Cloud Threat Protection erfolgreich umsetzen: Selbstschutz ist gefragt

Neben den genehmigten müssen auch alle anderen im Unternehmen genutzten Dienste überwacht werden. Wenn eine Bedrohung ihre Aktivitäten auf mehrere Cloud-Dienste verteilt, sehen die Vorgänge in jedem einzelnen Dienst nach Routine aus. Erst wenn man die Vorgänge in den verschiedenen Cloud-Services in Beziehung zueinander bringt, taucht ein Muster auf, das auf eine Gefahr hinweist.

Unternehmen sollten außerdem die Vorteile nutzen, die sich aus der Kombination vorhandener Lösungen für SIEM sowie Security Operations Center (SOC) mit dem Cloud-Schutz ergeben. Alle Cloud-Vorkommnisse sollten über einen standardisierten Feed in Echtzeit in die existierenden Lösungen einfließen. Dann können Sicherheitsexperten zwischen Unregelmäßigkeiten in der Cloud und On-Premises eine Beziehung herstellen und gleichzeitig die Reaktionsmechanismen bei Sicherheitsvorfällen in der Cloud in die Arbeitsabläufe ihrer SIEMs und SOCs einbinden.

Schließlich reicht es für einen umfassenden Schutz nicht aus, nur eine einzige Datenquelle wie die Cloud-Nutzung zu analysieren. Stattdessen sollten Unternehmen weitere Informationen einholen und im Zusammenhang zueinander betrachten. Dazu gehört es zum Beispiel zu klären, ob ein Nutzer sich über einen anonymisierenden Proxy einwählt, ob er eine Tor-Verbindung nutzt, oder ob die genutzten Kontodaten im Darknet zum Verkauf stehen.

In der IT herrscht die Faustregel: Schutzsysteme sollten immer so viele Vorfälle melden, wie das Security-Team maximal abarbeiten kann. Dazu können Grenzwerte für Bedrohungen erhöht oder auf einer sogenannte White List vertrauenswürdige Nutzer als erlaubte Ausnahmen aufgeführt werden. Dadurch wird die IT-Sicherheit nicht mehr von Fehlalarmen überschwemmt und sie kann sich auf die tatsächlichen Gefahren konzentrieren.