Unbekanntes Risiko - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Unbekanntes Risiko

Wenn Sie sich damit befassen, Warnungen anzupassen, Ihre Verfahren der Vorfallreaktion durch Automatisierung und Ihre Sicherheitsmaßnahmen zu verbessern, fragen Sie sich möglicherweise, was Sie als Nächstes optimieren sollten. Möglicherweise würden Sie gern Ihre unbekannten Risiken kennen, wie in Abbildung 3 zur Kategorie „Unbekannt“ dargestellt. Sie können unbekannte Risiken mit folgenden Methoden reduzieren:

  • Sicherheitsannahmen definieren – Welchen Fakten sind Sie sich sicher? Welche sicherheitsbezogenen Grundelemente sollten in Ihrer Umgebung unbedingt zutreffen? Indem Sie diese klar definieren, können Sie nach dem Gegenteil suchen. Dieser Schritt gestaltet sich leichter zu Beginn Ihres Wegs in die Cloud, anstatt später zu versuchen, Ihre Sicherheitsannahmen zurückzuentwickeln.

  • Schulung, Kommunikation und Forschung – Schulen Sie unter Ihren Mitarbeitern Cloud-Sicherheitsexperten oder ziehen Sie externe Fachpersonen hinzu, die Sie bei der Überprüfung Ihrer Umgebung unterstützen. Stellen Sie Ihre Annahmen in Frage und achten Sie auf feinsinnige Überlegungen. Integrieren Sie Feedback-Schleifen in Ihre Prozesse und ermöglichen Sie Ihren Entwicklungsteams mit den Sicherheitsteams zu kommunizieren. Sie können auch Ihre Verfahren zur Überwachung relevanter Sicherheitsmailinglisten und Offenlegungen zur Informationssicherheit erweitern.

  • Angriffsfläche reduzieren – Verbessern Sie Ihre Verteidigung, um Risiken zu vermeiden und um mehr Zeit bei unbekannten Angriffen zu haben. Legen Sie Ihren Angreifern Steine in den Weg und zwingen Sie sie, Spuren zu hinterlassen.

  • Bedrohungsinformationen – Abonnieren Sie einen kontinuierlichen Feed mit aktuellen und relevanten Bedrohungen, Risiken und Indikatoren aus der ganzen Welt.

  • Warnungen – Generieren Sie Benachrichtigungen, die Sie auf ungewöhnliche, schädliche oder kostspielige Aktivitäten aufmerksam machen. Sie können beispielsweise eine Benachrichtigung bei Aktivitäten erstellen, die in ungenutzten Regionen oder Services stattfinden.

  • Machine Learning – Nutzen Sie Machine Learning, um für eine bestimmte Organisation oder einzelne Personen komplexe Anomalien zu identifizieren. Um ungewöhnliche Verhaltensweisen zu erkennen, können Sie auch ein Profil der normalen Eigenschaften Ihrer Netzwerke, Benutzer und Systeme erstellen.

Bedrohungsinformationen sind bei der Analyse von Schwachstellen und unbekannten Faktoren ausschlaggebend. Das Johari-Fenster veranschaulicht die Kategorisierung von bekannten und unbekannten Elementen. Bedrohungsinformationen hingegen zeigen, wie Sie noch unbekannte Faktoren berücksichtigen können. Die Threat Intelligence ist eine Disziplin, mit der Unternehmen Bedrohungsmodelle durchschauen und Risiken identifizieren können, deren Existenz Ihrem Unternehmen möglicherweise nicht bewusst war.

Bedrohungsinformationen umfassen im Allgemeinen:

  1. Identifizierung neuen Bedrohungen.

  2. Definition neuer Muster.

  3. Definition neuer automatisierter Erfassungstechniken.

  4. Wiederholung dieser Prozesse.

Obwohl dieses Vorgehen hilfreich sein kann, kann die Aufstellung und Aufrechterhaltung eines Threat-Intelligence-Teams viele Organisationen, selbst große Unternehmen, überlasten. Letztlich läuft es darauf hinaus, ein Gleichgewicht zwischen Ihrem Bedrohungsmodell, der Größe Ihres Unternehmens und Ihrer Bedrohung zu finden. Berücksichtigen Sie folgende Fragen:

  • Unterscheidet sich Ihr Bedrohungsmodell ausreichend von den Standards der Branche, in der Ihr Unternehmen tätig ist?

  • Ist Ihre Risikobereitschaft so gering, dass ein solches Team benötigt wird?

  • Ist es steuerlich sinnvoll, in Ihrem Unternehmen ein spezialisiertes Team zu beschäftigen?

  • Ist Ihr Risikoprofil interessant genug, um entsprechende Talente für Ihr Projekt zu gewinnen?

Wenn Sie eine dieser Fragen mit Nein beantworten, sollten Sie eher einen externen Threat-Intelligence-Partner beauftragen. Dieser Service wird von vielen großen und renommierten Unternehmen preiswert angeboten.

AWS bietet Ihnen Tools und Services, mit denen Sie diese Probleme selbst handhaben können. Der Einsatz von Machine Learning zur Identifizierung schädlicher Muster ist ein gut erforschtes Studiengebiet. Muster können von Kunden, AWS Professional Services, APN-Partnern und über AWS-Services wie Amazon GuardDuty und Amazon Macie implementiert werden. Einige dieser Muster wurden bei den AWS re:Invent-Konferenzen erörtert. Weitere Informationen finden Sie in diesem Whitepaper im Abschnitt Medien.

Kunden erweitern auch ihre traditionell geschäftsorientierten Data Lakes, um ähnliche Architekturmuster bei der Entwicklung von sicherheitsbezogenen Data Lakes zu nutzen. Sicherheitsteams intensivieren auch ihre Verwendung traditioneller Protokollierungs- und Überwachungstools wie Amazon OpenSearch Service und OpenSearch-Dashboards bis hin zu Big-Data-Architekturen.

Diese Kunden sammeln interne Daten aus AWS CloudTrail-Ereignisprotokollen, VPC-Flow-Protokollen, Amazon CloudFront-Zugriffsprotokollen, Datenbankprotokollen und Anwendungsprotokollen und kombinieren diese Daten anschließend mit öffentlichen Daten und Bedrohungsinformationen. Mit diesen wertvollen Daten haben die Sicherheitsteams von Kunden Fähigkeiten in Datenwissenschaft und Datentechnik erworben, um Tools wie Amazon EMR, Amazon Kinesis Data Analytics, Amazon Redshift, Amazon QuickSight, AWS Glue, Amazon SageMaker und Apache MXNet auf AWS zu nutzen und damit benutzerdefinierte Lösungen zur Identifizierung und Vorhersage von Anomalien zu entwickeln, die ausschließlich ihr Unternehmen betreffen.

Schließlich finden Sie unter Sicherheits-Partnerlösungen Hunderte von branchenführenden Produkten von APN-Partnern, die mit vorhandenen Kontrollen in Ihren On-Premises-Umgebungen gleichwertig, identisch oder in diese integriert sind. Diese Produkte ergänzen die vorhandenen AWS-Services, sodass Sie eine umfassende Sicherheitsarchitektur bereitstellen und eine nahtlosere Erfahrung in der Cloud und Ihren On-Premises-Umgebungen ermöglichen können.