Es ist wieder so weit! Der AWS Summit Berlin, die alljährliche Konferenz von Amazon Web Services, findet bald statt. Und im Laufe der zwei Tage werden sicherlich wieder zahlreiche neue Cloud-Sicherheitsinnovationen vorgestellt. Wir von Rapid7 werden auch selbst eine spannende neue Funktion vorstellen – die Anomalieerkennung für die Cloud.
Die Anomalieerkennung für die Cloud, die jetzt im Early Access für Rapid7-Kunden verfügbar ist, ermöglicht es Sicherheitsteams, unbekannte Bedrohungen in ihren Cloud-Umgebungen zu erkennen, die von herkömmlichen regelbasierten Erkennungen nicht erfasst werden. Und das mit größerer Präzision, um übermäßiges Rauschen und falsch positive Ergebnisse zu vermeiden.
Aufgrund der hohen Dynamik und Komplexität der Cloud stellt die Erkennung bösartiger Aktivitäten in Cloud-Umgebungen eine enorme Herausforderung für die Cybersicherheit dar. Da die Cloud-Infrastruktur dynamisch ist und sich die virtuellen Assets ständig ändern, lassen sich Bedrohungen nur schwer lokalisieren und wirksam bekämpfen. Durch die komplexen Cloud-Konfigurationen, die Unbeständigkeit der Assets und die riesigen Datenmengen können bösartige Aktivitäten verborgen bleiben, wodurch erweiterte Monitoring- und Analyse-Tools erforderlich werden.
Die einzigartige Bedrohungslandschaft in der Cloud, die unterschiedliche Dynamik bei der Erkennung und Reaktion im Vergleich zu traditionellen IT-Umgebungen und die Vielzahl der beteiligten Akteure verkomplizieren die Sicherheitslandschaft zusätzlich. Untersuchungen von Cloud-Vorfällen werden oft durch einen ineffizienten Datenzugriff und mangelnden Kontext für betroffene Cloud-Assets erschwert. Diese Komplexität in Verbindung mit dem Fachkräftemangel und der fortschreitenden Umstellung auf Cloud-Technologien bedeutet, dass die Sicherheit in der Cloud eine besondere Herausforderung darstellt.
Kunden von Rapid7 profitieren bereits seit einiger Zeit von der Möglichkeit, native Bedrohungsmeldungen von Cloud-Anbietern aufzunehmen und an einem einzigen Ort zu konsolidieren. Die Anomalieerkennung für die Cloud repräsentiert eine bedeutende Weiterentwicklung der nativen Erkennung von Bedrohungen durch die geschützte KI-Erkennungs-Engine von Rapid7 zur Analyse von API-Aktivitäten auf der Steuerungsebene und zum Aufdecken von anomalem Verhalten in den Cloud-Umgebungen der Kunden. In Kombination mit einem tiefgreifenden Verständnis der Umgebung in Echtzeit können Sicherheitsteams dank der Plattform schnell und mit dem nötigen Kontext auf Bedrohungen reagieren, um die Grundursache und die potenziellen Auswirkungen zu ermitteln.
Eine der Herausforderungen, die sich bei der Erkennung von anomalem Benutzer- und Entitätsverhalten immer wieder stellt, ist das oft erhebliche Rauschen, das mit einer Flut von Falschmeldungen einhergeht. Das liegt größtenteils an der Komplexität und dem raschen Wandel, wie oben bereits beschrieben. Aber nicht nur die allgemeine Zusammensetzung der Umgebung ändert sich ständig, sondern auch die Art und Weise, wie Benutzer und Services miteinander interagieren. Die Sicherheitsteams müssen oft abwägen, ob sie ein weites Netz auswerfen und damit unvermeidlich harmlose Aktivitäten aufdecken, oder ob sie weiter eingrenzen und damit riskieren, dass tatsächlich bösartige Aktivitäten unentdeckt bleiben.
Die Anomalieerkennung für die Cloud von Rapid7 verknüpft sich ganz ohne die Hilfe eines Agenten mit Ihrer Cloud-Umgebung, um die API-Aktivitäten durch die Analyse von Audit-Protokollen zu überwachen und ein Aktivitätsprofil für jeden Cloud-Principal zu erstellen, also z. B. für Benutzer, Maschinen, Speicher-Buckets und mehr. Die Besonderheit dieser Engine ist ihre Fähigkeit, automatisch nach Verhaltensanomalien zu suchen und potenzielle Risiken innerhalb von weniger als 10 Minuten auf Basis von historischen Daten zu priorisieren. Die Engine ist außerdem so kalibriert, dass die Zahl der Falschmeldungen reduziert wird. Dazu konzentriert sie sich auf die Erkennung bösartiger Aktivitäten, ohne sich auf bestimmte vorkonfigurierte Angriffsindikatoren zu verlassen. Außerdem berücksichtigt sie den Kontext verdächtiger Aktivitäten unter Einbeziehung der letzten Aktionen desselben Principals und passt sich automatisch an Änderungen der allgemeinen Aktivitätsprofile und der Cloud-Umgebung an.
Bei Gesprächen mit SOC-Analysten wurde dem Rapid7-Team schon früh im Entwicklungsprozess klar, dass die Erkennung und Abwehr von Bedrohungen in die bestehenden Workflows der Teams integriert werden sollte, darunter auch in die SIEM/XDR-Tools, die von den SOC-Teams intensiv genutzt werden und in die sie bereits erheblich investiert hatten. Die Integration der Erkennung von Cloud-Bedrohungen, darunter sowohl native als auch Lösungen von Drittanbietern, in Ihre aktuellen SOC-Workflows beinhaltet, dass die Erkenntnisse über Cloud-Bedrohungen selbst sowie der Kontext, der zur Anreicherung dieser Erkenntnisse mit allen relevanten Details zur Umgebung erforderlich ist, über eine API zugänglich gemacht werden, damit sie leicht in SIEM/XDR-Tools eingespeist werden können.
Deshalb haben wir dafür gesorgt, dass die Teams die erkannten Anomalien aus der Cloud auf einfache Weise über eine API an die Tools senden können, die sie jetzt schon verwenden. Die Anfang des Jahres veröffentlichte API zur Anreicherung des Cloud-Kontextes bietet eine Vielzahl von Daten zu Cloud-Attributen, Einblicken, Fehlkonfigurationen, Schwachstellen, Risiken und mehr, um den Untersuchungsprozess zu beschleunigen und die Effizienz der Sicherheitsmaßnahmen zu erhöhen. Dank der Kombination aus der Anomalieerkennung für die Cloud und der Anreicherung des Cloud-Kontextes verfügen SOC-Teams nun über die Tools, die sie benötigen, um die Cloud einfach in ihre bestehenden Workflows für die Erkennung und Abwehr einzubinden.
Wenn Sie auch auf der AWS Berlin sind, schauen Sie unbedingt am Stand #G09 vorbei. Alternativ können Sie sich über unsere anderen anstehenden Veranstaltungen informieren.