Schutz Ihrer Cloud-Assets: Wo beginnen?

Wenn Sie im Rahmen der Absicherung dynamischer Cloud-Umgebungen die Fähigkeit besitzen, Cloud-Ressourcen fortlaufend zu erfassen und zu bewerten, können Sie Probleme schnell erkennen, sobald neue Schwachstellen aufgedeckt werden und sich Ihre Umgebung verändert. Hier einige wichtige Tipps und Informationen zum Einstieg.  

Cloud-Services und -Applikationen sind flexibel und kostengünstig. Vor allem aber bieten sie Ihnen die Möglichkeit, schnell auf Kundenbedürfnisse zu reagieren und die immer größere Zahl von Mitarbeitern im Homeoffice zu betreuen. Tatsache ist, dass 81 % aller Unternehmen zumindest eine Applikation oder einen Teil ihrer Computing-Infrastruktur in der Cloud betreiben. 

Doch mit den Vorteilen von Agilität und Effizienz geht die Herausforderung einher, Ihre Assets und Workloads in der Cloud zu schützen und abzusichern. Wenn High-Profile-Sicherheitsverletzungen uns eines gelehrt haben, dann dass Sie als Datenbesitzer letztlich für Ihre Cloud-Assets verantwortlich sind – nicht Ihre Cloud Service Provider.

Angesichts der zunehmenden Anzahl neuer Schwachstellen in Netzwerken, Endgeräten und Cloud-Umgebungen wird Ihnen möglicherweise auch klar, dass Ihre alten Tools für das Schwachstellen-Management (Vulnerability Management, VM) der heutigen komplexen IT-Landschaft nicht gewachsen sind und Ihre moderne Angriffsoberfläche nicht schützen können. Von 2015 bis 2020 stieg die Zahl der gemeldeten CVEs mit einer durchschnittlichen jährlichen Wachstumsrate von 36,6 %. Daher benötigen Sie eine effektive Lösung, die Sie dabei unterstützt, Behebungsmaßnahmen basierend auf dem Risiko dieser Schwachstellen für Ihr Unternehmen zu priorisieren. 

Wo also anfangen? Ich empfehle, immer zuerst die eigenen Mitarbeiter, Prozesse und Technologien unter die Lupe zu nehmen – und zwar genau in dieser Reihenfolge. Der Grund dafür? Sie können die besten Technologien bereitgestellt haben, aber wenn Ihr Sicherheitsteam sich nicht mit Ihrem Cloud-Team austauscht oder Geschäftsprozesse fehlerhaft sind, werden Sie dennoch nicht in der Lage sein, alles Notwendige in der Cloud zu schützen.

Drei Sicherheitsherausforderungen, die Sie zuerst angehen müssen:

1. Ihre Mitarbeiter kommunizieren nicht miteinander: Ich habe selbst erlebt, welche Kluft zwischen dem Sicherheitsteam und den Geschäftsbereichen besteht. Einer meiner IT-Kollegen beschrieb die Situation folgendermaßen: „Zu versuchen, mit den Gruppen im Unternehmen zusammenzuarbeiten, ähnelt einem Spaziergang mit meinem Yorkshire Terrier an einem kalten Wintermorgen. Ich ziehe an der Leine, um einen bestimmten Weg einzuschlagen, während mein Hund in die andere Richtung drängt, weil ihm mein Weg nicht passt. Am Ende sind wir beide erschöpft.“ In vielen Unternehmen arbeiten die Sicherheits- und Cloud-Teams in voneinander getrennten Geschäftsbereichen. In einer kürzlich von Tenable in Auftrag gegebenen Studie von Forrester Consulting gab nur die Hälfte der über 400 befragten Sicherheitsverantwortlichen an, mit anderen Teams zusammenzuarbeiten, um Risikominderungsziele auf geschäftliche Anforderungen abzustimmen. Wenn Ihre Teams nicht zusammenarbeiten, ist es für Sie schwierig, Ihre Cloud-Assets zu schützen, zu kontrollieren und sichtbar zu machen. Dadurch gerät Ihre Sicherheitslage in Gefahr.
2. Ihr Geschäftsprozess weist Lücken auf: In einem herkömmlichen On-Prem-Netzwerk ist es relativ einfach, Workloads und Applikationen im Blick zu behalten. In Cloud-Umgebungen hingegen ist es schwer, herauszufinden, wie groß Ihr Footprint tatsächlich ist. Dies liegt daran, dass IT-fremde Funktionsbereiche wie etwa die Marketingabteilung oder auch Entwickler häufig Cloud-Assets erstellen (und manchmal einfach vergessen). Dadurch ist es schwierig, sich ein realistisches Bild von Ihrem gesamten Bestand in der Cloud zu machen. Ein Unternehmen, mit dem ich mich kürzlich traf, dachte beispielsweise, es hätte über 2.000 Cloud-Assets in AWS. Im Anschluss an einen Discovery-Scan fanden sich jedoch knapp 3.500 Assets. Bei näherer Untersuchung stießen wir auf Lücken im Geschäftsprozess in Zusammenhang mit nicht getaggten Assets und verschwundenen Unterkonten. Und das ist in vielen Unternehmen nicht ungewöhnlich.
3. „Etwas, von dem man nichts weiß, kann man auch nicht schützen.“: Dieser Satz klingt schon beinahe nach einem Klischee, ist im Hinblick auf die Absicherung Ihrer Cloud-Assets aber sehr zutreffend. Unternehmen haben Schwierigkeiten, kurzlebige Assets in dynamischen Cloud-Umgebungen zu erfassen und zu bewerten. In der Forrester-Studie gaben nur 44 % der über 800 befragten Sicherheits- und Geschäftsverantwortlichen an, dass ihr Sicherheitsteam die wichtigsten Assets ihres Unternehmens gut überblicken kann. Aus eigenen Untersuchungen von Tenable geht hervor, dass selbst wenn Assets erfasst werden, nur 20 % davon tatsächlich auf Gefährdungen hin bewertet werden. Der Grund dafür ist, dass herkömmliches Schwachstellen-Management sich in der Cloud als schwierig und zeitaufwendig erweist. Scanner und Agents müssen installiert werden und neue Schwachstellen-Erkennungen können sich um mehrere Wochen verzögern. Kurzum: Traditionelle IT-Sicherheit kann mit der Geschwindigkeit der Cloud nicht mithalten.

An dieser Stelle fragen Sie sich vermutlich: Meine Güte, wie können wir das alles in den Griff bekommen? Keine Sorge – lesen Sie einfach weiter, wir helfen Ihnen dabei. 

Schutz Ihrer Cloud-Assets: Drei entscheidende Schritte

1. Bringen Sie Ihre Teams auf eine Linie, um die richtigen Cloud-Gespräche zu führen: Ein entscheidender erster Schritt, um konsistente Transparenz und Kontrolle über Ihre Cloud-Assets zu erreichen, besteht darin, Abteilungssilos zu beseitigen und eine kooperative Umgebung für Ihre Teams aufzubauen. Basierend auf der Studie von Forrester ist es bei Business-orientierten Sicherheitsverantwortlichen im Vergleich zu ihren eher isoliert arbeitenden Kollegen acht Mal wahrscheinlicher, dass sie ein hohes Maß an Vertrauen in ihre Fähigkeit haben, die Sicherheits- oder Risikolage ihrer Unternehmen zu quantifizieren. Bei Gesprächen mit Teammitgliedern, die die Cloud nutzen, ist es wichtig, die Auswirkungen von Cybersecurity-Bedrohungen im Kontext der geschäftlichen Anforderungen dieser Teammitglieder zu beschreiben und dabei Schlagwörter wie „Skalierbarkeit“, „Agilität“, „Qualität“ und „Kontinuität“ zu verwenden. Es kann hilfreich sein, regelmäßige Review-Meetings durchzuführen und die Leistungskennzahlen des Sicherheitsteams an Business-Stakeholder weiterzugeben. Falls die Erteilung von administrativen Rechten ein Problem darstellt, sind kreative Zwischenlösungen gefragt. Beispielsweise könnten Sie einen gemeinsam vereinbarten Satz von Berechtigungen für die IT-Sicherheit erstellen und diesen eventuell sogar mithilfe eines gängigen Cloud-nativen Formats implementieren, etwa durch Erstellung einer CloudFormation-Vorlage. Durch diese Vorgehensweise lassen die geschäftlichen Ergebnisse erzielen, die das Sicherheitsteam benötigt, und der Cloud-Administrator wird entlastet.
2. Sorgen Sie für gute Sicherheitshygiene in der Cloud: Best Practices im Bereich Sicherheit zu entwickeln, die mit der Geschwindigkeit der Cloud Schritt halten können, ist ein weiterer entscheidender Schritt zur Absicherung Ihrer Cloud-Assets. Durch Einbindung dieser Best Practices in Ihre gesamte Firmenkultur können Sie den administrativen Aufwand verringern und Sicherheitslücken im Geschäftsprozess schließen. Die Implementierung einer Tagging-Strategie für all Ihre Cloud-Assets kann beispielsweise eine effektive Methode sein, um Ressourcen zu managen, Kosten zu kontrollieren und Risiken zu reduzieren. Nach erfolgter Durchsetzung können Entwickler Testumgebungen eigenständig hochfahren und das Sicherheitsteam hat stets im Blick, was gerade erstellt wird. Dadurch verbringt es weniger Zeit mit der Suche nach Assets und Verantwortlichen, um Sicherheitsprobleme zu lösen. Eine weitere gute Vorgehensweise für die Cloud-Hygiene besteht darin, alle Ihre untergeordneten Konten mit dem entsprechenden übergeordneten Konto in der Cloud zu verknüpfen. Auf diese Weise erhalten Administratoren einen ganzheitlichen Überblick über Ihren gesamten Cloud-Bestand, sodass sie Cyberrisiken effektiv reduzieren und die Exposition Ihres Unternehmens in allen Cloud-Umgebung genau nachzuvollziehen können.
3. Erfassung und kontinuierliche Bewertung auf Schwachstellen ist entscheidend: Die Fähigkeit, Cloud-Assets identifizieren und schnell bewerten zu können, ist der nächste entscheidende Schritt, um Ihre sich ständig verändernde und expandierende Cloud-Umgebung zu schützen und abzusichern. Beim Einsatz von Cloud-Services wie Amazon Web Services (AWS) kann eine Live-Bestandsausnahme von Cloud-Assets nicht nur dazu beitragen, den Nutzwert Ihrer bestehenden Investition zu maximieren, sondern Ihnen auch volle Transparenz über die Assets geben, die Ihnen bisher möglicherweise noch nicht bekannt waren. Sobald Sie Ihren Bestand dann quasi in Echtzeit im Blick haben, ist ein Bewertungsansatz gefordert, mit dem die Cloud kontinuierlich bewertet werden kann, wenn neue Assets bereitgestellt oder neue Schwachstellen aufgedeckt werden.

Wie bereits erwähnt, kann sich herkömmliches Schwachstellen-Management in der Cloud schwierig und zeitaufwendig gestalten. Doch hier kann Ihnen Frictionless Assessment von Tenable weiterhelfen. Im Gegensatz zu anderen Schwachstellen-Management-Tools nutzt das jetzt in Tenable.io verfügbare Frictionless Assessment native AWS-Tools, darunter auch den Agent von AWS Systems Manager (SSM), um Elastic Compute Cloud-Instanzen (EC2) kontinuierlich zu erfassen und auf Schwachstellen zu bewerten – und zwar ohne dass Scans konfiguriert, Zugangsdaten verwaltet oder Agents installiert werden müssen. Dadurch sind Sie in der Lage, Sicherheitsprobleme schnell zu erkennen, sobald neue Schwachstellen aufgedeckt werden und Ihre Umgebung sich durch das konstante Hoch- und Herunterfahren von Instanzen verändert. Frictionless Assessment bietet Ihnen nahezu in Echtzeit einen Überblick über Ihre Cloud-Umgebung, sodass Sie jederzeit über eine genaue Aufstellung der Assets und Expositionen verfügen. Bei der Erfassung und Bewertung von kurzlebigen Assets in dynamischen Cloud-Umgebungen erweist es sich als besonders effektiv.

Frictionless Assessment wurde speziell für die Geschwindigkeit der Cloud konzipiert. Aber das ist noch nicht alles. Als zentrales Element von risikobasiertem Schwachstellen-Management liefert Frictionless Assessment umfassende Erkenntnisse zu Schwachstellen und unterstützt unter anderem Predictive Prioritization von Tenable, um Ihnen dabei zu helfen, sich auf das Wesentliche zu konzentrieren. 

Wenn Sie mehr darüber erfahren möchten, wie Sie mit Frictionless Assessment in Sekundenschnelle ein komplettes Programm für risikobasiertes Schwachstellen-Management einrichten und in wenigen Minuten umsetzbare Ergebnisse erhalten, sehen Sie sich unser Übersichtsvideo zu Frictionless Assessment an.