Sicherheit im Multi-Cloud-Management mit KI
Autor/Redakteur: Martin Zeitler, Director Systems Engineering bei Palo Alto Networks/gg
Das Sicherheitsmanagement mit Cloud-Geschwindigkeit erfordert es, den sich ständig ändernden Infrastrukturen und vergrößerten Bedrohungsflächen agil und flexibel zu begegnen. Im Bereich der Cyber- und Cloudsicherheit spielt KI mittlerweile eine entscheidende Rolle.
Die Angriffsfläche der Cloud ist so dynamisch wie die Cloud selbst. Da Unternehmen auf der ganzen Welt zunehmend Daten parallel in mehreren Clouds teilen, speichern und verwalten, vergrößert sich die Angriffsfläche exponentiell. Für Angreifer stellt jeder Workload in der Cloud eine neue Chance dar. Ohne effektives, aufgrund der Komplexität aber auch effizientes Sicherheitsmanagement sind Unternehmen, die auf Multi-Cloud-Nutzung setzen, vielfältigen Risiken ausgesetzt.
Studie: Angreifer nutzen gängige Fehler in der Cloud aus
Frühere Studien rund um die Cloud-Sicherheit konzentrierten sich auf einzelne Bedrohungen, wie etwa Identitätszugriffsmanagement, Angriffe auf die Lieferkette und Containersicherheit. Der Unit 42 Cloud Threat Report Volume 7 geht auf ein größeres, umfassenderes Problem ein: Angreifer sind geschickt darin geworden, gängige, alltägliche Fehler in der Cloud auszunutzen. Zu diesen Problemen gehören Fehlkonfigurationen, schwache Zugangsdaten, fehlende Authentifizierung, nicht gepatchte Schwachstellen und bösartige Open-Source-Software-Pakete (OSS). Auf der Grundlage umfangreicher Daten aus dem Jahr 2022 untersuchte die Studie reale Sicherheitsverletzungen, von denen mittlere und große Unternehmen betroffen waren. Sie beschreibt die Probleme, die in Tausenden von Multi-Cloud-Umgebungen beobachtet wurden, und analysiert die Auswirkungen von OSS-Schwachstellen auf die Cloud. Das Forschungsteam von Palo Alto Networks hat hierzu die Workloads in 210.000 Cloud-Konten von 1.300 Unternehmen analysiert. Da viele Unternehmen inzwischen mehrere Cloud-Implementierungen haben, geraten die Sicherheitslücken immer stärker ins Visier der Angreifer.
Der Bericht enthält eine Aufschlüsselung von zwei realen Fällen von Cloud-Angriffen, die das Forschungsteam im Jahr 2022 beobachtet hat. Die Forscher zeigen auf, wie Angreifer sensible Daten, die im Dark Web aufgetaucht sind und durch Ransomware verursachte Geschäftsunterbrechungen für finanzielle Zwecke ausnutzten. Die Folgen sind mehr als kritisch für die Sicherheit und damit Geschäftskontinuität der befragten mittleren und großen Unternehmen. So benötigen Sicherheitsteams im Schnitt etwa sechs Tage, um eine Sicherheitsmeldung zu beheben. 60 Prozent der Unternehmen brauchen länger als vier Tage, um Sicherheitsprobleme zu lösen. In den Cloud-Umgebungen der meisten Unternehmen werden dabei 80 Prozent der Alarme durch nur fünf Prozent der Sicherheitsregeln ausgelöst. 63 Prozent der Codebases in der Produktion haben nicht gepatchte Schwachstellen, die als hoch oder kritisch eingestuft sind (CVSS >= 7.0). 76 Prozent der Unternehmen setzen keine MFA für Konsolenbenutzer durch, während 58 Prozent der Unternehmen keine MFA für Root-/Admin-Benutzer durchsetzen.
Während Benutzerfehler wie unsichere Konfigurationen nach wie vor das Hauptproblem darstellen, haben die Forscher von Unit 42 auch Probleme festgestellt, die von den gebrauchsfertigen Templates und Standardkonfigurationen herrühren, die von Cloud-Serviceprovidern (CSPs) bereitgestellt werden. Diese Einstellungen und Funktionen sind zwar bequem und erleichtern die Einführung neuer Technologien, versetzen die Benutzer jedoch nicht in den sichersten Ausgangszustand. So setzen 76 Prozent der Unternehmen keine MFA für Konsolenbenutzer durch. In 63 Prozent der öffentlich zugänglichen Storage-Buckets haben die Sicherheitsexperten sensible Daten gefunden.
Integrierter Plattformansatz für SASE unterstützt bessere Sicherheit
Angesichts des Trends zur Multi-Cloud ist ein ganzheitlicher Ansatz gefragt, der es Unternehmen ermöglicht, ihre Sicherheits- und Netzwerkinfrastruktur zu erweitern und gleichzeitig die Benutzerfreundlichkeit deutlich zu verbessern. Eine integrierte Plattform für SASE (Secure Access Service Edge) unterstützt bessere Sicherheitsergebnisse, reduziert die betriebliche Komplexität und nutzt die Möglichkeiten von KI/ML zum Teilen von Daten über eine einheitliche Plattform. Im Gegensatz dazu erhöht ein Ansatz, bei dem Produkte verschiedener Anbieter umständlich zusammengefügt werden, nur die Komplexität. Dies macht es schwierig, proaktiv zu handeln oder Probleme zu isolieren.
Zeitgemäße SASE-Funktionen helfen Unternehmen dabei, die kostspielige und komplexe Multi-Cloud-Verwaltung zu automatisieren. Hier kommt neuerdings KI-gestütztes Autonomous Digital Experience Management (ADEM) zum Einsatz. Zweigstellen und hybride Mitarbeiter lassen sich zudem mit SD-WAN der nächsten Generation sicher anbinden und vernetzen. ZTNA 2.0 – als weiterentwickelte, konsequente Form von Zero Trust Network Access – und Cloud SWG (Secure Web Gateway) ermöglichen es schließlich, die Belegschaft über mehrere Clouds und Standorte hinweg sicher zu verbinden und zu schützen. Durch die Konsolidierung von unverzichtbaren Komponenten in einem einzigen Cloud-Service lassen sich dabei ein höheres Sicherheitsniveau und ein höherer Nutzwert erzielen.
Eine AIOps-Lösung, die nativ in SASE mit den bestehenden Observability-Funktionen integriert ist, ermöglicht es im Rahmen der ADEM-Nutzung komplexe Managementprozesse zu automatisieren und die Mean Time to Resolution (MTTR) zu reduzieren. Wenn ADEM in SASE integriert ist, sind zudem keine zusätzlichen Appliances oder Agenten erforderlich.
IT-Teams stehen somit KI-basierte Problemerkennung und prädiktive Analysen zur Verfügung, um Probleme, die zu Serviceunterbrechungen führen können, proaktiv zu beheben. Darüber hinaus können sich Sicherheitsverantwortliche in einem einzigen Dashboard einen ganzheitlichen Überblick über den Zustand ihrer Endpunkte, Anwendungen, Netzwerke und Sicherheitsrichtlinien verschaffen. Mit einer benutzerfreundlichen Abfrageschnittstelle lassen sich die Probleme schnell eingrenzen. Eine native Integration mit IT-Servicemanagement-Lösungen automatisiert im Idealfall den durchgängigen Incident-Management-Prozess.
SD-WAN-Sicherheit für die Multi-Cloud
Zweigstellen waren noch nie so digitalisiert und hypervernetzt wie heute. Eine SD-WAN-Komponente ist ein Schlüsselelement für jede SASE-Bereitstellung. Sie bietet KI-gestützte und segmentweise Einblicke sowie eine permanente Überwachung des Netzwerks und der Anwendungen zugunsten einer proaktiven Problemlösung. Mit einem umfassenden Command-Center-Dashboard erhält die IT-Abteilung Einblick in die unternehmensweite Anwendungserfahrung und den Zustand der Anwendungen, was eine schnellere Ursachenanalyse ermöglicht.
Durch die integrierte IoT-Sicherheit können vorhandene SD-WAN-Appliances zur Sicherung von IoT-Geräten beitragen. Dies ermöglicht eine genaue Erkennung und Identifizierung von IoT-Geräten in Niederlassungen. Unternehmen sind damit in der Lage, robuste Sicherheitskontrollen aus dem vertrauten Cloud-Management für SASE zu nutzen. Bei herkömmlichen SD-WAN-Lösungen sind hingegen zusätzliche Appliances und Sensoren im Netzwerk erforderlich, um IoT-Geräte zu erkennen und Bedrohungen zu verhindern. Ein On-Premises-Controller für SD-WAN hilft dabei, branchenspezifische Sicherheitsanforderungen zu erfüllen, um SD-WAN-Implementierungen zu kontrollieren und zu verwalten.
Cloud Secure Web Gateway (SWG) für Sicherheit aus der Cloud
Prisma Access Cloud SWG verwendet Advanced URL Filtering von Palo Alto Networks, um die branchenweit einzige Echtzeit-Prävention von unbekannten und hochgradig gefährlichen Man-in-the-Middle (MitM) Phishing-Angriffen zu bieten. Ein modernes Cloud Secure Web Gateway (SWG) mit agentenbasierter expliziter Proxy-Unterstützung und neuartiger Phishing-Erkennung ermöglicht es Unternehmen mit proxybasierten Architekturen, von der Sicherheit aus der Cloud zu profitieren, und erlaubt gleichzeitig die Koexistenz mit VPN-Agenten (Virtual Private Network) von Drittanbietern. Angesichts der zunehmenden Raffinesse und des Ausmaßes moderner Web-Angriffe ist ein SWG den Angreifern immer einen Schritt voraus, um Unternehmen mittels KI/ML-gestützter Erkennungsfunktionen zu schützen.
Den Angreifern einen Schritt voraus sein
Unternehmen sollten damit rechnen, dass die Angriffsfläche für Cloud-native Anwendungen weiter zunimmt. Angreifer finden immer kreativere Wege, um die Fehlkonfiguration von Cloud-Infrastrukturen, APIs und der Software-Lieferkette selbst anzugreifen. Um sich vor diesen Bedrohungen zu schützen, gilt es die Lücken in der Cloud-Sicherheit zu schließen. Die einzige Möglichkeit, um sich gegen die sich verändernde Reichweite und Schwere der heutigen Sicherheitsbedrohungen zu verteidigen, besteht darin, den Angreifern immer einen Schritt voraus zu sein.