Cloud Computing
Wie die Cloud die Cybersicherheit verbessert
Von Dr. Sven Krasser, Sr. Vice President und Chief Scientist bei CrowdStrike
Cloud Computing hat die Softwarebranche in den letzten Jahren grundlegend verändert. Von Produktivitätsanwendungen bis hin zu Kommunikations-, Business Intelligence- und CRM-Systemen beherrschen cloudbasierte Systeme inzwischen den Markt. Gartner prognostiziert , dass bis 2025 fast zwei Drittel der Unternehmensausgaben für Softwareanwendungen auf cloudbasierte Technologien entfallen werden.
Cloudbasierte Software bietet erhebliche Vorteile gegenüber herkömmlichen, lokalen Anwendungen. Nicht nur die einfache Installation, Skalierung und Wartung sind wesentliche Erfolgsfaktoren. Auch gibt es bei Cloud-Anwendungen keine Probleme mehr mit der Bereitstellung von Stellflächen für neue Geräte, dem Patchen einzelner Maschinen und dem Umgang mit unerwarteten Skalierungsproblemen. Zudem kann die Implementierung neuer und verbesserter Software und Dienste selbst für die anspruchsvollsten und datenintensivsten Anwendungen unternehmensweit innerhalb weniger Stunden erfolgen, ohne dass lange Hardwarebeschaffungs- und Installationszyklen erforderlich sind. Besonders während der momentanen Chip-Knappheit ist das ein klarer Pluspunkt.
Auch wenn diese Vorteile für jede Anwendung nützlich sind, fallen sie bei Cybersecurity-Anwendungen und deren Fähigkeit, Sicherheitsverletzungen zu verhindern, besonders ins Gewicht. Denn insbesondere in Zeiten von Hybrid Work müssen Unternehmen dafür sorgen, dass alle ihre Mitarbeiter vor Cyberangriffen geschützt sind, unabhängig davon, ob sie über ein Büronetzwerk, ihr Heimnetzwerk oder über das WLAN am Flughafen verbunden sind. Cloud-basierte Lösungen stellen sicher, dass alle Systeme stets über die neuesten Bedrohungsdaten verfügen und die Administratoren ein genaues Echtzeitbild über die Systeme des Unternehmens haben.
Globale Intelligence-Daten für lokale Verteidigungsmaßnahmen
Die heutige Bedrohungslage ist äußerst komplex: Hochmotivierte Angreifer operieren weltweit und verfügen über eine Fülle von Ressourcen, um Unternehmen zu erpressen, hohe Lösegelder zu fordern, geistiges Eigentum zu stehlen und den Geschäftsbetrieb zu stören. Dabei greifen diese Akteure immer seltener auf leicht zu entdeckende Malware zurück: Laut des OverWatch Threat Hunting Reports 2022 waren im beobachteten Zeitraum 71 Prozent der Angriffe Malware-frei. Die Angreifer loggten sich u.a. mit gestohlenen Zugangsdaten in die Systeme ein und nutzten dabei sogenannte "living off the land"-Techniken, bei denen sie legitime System- und Drittanbieter-Administrationstools verwendeten, um möglichst lang unentdeckt zu bleiben.
Um diese neue Art von Bedrohung zu stoppen, reicht die Installation lokaler Antiviren-Software (AV) nicht mehr aus. Dank cloudbasierter Sicherheit können Unternehmen nun auf globales Wissen zurückgreifen. Ähnlich wie das Robert Koch Institut, die amerikanischen Centers for Disease Control and Prevention (CDC) oder die WHO geographisch weitreichende Daten für die Erkennung von Krankheitsausbrüchen nutzen, können moderne Sicherheitslösungen die Spuren neuer Bedrohungen über die Grenzen eines einzelnen Unternehmensnetzwerks hinaus erkennen. Nehmen wir einmal an, dass nach der allerersten Ansteckung mit COVID-19 alle anderen Menschen auch automatisch die entsprechenden Antikörper bilden würden, ganz egal wo sie sich gerade befinden. Das ist es, was im Bereich der Cybersicherheit möglich ist, wenn man sich die Möglichkeiten der Cloud zunutze macht. Eine cloudbasierte Plattform bietet Kunden die Möglichkeit, im gesamten Benutzerstamm einen globalen Schutz vor neuen Bedrohungen zu schaffen. Dank der Cloud kann jeder Endpunkt in Echtzeit von Intelligence-Daten profitieren, die auf neu entdeckten Mustern in der gesamten Angriffsfläche basieren. So erhält jeder einzelne Endpunkt ein aktuelles Verständnis des "Gesamtbildes" der Muster und Verhaltensweisen von Angreifern. Eine einmal erkannte Bedrohung kann überall sofort gestoppt werden. Dies hält Angreifer davon ab, ihre wertvollsten Kenntnisse in Umgebungen einzusetzen, deren Sicherheit auf der Cloud basiert.
Die Cloud meistert riesige Datenmengen
Moderne Cybersicherheit erfordert riesige Datenmengen und Rechenleistung, um hartnäckige Angreifer aufzuspüren, die sich vorsichtig und zielgerichtet durch Unternehmensnetzwerke bewegen. Während bei herkömmlichen Antivirenprogrammen jeder Endpunkt auf sich allein gestellt ist und kontinuierlich Signatur-Updates herunterladen muss, um mit diesen die lokal gespeicherten Dateien zu analysieren, verfolgen cloudbasierte Lösungen einen anderen Ansatz.
Dank cloudbasiertem maschinellem Lernen lassen sich die Geschwindigkeit, die Skalierbarkeit und die Verarbeitungsleistung der Cloud nutzen, um Billionen von Endpunkt-Ereignissen pro Tag zu analysieren, ohne die Systemleistung zu beeinträchtigen. Dies ermöglicht sogar das Erkennen schwacher Bedrohungssignale, die über die Grenzen eines einzelnen lokalen Rechners hinausgehen. Darüber hinaus entlasten cloudbasierte Dienste den Kunden, indem sie das Hosting, die Skalierung und den Betrieb der massiven Computerinfrastruktur erleichtern, die für die Abwehr ausgefeilter und gezielter Bedrohungen erforderlich ist. Gleichzeitig bieten sie den aktuellsten und intelligentesten Schutz für die Kundensysteme, unabhängig von deren Standort.
Lokale, cloud-gestützte Sensoren
Cloudbasierte Sicherheitslösungen können weiterhin lokale Komponenten nutzen, die auf einzelnen Endpunkten arbeiten. Der schlanke Endgeräte-Sensor instrumentiert Systeme, sorgt für die Einhaltung der Sicherheitsvorschriften und handelt selbständig, wenn er Bedrohungen erkennt, während er ständig mit der Cloud in Verbindung steht. Für den Fall, dass die Cloud einmal nicht zugänglich ist, z. B. wenn man mit einem Laptop auf Reisen ist, arbeitet der Sensor ausschließlich auf der Grundlage der ihm zur Verfügung stehenden lokalen Informationen.
Anders als herkömmliche Antiviren-Software stützen sich moderne Sensoren nicht auf ein riesiges und ständig wachsendes Verzeichnis von Malware-Signaturen. Sie nutzen stattdessen eine Kombination aus lokalen KI-Modellen und Angriffsindikatoren (Indicators of Attack, IoAs), d. h. Verhaltenssignale, die auf einen möglichen Angriffsversuch hindeuten. IoAs beschreiben generische Aktivitäten und nicht eine lange Liste spezifischer Dateisignaturen. Zu den Eingaben für IoAs kann gehören, dass ein Prozess eine Verbindung mit einem Remote-Server initiiert, ein PowerShell-Skript gestartet wird, eine Systemdatei ersetzt wird, der Mail-Client eine Datei auf die Festplatte schreibt, oder ein neuer Systemdienst gestartet wird. Der Sensor verfolgt Ketten solcher Ereignisse und wie sie miteinander in Beziehung stehen. Sobald sich diese Ereignisse häufen, prüft der Sensor, wie hoch die Wahrscheinlichkeit ist, dass es sich um eine Sicherheitsverletzung handelt. Dabei kann das aus der Cloud abgerufene globale Wissen einfließen (es muss aber nicht zwangsläufig). Wann immer jedoch eine Aktion auf einen versuchten Angriff hindeutet, unterbindet der Sensor das Verhalten lokal und meldet den Vorfall an die Cloud.
Durch das abgestimmte Zusammenspiel des kleinen, clientbasierten Sensors und der großen, globalen Bedrohungsanalyse in der Cloud erhalten Unternehmen und Endnutzer das Beste aus beiden Welten: umfangreiche, aktuelle Informationen und die Flexibilität eines agilen lokalen Sensors.
Die Cloud als wichtiger Wegbereiter einer neuen Ära
Geschwindigkeit, Kapazität und die enorme Rechenleistung der Cloud haben das Fundament für ein neues Zeitalter der Cybersicherheit gelegt. Von der einfachen Installation und der Möglichkeit, maschinelles Lernen zur Analyse von Bedrohungsdaten in großem Umfang in Echtzeit zu nutzen, bis hin zur Möglichkeit, globale Informationen jedem Endpunkt verzögerungsfrei zur Verfügung zu stellen, versetzen cloudbasierte Plattformen Kunden in die Lage, ihre IT-Systeme und das darauf gespeicherte geistige Eigentum kontinuierlich gegen Angreifer zu schützen, die fortlaufend neue Angriffsmethoden entwickeln. Mit Hilfe der Cloud können wir als Verteidiger unsere Abwehr vernetzen und sind so den Angreifern einen Schritt voraus.