese Tools nicht abdecken – werden Lücken geschlossen, ohne bereits funktionierende Systeme zu beeinträchtigen. Das praktische Modell besteht aus einer Erkennungsschicht, die die gesamte Umgebung abdeckt, das Verhalten in Echtzeit analysiert und hochpräzise Signale in bestehende SIEM- und SOAR-Workflows einspeist.

Die folgende Tabelle zeigt, wo die wichtigsten Lücken in einem typischen Sicherheits-Stack für Unternehmen bestehen und welchen Mehrwert die hybride Verhaltenserkennung bietet.

Sicherheitslücken in Hybrid cloud in der Praxis

Die folgenden Fälle zeigen, wie cloud in Hybrid cloud zu ausnutzbaren Schwachstellen in realen Umgebungen führten und welche Erkennungsmaßnahmen erforderlich gewesen wären, um diese früher zu schließen.

Scattered Spider MGM Resorts und Caesars Entertainment, 2023 Scattered Spider zunächst über phishing SIM-Swapping Zugang und drang anschließend unter Verwendung gültiger Anmeldedaten in Microsoft Entra ID, Exchange Online und cloud ein. Die Präventionsmaßnahmen versagten in jeder Phase, da der Angriff legitime Zugriffspfade nutzte. Der entstandene Schaden belief sich auf über 100 Millionen US-Dollar. Zur Erkennung war eine Verhaltensüberwachung der Identitätsaktivitäten nach der Authentifizierung erforderlich – nicht Perimeterkontrollen.

Weltweit tätige Gesundheitsorganisation — Diebstahl von AWS-Anmeldedaten, innerhalb weniger Tage nach der Bereitstellung entdeckt Eine globale Gesundheitsorganisation entdeckte innerhalb weniger Tage nach der Bereitstellung der Verhaltenserkennung gestohlene Anmeldedaten, cloud , Versuche der Privilegienerweiterung und Persistenzaktivitäten in AWS. Ihr SIEM hatte nichts davon aufgedeckt. Das SOC griff ein, bevor Daten oder Betriebsabläufe beeinträchtigt wurden (NachweisVectra AI ).

Globe Telecom — laterale Bewegung und Alarmlärm, 2023 Globe Telecom verkürzte die Reaktionszeit bei Vorfällen von 16 Stunden auf 3,5 Stunden nach der Einführung einer domänenübergreifenden Verhaltenserkennung. Die Anzahl der Fehlalarme sank um 99 % und die Eskalationen gingen um 96 % zurück, sodass sich die Analysten auf sechs echte Vorfälle konzentrieren konnten, anstatt auf Hunderttausende von unwichtigen Warnmeldungen. Die geschlossene Lücke war kein Tool-Wechsel – es war die Abdeckung der Bereiche, die bestehende Tools nicht sehen konnten (Vectra AI ).

Schlussfolgerung

cloud sind kein Versagen einzelner Tools. Sie sind eine strukturelle Folge des Einsatzes domänenspezifischer Kontrollmechanismen in Umgebungen, in denen moderne Angriffe sich fließend über Identitäts-, cloud, Netzwerk- und endpoint bewegen. IAM endet an der Authentifizierungsgrenze. EDR endet am verwalteten endpoint. CSPM endet vor der Laufzeit. In den Lücken zwischen diesen Kontrollmechanismen ereignen sich 40 % aller schwerwiegenden Sicherheitsverletzungen.

Um diese Lücken zu schließen, müssen drei Funktionen zusammenwirken: eine kontinuierliche Verhaltensüberwachung über die gesamte Hybridumgebung hinweg, Angriffssignale, die domänenübergreifende Aktivitäten zu schlüssigen Bedrohungsbildern verknüpfen, sowie eine Eindämmung, die schnell genug erfolgt, um Angriffe zu unterbrechen, bevor sie Schaden anrichten. Unternehmen, die diese Funktionen auf ihrer bestehenden Infrastruktur aufbauen – anstatt diese zu ersetzen –, weisen durchweg eine kürzere durchschnittliche Reaktionszeit, ein geringeres Alarmvolumen und deutlichere Belege für eine verbesserte Sicherheitslage auf.

Die Bedrohungslage wird sich weiterentwickeln. Angreifer werden weiterhin gültige Anmeldedaten, vertrauenswürdige Protokolle und legitime Zugriffswege nutzen, um nicht entdeckt zu werden. Was sich nicht ändert, ist die grundlegende Anforderung an die Verteidigung: alles sehen, das Wesentliche erkennen und handeln, bevor Schaden entsteht.

Erfahren Sie, wie die PlattformVectra AI das Verhalten von Angreifern über Identitäts-, cloud, Netzwerk- und endpoint hinweg erkennt und so die cloud in Hybrid cloud schließt, die domänenspezifische Tools hinterlassen.