Was ist Cloud Risk Management? 

Das Cloud Risk Management(CRM) dient der Verwaltung und Priorisierung von Risiken sowie dem Ergreifen von Maßnahmen in umfangreichen, modernen Multi-Cloud-Umgebungen. Entscheidend für die Priorisierung ist dabei der Kontext, also ein Verständnis der potenziellen Auswirkungen eines bestimmten Risikos und der Wahrscheinlichkeit seiner Ausnutzung.

CRM kann wie der Cloud-Betrieb selbst ein schwer zu greifendes und schwer zu verstehendes Konzept sein. Grundsätzlich sollten Sie jedoch mit einer einzigen CRM-Lösung nicht nur Ihre gesamten On-Premise-Anwendungen, sondern auch hochgradig kurzlebige, Cloud-native Anwendungen sichern können. Diese Lösung zu finden ist nicht einfach, aber angesichts der risikoreichen Arbeitsabläufe und Umgebungen von heute ist der Bedarf dafür groß.

Cloud-Risiko vs. On-Premise-Risiko

Bei einer kürzlich durchgeführten Umfrage glaubte über die Hälfte der Befragten, dass die Risiken beim Cloud-Betrieb höher als beim On-Premise-Betrieb sind. Daher lässt sich der große Bedarf an CRM leicht nachvollziehen. Dabei kristallisierten sich fünf Hauptrisikobereiche heraus: Laufzeit, Identitätsverwaltung, das Potenzial für Fehlkonfigurationen, nicht behobene Schwachstellen und Audits.

In jedem dieser Bereiche finden sich Mitarbeiter und Systeme, die eng miteinander zusammenarbeiten müssen, um produktiv zu bleiben – und das oft in einem hohen Tempo. Eine einzige Fehlkommunikation oder -konfiguration kann zu Risiken führen, die Analysten oder Entwickler möglicherweise nicht einmal bemerken, bevor es zu spät ist. Ja, die Verwaltung von Risiken in der Cloud ist eine sehr komplexe Angelegenheit, aber es gibt Frameworks, mit denen SOC-Teams (Security Operations Center) die Risiken untersuchen, beseitigen und reduzieren können.

Wie kann das Risiko in der Cloud bewertet werden? 

Zuerst müssen Sie bestimmen, wer für die Sicherheit und das Risikomanagement in der Cloud verantwortlich ist: Sie oder Ihr Cloud-Service-Provider (CSP)? Das Modell der geteilten Verantwortung (Shared Responsibility Model, SRM) sieht vor, dass CSPs in der Regel für das Risikomanagement der zugrunde liegenden Cloud-Infrastruktur verantwortlich sind, auf der Ihre Geschäftsabläufe ausgeführt werden.

Interne Sicherheitsteams sind in der Regel für die Sicherheit dieser Abläufe in der Cloud verantwortlich, sie müssen also sicherstellen, dass ihre eigenen Daten – und die Daten ihrer Kunden – angemessen geschützt sind. Nachdem ein Team seine Verantwortlichkeiten bestimmt hat und genau weiß, was es unter die Lupe nehmen muss, gilt es zu bedenken, dass die Bewertung in Echtzeit erfolgen muss.

4 Schritte zur Analyse von Cloud-Risiken

 

  1. Identifizierung von Assets: Welche Cloud-Assets hätten die größten Auswirkungen auf Ihr Unternehmen, wenn deren Vertraulichkeit, Integrität oder Verfügbarkeit gefährdet wäre?
  2. Identifizierung von Bedrohungen: Was sind mögliche Ursachen dafür, dass Assets oder Daten gefährdet werden? Die Modellierung von Bedrohungen ist eine wichtige Aktivität, die für mehr Kontext sorgt. Hierbei werden Risiken mit bekannten Bedrohungen und Schwachstellen sowie den verschiedenen Möglichkeiten, wie Bedrohungen Risiken ausnutzen und den gesamten Betrieb eines Unternehmens stören können, verknüpft.
  3. Priorisierung von Risiken: In der Regel werden in den ersten beiden Schritten Berichte erstellt und verteilt, sodass der Kontext in dieser Phase berücksichtigt werden kann. Die wichtigsten Kriterien, die man bei der Hinzufügung von Kontext berücksichtigen muss, sind die Kenntnis der bestehenden Bedrohungslandschaft und die Berücksichtigung der möglichen Entwicklung von Bedrohungen.
  4. Aktiv werden: Jetzt ist es an der Zeit, Abhilfemaßnahmen zu ergreifen, z. B. durch die Installation eines Patches für eine Schwachstelle, die Einrichtung einer Firewall-Regel oder die Einführung und Aktualisierung von Protokollen für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM).

Best Practices zum Management von Risiken in der Cloud

Entscheiden Sie sich für einen angesehenen Cloud-Service-Anbieter

Es ist wichtig, dass Sie sich für einen CSP entscheiden, der nicht nur seinen Teil des SRM einhält, sondern auch über mehrjährige Erfahrung, solide Standards in Bezug auf Regulierung und Compliance, eine konstante Performance über einen längeren Zeitraum verfügt und dessen Services/Architekturen eng auf Ihre Bedürfnisse abgestimmt sind. Außerdem muss ein Sicherheitsteam sicherstellen, dass sich seine Scan-Tools in den Workflow integrieren lassen, den Sie auf der CSP-Plattform definieren.

Die Cloud ist schnelllebig, und Risiken werden in der Regel innerhalb von zwei Minuten nach der ersten Gefährdung ausgenutzt. Deshalb sollten Sie jederzeit in der Lage sein, in Echtzeit Einsicht in Ihre Umgebung zu nehmen, statt auf einen geplanten Scan warten zu müssen.

Führen Sie eine gründliche Risikobewertung durch 

Sie sollten regelmäßig Risikoanalysen anhand der im vorherigen Abschnitt beschriebenen Schritte durchführen. Die aus den ersten beiden Schritten gewonnenen Daten unterliegen jedoch immer noch der durch den Umfang, die Geschwindigkeit und die Komplexität von Cloud-Umgebungen bedingten Realität, in der die schiere Menge an Risikosignalen und -warnungen bedeutet, dass Sie unmöglich alles auf einmal angehen können.

Deshalb müssen unbedingt diejenigen Risikosignale priorisiert werden, die das größte Risiko für das Unternehmen darstellen und am wahrscheinlichsten ausgenutzt werden können. Dies muss in Echtzeit und unter Einbeziehung des gesamten Kontexts geschehen, da das Risikosignal allein nicht ausreichend Details für Maßnahmen liefern kann.

Überwachung auf Anomalien

Erweitern Sie den Erfassungsbereich auf die Laufzeit und überwachen Sie anormale Aktivitäten auf der Grundlage einer festgelegten Basislinie, wie "normal" aussieht.Indem Sie anormales Verhalten – und damit potenzielle Bedrohungen – bereits während der Laufzeit erkennen, können Sie Verhaltensweisen über mehrere protokollierte Aktivitäten hinweg korrelieren. Entscheiden Sie sich daher für eine Lösung, die Bedrohungserkennungen während der Laufzeit konsolidieren und Kontext liefern kann, indem sie die Ergebnisse der betroffenen Cloud-Ressource zuordnet.

Befunde und Zusammenhänge bedeuten jedoch nichts, wenn keiner auf Anomalien aufmerksam gemacht wird. Deshalb sollten Benachrichtigungen und Alarme so kalibriert werden, dass sie an bestimmte Personen gerichtet werden, die das Problem am schnellsten beheben können.

Verschlüsselung von Daten bei der Übertragung und im Ruhezustand 

Daten sind in jedem Zustand sensibel, daher ist es wichtig, Risikomanagement-Tools so früh wie möglich im Entwicklungsprozess zu implementieren. Dies kann dazu beitragen, Reibungsverluste zwischen Teams zu vermeiden, aber auch Daten während wichtiger Build- und Laufzeitprozesse kontinuierlich zu schützen. Daten sollten im Ruhezustand standardmäßig immer verschlüsselt werden.

Damit die Daten jederzeit geschützt sind, empfiehlt es sich, auch ein Protokoll für den Zugriff nach dem Least-Privilege-Prinzip (LPA) einzurichten. So lässt sich festlegen, wie viel Zugriff eine Person oder eine Maschine für ihre Arbeit mindestens benötigt, während die Daten gleichzeitig während ihres gesamten Lebenszyklus geschützt werden.

Geschäftskontinuität beim Cloud Risk Management

Ein schwerwiegender Sicherheitsvorfall in der Cloud bedeutet, dass das Unternehmen nicht wie gewohnt weiterarbeiten kann. Der Geschäftsbetrieb kann und sollte aber auf jeden Fall im Rahmen des Möglichen fortgesetzt werden. Deshalb ist es wichtig, für einen derartigen Vorfall einen Plan für die Geschäftskontinuität zur Hand zu haben. Dieser Plan kann unter anderem folgende Schlüsselkomponenten beinhalten: 

  • Disaster Recovery: Hier muss ein SOC den normalen Geschäftsbetrieb wiederherstellen. Wenn Stakeholdern und Analysten keine Daten zur Verfügung gestellt werden können, muss ein Plan für eine schnelle Wiederherstellung existieren. Eine Dokumentation ist für die Notfallplanung von entscheidender Bedeutung, damit die Teams nachvollziehen können, was zu Ihrem Backup-System gehört und was nicht. Es ist sehr kostspielig, ein vollständiges Systemreplikat aufrechtzuerhalten, weshalb ein Disaster-Recovery-Plan möglicherweise nur eine teilweise Wiederherstellung vorsieht.
  • Sicherungs- und Wiederherstellungsverfahren: Eine automatisierte Offline-Sicherung kann dazu beitragen, eine reibungslose Wiederherstellung nach einem zerstörerischen Viren- oder Ransomware-Angriff zu ermöglichen. Der Schlüssel liegt hier darin, geplante Sicherungen zu haben, die für Wiederherstellungsvorgänge verwendet werden können. Veraltete Backups sind weniger wertvoll als aktuelle – aber besser als nichts – und Backups, die nicht ordnungsgemäß wiederhergestellt werden, sind wertlos. Niemand möchte sich auf stressiges, hektisches Durcheinander und kostspielige Ausfallzeiten/Datenverluste einlassen.
  • Incident-Responde-Planung: Ein solcher Plan zur Abwehr von Vorfällen sollte die Zustimmung der wichtigsten Stakeholder, klar definierte Rollen, Zuständigkeiten und Prozesse sowie die Technologien und Partnerschaften für schnelles Handeln beinhalten. Wenn eine Anomalie entdeckt wird oder ein Verstoß auftritt, lohnt es sich auf jeden Fall zu wissen, welche Schritte von wem unternommen werden müssen.

    Der vielleicht wichtigste Aspekt der Geschäftskontinuität ist die Berichterstattung und Kommunikation des Risikos an alle Stakeholder im Unternehmen, und zwar sowohl entlang der hierarchischen Kette bis zur Führungsebene als auch auf horizontaler Ebene an andere Teams.

Erfahren Sie mehr über Cloud-Risikomanagement

2022 Cloud Misconfigurations Report: Neueste Cloud Security-Verstöße und Angriffstrends

Erfahren Sie mehr über die Cloud-Risikomanagementlösung von Rapid7

Cloud-Sicherheit: Neueste Nachrichten aus dem Blog