Bei einer Incident Response geht es immer um die schnelle Reaktion auf Sicherheitsvorfälle. Der Incident Response in der Cloud meint also nichts anderes als eine Reaktion auf Probleme in Bezug auf die Cloud-Sicherheit oder in Bezug auf Störungen, die für den Ausfall wichtiger Systeme sorgen.
Da mittlerweile so gut wie alles in der Cloud liegt, ist die Reaktion auf Vorfälle in selbiger ein wichtiger Bestandteil der allgemeinen Sicherheitsstrategie eines Unternehmens. Dementsprechend gibt es verschiedene Herausforderungen zu meistern, um die Cloud-Strukturen ausfallsicher zu betreiben und Schwachstellen möglichst von vornherein auszuschließen.
In diesem Beitrag möchten wir mit Ihnen auf die Herausforderungen eingehen, die bei der Incident Response in der Cloud besonders auffällig sind. Da es einige Dinge zu beachten gibt, ist es wichtig, sich im Wesentlichen gut auszukennen und dann entsprechend reagieren zu können, wenn Probleme in der eigenen Cloud-Lösung auftreten. Zusätzlich werden wir auch das Framework thematisieren, um Ihnen eine umfassende Perspektive auf dieses wichtige Thema zu bieten.
3 Incident Response Risiken in der Cloud
Geht es um die Incident Response in der Cloud, sprechen wir immer von Umgebungen wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) oder auch Software-as-a-Service (SaaS). Dort wiederum geht es um Leaks, DDoS-Attacken, Malware-Angriffe und ähnliche Versuche, die IT-Infrastruktur in der Cloud aktiv zu übernehmen oder massiv zu gefährden.
Sichtbarkeit: Das größte Problem bei Cloud-Umgebungen ist, dass sie unglaublich komplex aufgebaut sein können. Das wiederum hat zur Folge, dass die betriebenen Dienste sehr vielschichtig und damit unübersichtlich werden. In Hinblick auf die Bedrohungen ist das problematisch, da diese schwieriger erkannt und langsamer identifiziert werden können. Die Reaktion auf Vorfälle ist also nur dann möglich, wenn das Risiko oder die Schwachstelle bereits erfolgreich identifiziert worden ist.
Einflussnahme: Die Verantwortung für Cloud-Umgebungen liegt oft außerhalb der eigenen Kontrolle. Cloud-Strukturen werden selten auf eigenen Servern betrieben. Vielmehr kommen Cloud-Dienstleister zum Einsatz, die ebenfalls eine Verantwortlichkeit für die Sicherheit besitzen. Beide Seiten müssen sich also vertrauen können, um die Verantwortung entsprechend zu teilen. Bei einer Reaktion auf Sicherheitsvorfälle kann diese geteilte Verantwortung dann schnell problematisch werden. Etwa dann, wenn Sie ein Sicherheitsrisiko oder einen Angriff identifiziert haben, die Lösung dafür aber beim Cloud-Anbieter liegt, der unter Umständen nicht sofort erreichbar ist, also erst auf Ihre Anfrage reagieren muss. Das verlangsamt den Prozess enorm und erhöht gleichzeitig auch das Sicherheitsrisiko. Noch komplexer wird die Incident Response, wenn mehrere Cloud-Anbieter oder unterschiedliche Lösungen von mehreren Dienstleistern im Einsatz sind. Multi-Cloud-Umgebungen sind heutzutage keine Seltenheit mehr und die vielen Services, die miteinander kommunizieren, verteilen die Verantwortung sehr weitläufig. Die mögliche Einflussnahme von Ihrem Unternehmen ist im Ernstfall dann oft sehr begrenzt.
Analyse: Zu guter Letzt und als wesentlicher Punkt bei dem Thema Incident Response, ist die Analyse. In Cloud-Umgebungen und bei Nutzung verschiedener Dienstleister für selbige, ist es oft nur bedingt möglich, Daten zu sammeln und umfangreiche Analysen zu betreiben. An viele Logs oder weiterführende Informationen kommen Sie schlichtweg gar nicht erst heran. Auch deshalb, weil der Cloud-Anbieter sich natürlich ebenfalls möglichst stark absichern möchte, solche Daten also verständlicherweise nicht einfach herausgibt. Wer nach Cyberangriffen also forensische Daten zusammentragen möchte, stößt bei Cloud-Lösungen schnell an die Grenzen des Möglichen.
Diese drei Schwierigkeiten und Risiken sind die Hauptbereiche, mit denen Sie bei einem Incident Response in der Cloud zu kämpfen haben. Hier werden dann die Limitierungen deutlich, vielleicht aber auch die Vorteile, die eine geteilte Verantwortung in der Cloud mit sich bringen kann. Gleichzeitig erschwert die Cloud schnelle Reaktionen auf Vorfälle, weil Sie in der Regel von Dritten abhängig sind, die ebenfalls erst einmal darauf reagieren müssen.
Threat Intelligence in der Cloud umsetzen
Wie eben bereits angedeutet, besteht eine große Herausforderung bei Reaktionen in der Cloud darin, die notwendigen Informationen zu sammeln. Oft stehen lediglich die IAM Logs zur Verfügung, vielmehr dann aber auch nicht. Bei Anbietern wie Microsoft werden die detaillierten Logs zudem nach 30 Tagen verworfen, was eine Reaktion und Analyse ebenfalls schwieriger gestaltet als sie sein müsste. Die Incident Response in der Cloud hat also von Anfang an, mit besonderen Herausforderungen zu kämpfen, die Sie zunächst einmal kennen und dann meistern müssen.
Threat Intelligence in der Cloud, also die Identifizierung und Analyse von Cyberattacken, ist somit ein komplexes Unterfangen. Oft fehlt es einfach an den notwendigen Informationen. Wir übernehmen diese Aufgabe dennoch und setzten dabei auf eine möglichst weitreichende Betrachtung der Cloud-Infrastrukturen und deren potenzielle Schwachstellen. Die Analyse ist dabei immer erst der Beginn des Ganzen.
Bewerten: In Form einer Analyse gilt es, die Schwere des Sicherheitsvorfalls zunächst zu bewerten. Ist der Umfang dann entsprechend festgestellt, kann kurzfristig das Ausmaß der eigenen Abwehr- oder Gegenmaßnahmen eingeplant werden.
Verstehen: Mit der Bewertung erfolgt das langsame Verständnis für den Cyberangriff. Entsprechende Tools erkennen zudem Muster, Methoden und potenzielle Angreifer. Auf diese Weise verstehen Sie den Angriff nahezu vollständig und erlangen wichtiges Wissen darüber, worauf Sie bei Ihrem weiteren Vorgehen unbedingt achten müssen.
Bekämpfen: Ist der Angriff bewertet und verstanden, kann er bekämpft werden. Nun besteht kein allzu großes Risiko mehr, dass schwerwiegende Fehler bei der Bekämpfung riskiert werden, zum Beispiel durch zu schnelles und überlegtes Handeln. Wie der Cyberangriff bekämpft wird, entscheidet der Sicherheitsexperte. Für jede mögliche Schwachstelle sollte nicht nur eine andere Strategie angewandt werden, es ist auch wichtig, dass das Netzwerk währenddessen weiterhin überwacht und analysiert wird.
Erfassen: Der Sicherheitsvorfall wurde bewertet, verstanden und erfolgreich bekämpft. Als Viertes folgt in der Regel abermals Schritt zwei, aber auf eine andere Weise. Es geht jetzt weniger um das Verstehen selbst, als vielmehr um das Erfassen aller Informationen. Während der Betrieb nun also weiterläuft und das Problem selbst bereits gebannt ist, sollte der Sicherheitsexperte alles daran setzen, die weiteren Schwachstellen und Maßnahmen zu planen. Er muss sich somit abermals durch Logs und Reportings arbeiten und sollte unbedingt versuchen, so viele Einblicke wie möglich bezüglich des Angriffs zu gewinnen. Es geht also um das Erfassen des gesamten Cyberangriffs mitsamt allen selbst umgesetzten Schritten und Maßnahmen sowie dessen Analyse.
Optimierung: Dass es zu einem Cyberangriff kommt, ist nicht weiter ungewöhnlich, sondern eher die Regel. IT-Systeme werden permanent angegriffen und nach Schwachstellen gescannt, speziell dann, wenn es sich um Cloud-Strukturen handelt, die jederzeit verfügbar sind. Kommt ein Angriff aber durch, dann stimmt etwas mit der eigenen Sicherheitsstrategie und den bislang eingesetzten Gegenmaßnahmen nicht. Auf Basis der bisherigen Schritte sollten Cloud Services daher optimiert und die Sicherheitsaspekte entscheidend verbessert werden. Das geht, weil Sie sich in den vorherigen vier Schritten sehr umfangreich mit dem Problem beschäftigt haben. Nun gilt es, die Lehren daraus zu ziehen und Zusatzmaßnahmen einzuleiten.
Wichtig bei all dem ist, dass solche Maßnahmen nie überstürzt vollzogen werden. Der typische Fehler ist, bei einem Angriff oder Hack sofort panisch herumzurennen und alle möglichen Optionen und Funktionen zu aktivieren bzw. zu deaktivieren. Doch genau das spielt Angreifern häufig in die Karten und sollte nicht Teil der Incident Response sein. Wer bedacht und vor allem auch durchdacht handelt, erreicht oft weitaus mehr.
Was ist ein Cloud Incident Response Framework?
Das Cloud Incident Response Framework, welches kurz auch als CIRF bezeichnet wird, ist eine Sammlung von Ansätzen und Methoden. Als Framework dient es dabei der Bereitstellung für eine Art von Leitfaden, um die Cloud-Infrastruktur bestmöglich schützen zu können.
Mit einem Cloud Incident Response Framework ist also ein Guide vorhanden, der die notwendigen Schritte enthält, welche im Falle des Cloud Incident Response notwendig werden. Kommt es dann zu einem akuten und kritischen Sicherheitsvorfall in der Cloud, dient das Cloud Incident Response Framework dazu, Schritt für Schritt entsprechende Maßnahmen einzuleiten.
Das Cloud Incident Response Framework ist also wirklich als Richtlinie für Zwischenfälle zu verstehen. Da im Ernstfall oft niemand genau weiß, was notwendig ist, um den Vorfall einzudämmen und entsprechend zu behandeln, hilft das Cloud Incident Response Framework hauptsächlich bei der zeitnahen Organisation. Mit diesem können dann Gegenmaßnahmen eingeleitet werden, die strukturiert ablaufen und einen gewissen Plan verfolgen, statt ohne Überlegung durchgeführt zu werden.
Wobei hilft das CIRF im Unternehmensalltag?
Das CIRF basiert auf bekannten und bewährten Praktiken des IR (Incident Response). Es enthält damit effektive Mechanismen, die bei Sicherheitsproblemen in Cloud-Umgebungen direkt und ohne weitere Fragen eingesetzt werden können. Im Grunde ist das Framework also so etwas wie eine Art von Notfallplan, der verschiedene erprobte Maßnahmen enthält, die bei einem Incident Response sofort eingesetzt werden können.
Vor allem dient es dazu, im Falles eines Vorfalls, strukturiert vorgehen zu können. Im Unternehmensalltag schafft es daher Sicherheit, indem das Framework immer als sofortige Reaktionsmöglichkeit vorliegt, sollte es zu einem unvorhergesehenen Zwischenfall kommen, der die Sicherheit in der Cloud gefährdet.
Das Framework selbst ist also ein Leitfaden, eine Anleitung und eine Sammlung von bewährten und erprobten Schritten, die bei Sicherheitsvorfällen sofort einsatzbereit sind. Unternehmen hilft es dabei, Sicherheitsvorfälle effektiv zu bewältigen und eine klare Leitlinie zu schaffen, nach der die entsprechenden Mitarbeiter vorgehen können. Das führt dazu, dass im Falle eines Problems, nicht erst darüber diskutiert werden muss, wie genau vorgegangen werden könnte. Das Framework legt dies bereits fest und gibt klare Anweisungen für den weiteren Verlauf. Eine schnelle Reaktion auf Sicherheitsvorfälle ist so kein allzu großes Problem mehr.
Bestandteile des Cloud Incident Response Framework
Doch genug der grauen Theorie. Schauen wir uns nun die Punkte an, die ein Cloud Incident Response Framework für gewöhnlich enthalten sollte. Allgemein decken sich diese natürlich mit den oberen fünf Punkten, die eine Cloud Incident Response beinhaltet. Nur eben, dass das Framework die Herangehensweise genauer festlegt und schon vorab Planungen dazu bereitstellt.
Bewerten: Im ersten Schritt der Cloud Incident Response geht es darum, das Problem umfangreich bewerten zu können. Also die Schwere des Sicherheitsvorfalls festzustellen. Im Framework geht es um Richtlinien und Verfahren, die die Reaktionsfähigkeit bei Sicherheitsvorfällen in der Cloud entsprechend stark verbessern.
Verstehen: Beim Verstehen geht es darum, den Cyberangriff als solches zu entlarven und seine Vorgehensweise nachzuvollziehen. Das Cloud Incident Response Framework sollte also Tools für die Überwachung und Erkennung von Sicherheitsvorfällen bereitstellen. Durch diese Vorbereitung ist es hinterher nicht mehr allzu schwierig, entsprechende Sicherheitsvorfälle in der Cloud umfangreich zu analysieren.
Bekämpfen: Im dritten Schritt der Incident Response wird der Angriff selbst bekämpft. Das CIRF beinhaltet in der Reaktionsphase nun wichtige Schritte, die in der eigenen Cloud-Struktur eine entsprechend tragende Rolle spielen. Welche Teile werden abgeschaltet, wann werden die Passwörter zurückgesetzt, wer wird entsprechend schnell über den Vorfall informiert und wie ist das allgemeine Vorgehen festgelegt. Durch klare Kommunikationsprozesse gibt es bei der Bekämpfung von Sicherheitsvorfällen sofort eine Linie, der alle folgen können. Entsprechend wichtig ist es, diesen Teil vom Framework auszuarbeiten und festzulegen.
Erfassen: Während des Erfassens dreht sich alles darum, den Vorfall im Nachhinein und nach erfolgreicher Bekämpfung zu verstehen. Wie konnte es dazu kommen und wie lässt sich dies in Zukunft vermeiden? Die forensische Datenerfassung und Datenanalyse spielt im Framework natürlich ebenfalls eine Rolle. Welche Schritte werden durchgeführt und wie groß soll das Verständnis am Ende ausfallen? Das Erfassen aller Begebenheiten ist wichtig, um den Sicherheitsvorfall selbst zu verstehen und nachhaltig beheben zu können. Darum geht es im nächsten Schritt.
Optimierung: Cyberangriffe kommen immer wieder vor, das gehört in der IT schlichtweg mit dazu. Wichtig ist, dass im Falle von akuten Sicherheitsvorfällen schnell und richtig reagiert wird. Das CIRF hilft dabei, die notwendigen Schritte einzuleiten. Als letzten Schritt gilt es das CIRF selbst, ebenso wie die Cloud-Infrastruktur, noch einmal entsprechend zu optimieren. Durch die Erfassung aller Daten und Fakten sollte klar sein, wie es dazu kam. Kann ein erneuerter Sicherheitsvorfall also ausgeschlossen werden? Welche Maßnahmen sind nun notwendig, um die Sicherheit der Cloud zu verbessern? Am Ende stehen Sie immer wieder am Anfang und versuchen, einen erneuten Angriff durch Optimierung Ihrer Systeme zu verhindern.
Cloud Incident Response Framework für Unternehmen
Jedes Unternehmen, welches auf die Cloud setzt, sollte über ein entsprechendes Cloud Incident Response Framework verfügen. Gerade deshalb, weil die IT-Systeme der Cloud nicht bei einem selbst liegen, sind die Maßnahmen entsprechend wichtig. Oft kommt es auf wenige Minuten der Reaktion an, die den entscheidenden Unterschied ausmachen. Die über erfolgreiche Bekämpfung oder erfolgreichen Hack entscheiden.
Mit einem Cloud Incident Response Framework sorgen Sie in Ihrem Unternehmen dafür, dass alle Schritte im Falle eines Vorfalls bestmöglich geplant wurden. Jeder weiß somit, was zu tun ist, ohne sich mit der Geschäftsführung oder seinem Vorgesetzten erst langwierig absprechen zu müssen. Auch die Kommunikation und Informationsstruktur ist mit dem CIRF geregelt, sodass jeder zum passenden Zeitpunkt über den Sicherheitsvorfall Bescheid weiß, aber dennoch nichts voreilig geschieht.