Cloud Security

Eine überhastete Cloud-Einführung schafft häufig Sicherheitsrisiken

Eine überhastete Cloud-Einführung schafft häufig Sicherheitsrisiken

Mangel an Strategie und Planung fördert Sicherheitsrisiken

Mit der exponentiell wachsenden Abhängigkeit von Technologie steigt auch der Bedarf an robuster Cyber Security, um Anwender sowie Daten und Geschäftsabläufe vor Hackern zu schützen – meint Vectra AI. Die zunehmenden Aktivitäten von Cyberkriminellen haben sich jedoch zu einem Dilemma entwickelt. Je mehr Unternehmen in Datenschutztechnologien investieren, desto geschickter werden die Cyberkriminellen. Sie ändern ihre Angriffsmethoden und Verhaltensweisen, um im normalen Datenverkehr unterzutauchen, traditionelle Netzwerkkontrollen zu umgehen, in die Infrastruktur einzudringen und Zugangsdaten zu stehlen.

Aufgrund dieses ständigen Vorstoßes ist die Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) heute ein wesentlicher Aspekt für jedes Führungsteam. Angriffe, die auf Software-as-a-Service (SaaS)-Benutzerkonten abzielen, sind derzeit eines der am schnellsten wachsenden und am häufigsten auftretenden Sicherheitsprobleme. Dieser Trend begann lange vor COVID-19 und hat sich beschleunigt, da immer mehr Unternehmen auf die Cloud umsteigen.

Die Nachteile der Telearbeit

Als die Arbeitskräfte während der ersten Lockdowns dazu übergingen, von zu Hause aus zu arbeiten, war der Wechsel zu Online-Zusammenarbeits- und Produktivitäts-Tools schnell, aber weitgehend reibungslos. Ein Nebenprodukt dieser Umstellung ist ein erhöhtes Volumen an wesentlich sensibleren Daten, die über mehrere Geräte geteilt werden. In vielen Fällen sind diese Informationen nun angreifbar.

Das liegt daran, dass aktuelle Sicherheitsansätze den Überblick verlieren können, wenn sich Umgebungen in die Cloud ausdehnen, in der Benutzer zunehmend mehrere Konten speichern und sowohl von genehmigten als auch von nicht genehmigten Geräten auf Ressourcen zugreifen. Wenn die Grenzen zwischen beruflicher und privater Onlineinteraktion verschwimmen, steigt die Gefährdung durch Cyberrisiken dramatisch an.

Verstärkung der lückenhaften Abwehrmechanismen

In der Vergangenheit haben sich Unternehmen auf streng kontrollierte Server vor Ort verlassen, wo Netzwerksicherheitslösungen die Daten weitgehend schützen konnten. Angesichts immer mehr neuer Geräte, die auf Unternehmens- und Cloudnetzwerke zugreifen, sind herkömmliche Lösungen anfällig für größere Risikoaktivitäten und den Missbrauch von Daten in Cloud-Anwendungen geworden.

„Die heutige Realität ist, dass private und vertrauenswürdige Netzwerke nicht mehr vollständig durch herkömmliche Sicherheitslösungen geschützt werden können, die sich allein auf die Verwendung von Signaturen und die Erkennung von Anomalien konzentrieren. Branchenanalysten und Experten sind sich einig, dass NDR besser geeignet ist, um Angriffe in der modernen Rechenzentrumsinfrastruktur zu identifizieren und zu stoppen“, berichtet Andreas Müller, Director DACH bei Vectra AI. „Die Einführung von NDR hat durch die Korrelation des Verhaltens von Angreifern und des Verlaufs von Bedrohungen zwischen Cloud-, Hybrid- und On-Premises-Netzwerken enorm an Dynamik gewonnen.“

Wir wissen, dass Cyberkriminelle eine größere Angriffsfläche ausnutzen und immer fortschrittlicher werden. Daher reicht es nicht mehr aus, die Sicherheit am Netzwerkperimeter zu verstärken, insbesondere wenn es darum geht, clevere Angreifer zu stoppen und die Erkennung zu beschleunigen. In der Tat existiert die Idee eines Netzwerkperimeters nicht mehr, da sich Benutzer von überall aus verbinden können.

In vielen Unternehmen konzentriert sich die Sicherheitstechnologie auf das Verhalten der Benutzer, obwohl der Fokus auf dem Verhalten der Angreifer liegen sollte. Dies erfordert Wissen darüber, was Angreifer auf den Plattformen tun können, anstatt zugelassene Benutzer und das, was sie teilen, zu überwachen und gleichzeitig nach bösartigen Insidern Ausschau zu halten. Es ist an der Zeit, die Perspektive zu wechseln und die größere Bedrohung zu betrachten – das Verhalten der Angreifer.

Eine Lektion aus Office 365

Die Beobachtung von Microsoft Office 365-Anwendern zeigt, wie einfach es für Hacker ist, in das Netzwerk eines Unternehmens einzudringen. Der jüngste Spotlight Report on Office 365 von Vectra AI sammelte Opt-in-Daten von vier Millionen Office 365-Nutzern weltweit und fand heraus, dass 96 Prozent der Kunden ein bösartiges Lateral-Movement-Verhalten aufweisen. Das bedeutet, sobald ein Hacker Zugang zu einem Office 365-Konto erhält, öffnet sich die Hintertür zu einem Unternehmensnetzwerk und macht es anfällig für Angriffe. Ein Beispiel hierfür ist Microsoft Power Automate. Ehemals als Microsoft Flow wurde es entwickelt, um Benutzeraufgaben zu automatisieren und Zeit zu sparen. Power Automate ist in Office 365 standardmäßig aktiviert.

„Leider ist Power Automate ein blinder Fleck, der gefährliche Sicherheitsschwachstellen in Office 365 schafft. Untersuchungen aus dem Spotlight Report on Office 365 zeigen, dass 71 Prozent der Kunden verdächtige Verhaltensweisen in Office 365 Power Automate aufweisen“, erklärt Andres Müller. Derzeit lässt sich ein Power Automate-Skript so einrichten, dass es automatisch alle Anhänge in einer E-Mail übernimmt und in OneDrive speichert. Ein Angreifer könnte dann ein Konto kompromittieren und Power Automate nutzen, um diese Dokumente zu nehmen und sie in ein Dropbox-Konto zu exfiltrieren.

Angreifer haben diese Funktion ausgenutzt, um eine Kontoidentität anzunehmen und von Office 365 auf ein Gerät oder vor Ort zu wechseln. Sie können sich dann als ein bestimmter Benutzer innerhalb von Office 365 anmelden und beginnen, Daten zu beschädigen oder zu exfiltrieren, oder sie bewegen sich seitlich, um hochwertige Assets zu finden, die sie stehlen können.

Anpassung der Netzwerksicherheit an sich ändernde Taktiken

Mit NDR können Unternehmen erkennen, was Angreifer tun, wo sie sich im Netzwerk aufhalten, und Angriffe schnell stoppen, bevor sie zu Datensicherheitsvorfällen werden. NDR nutzt von KI abgeleitete Algorithmen für maschinelles Lernen, um frühzeitige Verhaltensweisen von Bedrohungen in Hybrid-, On-Premises- und Cloud-Umgebungen zu erkennen. Außerdem erkennt und priorisiert es automatisch Angriffe, die das höchste Risiko für Ihr Unternehmen darstellen, und löst eine Echtzeitreaktion aus, um Bedrohungen schnell zu entschärfen.

Um Daten zu schützen und Cyberrisiken zu reduzieren, ist es für Unternehmen entscheidend, einen proaktiven statt reaktiven Ansatz für die Cybersicherheit zu wählen. Es kann ein kostspieliger Fehler sein, sich allein auf die veraltete Sicherheit am Netzwerkperimeter zu verlassen. Heute ist NDR ein wesentlicher Eckpfeiler der Best Practices für Cybersicherheit.

„Was strategische Sicherheitsinvestitionen im Jahr 2021 angeht, ist es an der Zeit, darüber nachzudenken, woher der beste Wert und die beste Verteidigungslinie kommen werden und wie Unternehmen besser sicherstellen können, dass sie geschützt sind. Dies gilt insbesondere deswegen, weil Unternehmen in diesem voraussichtlich komplexen und kritischen Jahr zunehmend auf hybride, lokale und Cloud-Plattformen für eine Reihe unterschiedlicher Geräte setzen werden“, fasst Andreas Müller von Vetra AI abschließend zusammen.