{"id":11186,"date":"2017-06-13T12:29:18","date_gmt":"2017-06-13T10:29:18","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11186"},"modified":"2017-06-08T12:33:57","modified_gmt":"2017-06-08T10:33:57","slug":"cloud-threat-protection-erfolgreich-umsetzen-selbstschutz-ist-gefragt","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11186","title":{"rendered":"Cloud Threat Protection erfolgreich umsetzen: Selbstschutz ist gefragt"},"content":{"rendered":"

Autor\/Redakteur: Daniel Wolf, Regional Director DACH bei Skyhigh Networks<\/a>\/gg<\/p>\n

Wer Cloud-Dienste nutzt, ben\u00f6tigt dringend passende Sicherheitsl\u00f6sungen. Aber auch deren richtiger Einsatz will gelernt sein. Die gro\u00dfen Anbieter von Cloud-Diensten, etwa Salesforce, Box, Microsoft und Amazon, investieren viel, um die jeweilige Anwendung sowie die zugrundeliegende Infrastruktur abzusichern. Sie sch\u00fctzen ihre Systeme vor Eindringlingen und Angriffen. Dennoch: 100-prozentigen Schutz garantieren sie nicht. Sie setzen auf das sogenannte Shared-Responsibility-Modell. Darin ist der Anwender ebenso verantwortlich, seinen Cloud-Einsatz einschlie\u00dflich seiner Daten selbst abzusichern. Dazu geh\u00f6rt es beispielsweise festzulegen, wie der Cloud-Dienst genutzt werden darf, wer Zugriff zu den Daten hat und wer was mit wem teilt.<\/p>\n

<\/p>\n

Unternehmen stellen jedoch h\u00e4ufig fest, dass ihre Sicherheitsl\u00f6sungen aus der On-Premises-Infrastruktur nicht ausreichen, um Bedrohungen in Cloud-Umgebungen l\u00fcckenlos aufzusp\u00fcren. Das liegt unter anderem daran, dass L\u00f6sungen f\u00fcr Security Information and Event Management (SIEM) beispielsweise auf heuristischen Regeln basieren und sich ohne menschliches Zutun nicht weiterentwickeln. Das Nutzerverhalten ver\u00e4ndert sich dagegen mit der Zeit, zus\u00e4tzliche Cloud-Dienste werden eingesetzt und neue Angriffsmuster tauchen auf.<\/p>\n

Ohne einen speziellen Cloud-Schutz setzen sich Unternehmen deshalb einer Vielzahl von Gefahren aus. B\u00f6swillige oder unvorsichtige Mitarbeiter k\u00f6nnen Daten von einem genehmigten Cloud-Dienst herunter- und in einen nicht genehmigten, unsicheren Filesharing-Dienst wieder hochladen. Ohne die richtigen Ma\u00dfnahmen k\u00f6nnen Angestellte Daten auch auf ihre privaten Ger\u00e4te herunterladen oder an Dritte weiterleiten, wodurch sie letztendlich nicht mehr unter der Kontrolle des Unternehmens stehen. Eine weitere Gefahr f\u00fcr Firmendaten entsteht, wenn Nutzer mit Administratoren-Rechten die Sicherheitseinstellungen der Cloud-Dienste abschw\u00e4chen. Befindet sich Malware auf einem Computer, kann sie gestohlene Daten \u00fcber einen nicht \u00fcberwachten Cloud-Service aus dem Unternehmen herausschmuggeln.<\/p>\n

\"\"<\/a>
Eine wirkungsvolle L\u00f6sung f\u00fcr Cloud Threat Protection zeigt dem Adminsitrator per \u00dcbersicht alle Cloud-Vorkommnisse direkt an (Quelle: Skyhigh Networks)<\/figcaption><\/figure>\n

Wirkungsvolle L\u00f6sungen f\u00fcr Cloud Threat Protection ben\u00f6tigen zentrale Eigenschaften. Dazu geh\u00f6ren in erster Linie User and Entity Behavior Analytics (UEBA) \u2013 also Analysen des Nutzerverhaltens \u2013 sowie Algorithmen f\u00fcr maschinelles Lernen. Damit k\u00f6nnen sie Verhaltensmodelle f\u00fcr Cloud-Nutzer entwickeln und ungew\u00f6hnliche Vorg\u00e4nge, die auf eine Bedrohung hindeuten, erkennen. Dazu sollten sie \u00fcber einzelne Cloud-Dienste hinweg Bedrohungen einsehen k\u00f6nnen, selbstlernend sein, sich also ohne menschliche Vorgaben weiterentwickeln und Nutzungsdaten auf ein mathematisches Modell herunterbrechen k\u00f6nnen. Sie m\u00fcssen zudem Nutzer nach ihren Verhaltensweisen gruppieren und Aufmerksamkeit auf ausgepr\u00e4gtes Nutzungsverhalten zu bestimmten Zeiten aufgegliedert nach Uhrzeit, Tag, Woche und Monat legen k\u00f6nnen.<\/p>\n

Das Potenzial voll aussch\u00f6pfen<\/strong><\/p>\n

Aber auch die beste L\u00f6sung f\u00fcr Cloud Threat Protection kann nur funktionieren, wenn Unternehmen sie richtig einsetzen. Ohne Erfahrungswerte lassen sich detaillierte Regeln mit Schwellen, deren Kontext unbekannt ist, manuell nur sehr schwierig festlegen. Daher sollte zun\u00e4chst eine selbstlernende Software auf eigene Faust das Nutzerverhalten analysieren und automatisiert Bedrohungen erkennen. Sp\u00e4ter l\u00e4sst sich das System verbessern und verfeinern, indem man ihm Feedback gibt und so die Zahl an Fehlalarmen verringert.<\/p>\n

Dar\u00fcber hinaus k\u00f6nnen einzelne, scheinbar unbedeutende Unregelm\u00e4\u00dfigkeiten in Kombination auf eine mehrdimensionale Gefahr hinweisen. Wenn sich etwa ein Nutzer von einer neuen IP-Adresse aus einloggt, mehr Daten als sonst herunterl\u00e4dt oder die Sicherheitseinstellungen in einer Anwendung \u00e4ndert, dann sind das unabh\u00e4ngig voneinander keine ungew\u00f6hnlichen Vorg\u00e4nge. Treten sie jedoch alle auf einmal auf, deuten sie auf einen Sicherheitsvorfall hin.<\/p>\n

<\/p>\n

Neben den genehmigten m\u00fcssen auch alle anderen im Unternehmen genutzten Dienste \u00fcberwacht werden. Wenn eine Bedrohung ihre Aktivit\u00e4ten auf mehrere Cloud-Dienste verteilt, sehen die Vorg\u00e4nge in jedem einzelnen Dienst nach Routine aus. Erst wenn man die Vorg\u00e4nge in den verschiedenen Cloud-Services in Beziehung zueinander bringt, taucht ein Muster auf, das auf eine Gefahr hinweist.<\/p>\n

\"\"<\/a>
Beinahe 20 Prozent der hochgeladenen Dateien in der Cloud enthalten sensible Daten (Quelle: Skyhigh Networks)<\/figcaption><\/figure>\n

Unternehmen sollten au\u00dferdem die Vorteile nutzen, die sich aus der Kombination vorhandener L\u00f6sungen f\u00fcr SIEM sowie Security Operations Center (SOC) mit dem Cloud-Schutz ergeben. Alle Cloud-Vorkommnisse sollten \u00fcber einen standardisierten Feed in Echtzeit in die existierenden L\u00f6sungen einflie\u00dfen. Dann k\u00f6nnen Sicherheitsexperten zwischen Unregelm\u00e4\u00dfigkeiten in der Cloud und On-Premises eine Beziehung herstellen und gleichzeitig die Reaktionsmechanismen bei Sicherheitsvorf\u00e4llen in der Cloud in die Arbeitsabl\u00e4ufe ihrer SIEMs und SOCs einbinden.<\/p>\n

Schlie\u00dflich reicht es f\u00fcr einen umfassenden Schutz nicht aus, nur eine einzige Datenquelle wie die Cloud-Nutzung zu analysieren. Stattdessen sollten Unternehmen weitere Informationen einholen und im Zusammenhang zueinander betrachten. Dazu geh\u00f6rt es zum Beispiel zu kl\u00e4ren, ob ein Nutzer sich \u00fcber einen anonymisierenden Proxy einw\u00e4hlt, ob er eine Tor-Verbindung nutzt, oder ob die genutzten Kontodaten im Darknet zum Verkauf stehen.<\/p>\n

In der IT herrscht die Faustregel: Schutzsysteme sollten immer so viele Vorf\u00e4lle melden, wie das Security-Team maximal abarbeiten kann. Dazu k\u00f6nnen Grenzwerte f\u00fcr Bedrohungen erh\u00f6ht oder auf einer sogenannte White List vertrauensw\u00fcrdige Nutzer als erlaubte Ausnahmen aufgef\u00fchrt werden. Dadurch wird die IT-Sicherheit nicht mehr von Fehlalarmen \u00fcberschwemmt und sie kann sich auf die tats\u00e4chlichen Gefahren konzentrieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Daniel Wolf, Regional Director DACH bei Skyhigh Networks\/gg Wer Cloud-Dienste nutzt, ben\u00f6tigt dringend passende Sicherheitsl\u00f6sungen. Aber auch deren richtiger<\/p>\n","protected":false},"author":1,"featured_media":11187,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[2073,2064,2096,6257,1458,8981,175,9717,4594,9714,9715,36,1426,2261,1411,4532,5151,9716,9718],"class_list":["post-11186","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-amazon","tag-analyse","tag-box","tag-cloud","tag-malware","tag-maschinelles-lernen","tag-microsoft","tag-nutzerverhalten","tag-salesforce","tag-selbstschutz","tag-shared-responsibility","tag-sicherheit","tag-siem","tag-skyhigh-networks","tag-soc","tag-threat-protection","tag-tor","tag-ueba","tag-user-and-entity-behavior-analytics"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11186","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11186"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11186\/revisions"}],"predecessor-version":[{"id":11190,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11186\/revisions\/11190"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11187"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11186"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11186"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11186"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}