Schnellste Cloud-Erkennung und Reaktion mit Security Chaos Engineering

Effektive Cloud Detection & Response (CDR) -Strategien sind unerlässlich, um Cloud-Sicherheitsereignisse umgehend zu erkennen...

5.7.2023

Kennedy Torkura

Lesedauer: 7 Minuten

Schnellste Cloud-Erkennung und Reaktion mit Security Chaos Engineering

Table of Contents

Contributors

Kennedy Torkura

Co-Founder & CTO

Effective Cloud Detection & Response (CDR) -Strategien sind unerlässlich, um Cloud-Sicherheitsrisiken sofort zu erkennen und darauf zu reagieren. The implementation efficient CDR strategies is but a challenge from several reasons, including cloud complexity, not required expertise and cloud fault configuration. In this article is plaided, security chaos engineering to meet this challenges. Defenders can use security chaos engineering for search from bedrohungen, to identify CDR proactive blind flecken. Einige praktische Beispiele werden anhand von Mitigant Cloud Immunity and an hybrid CDR system veranschaulicht.

Überblick über Cloud Detection & Response

Cloud Detection and Response (CDR) is an further developed approach to proaktive defense the cloud infrastructure before cyberangriffs. CDR verwendet viele Ansätze der traditionellen Threat Detection and Incident Response (TDIR) und wendet diese Ansätze speziell auf Cloud-native Infrastrukturen an. The motivation for CDR is within, strategies to develop, that are specific on the cloud native threat landscape, because the ditional TDIR in cloud native infrastructure.

CDR-Strategien kombinieren Cloud-Bedrohungserkennung und Reaktion auf Cloud-Vorfälle. Zu den spezifischen Techniken gehören also aktive Überwachung, Protokollanalyse, Bedrohungsinformationen, Reaktion auf Vorfälle, forensische Analysen und Bedrohungsanalysen. Es ist wichtig zu beachten, dass CDR zu einem unverzichtbaren Tool für Sicherheitsteams wird, die sich auf den Schutz der Cloud-nativen Infrastruktur konzentrieren, darunter Erkennungsingenieure, Cloud-Sicherheitsingenieure, Cloud-Incident-Responder und SOC-Teams.

Herausforderungen für effektive CDR-Strategien

Trotz der Bedeutung von CDR für die Sicherheit der Cloud-nativen Infrastruktur gibt es mehrere Herausforderungen, die die Umsetzung einer effizienten CDR-Strategie mit sich bringt. Some this challenges are discussed in following short:

Complexity of the Cloud

Cloud-Umgebungen sind oft komplex und bestehen aus mehreren Diensten, Ressourcen und Konfigurationen. This complexity can make a complex, to get a complete overview and security eignies in the complete cloud infrastructure. Darüber hinaus könnte die Integration von Sicherheitstools, z. B. Protokollanalysetools und Feeds mit Bedrohungsinformationen, in die Cloud-Umgebung aufgrund der inhärenten Cloud-Komplexität eine Herausforderung darstellen. The safety of compatibility, interoperability and the nahtless data river between security tools and services can make a efficient CDR implementation.

Fehlende Standardisierung

Cloud-Dienstanbieter (CSP) verwenden häufig verschiedene Protokollierungsformate, APIs und Sicherheitskontrollen, was es schwierig macht, standardisierte Erkennungs- und Reaktionsprozesse in allen Bereichen zu entwickeln mehrere Cloud-Plattformen. This standardization problem is sometimes also within the services of the same cloud provider and requires therefore implementation maßgeschneiderter solutions and problem environment.

So schnell ändernde Cloud-Landschaft

Cloud technologies, services and resources develop continuous further. CSPs bringen häufig Updates, neue Funktionen und Konfigurationsänderungen heraus. In ähnlicher Weise sind Cloud-Ressourcen so konzipiert, dass sie aufgrund unterschiedlicher Faktoren, z. B. des Kundenverkehrs, flexibel und skalierbar sind. Es ist eine Herausforderung, über diese Änderungen im laufenden Betrieb zu bleiben und die CDR-Mechaniken entsprechend anzupassen.

Cloud-Fehlkonfigurationen

Fehlkonfigurationen in der Cloud sind eine häufige Ursache für Sicherheitsvorfälle und Sicherheitslücken. The dynamics of cloud environments and the potential of human errors, the maintain consistent and safe configuration. This challenge has a dominoeffect on the practice CDR activities.

Qualifikationslücke und Ressourcenverfügbarkeit

Unternehmen stehen vor der Herausforderung, qualifiziertes Sicherheitspersonal mit Fachwissen in den Bereichen Cloud-Sicherheit, Bedrohungserkennung und Reaktion auf Vorfälle zu gewinnen und zu halten. The use of beraters and managed security service providers is a gängiger approach to meet this challenges. This approach is but often expensive; only some organizations can provide this services.

**SCE optimiert die Cloud-Bedrohungssuche — ein Muss für effektive CDR-Strategien**

Use by Security Chaos Engineering for efficient CDR

The ROI efficient CDR strategies is immens. They allow company, costs to save, that could be case after an safety violation, protected the call of the company, provides for customers and create confidence in the used security systems. Um diesen ROI zu erreichen, müssen Unternehmen jedoch die Effektivität von CDR verbessern. A approach to improve the CDR effectiveness is the use of Security Chaos Engineering.

Was ist Security Chaos Engineering?

Safety Chassing technology (SCE) is an further developed approach for cybersecurity, by the security controllers are evaluation empirisch, to win with faster feedback schleifs proactive analysis for their efficiency. This back koppling schleifs, a core of the system denkens, enable a fast analysis and adaptation of security systems, to be cyberattacks always a step ahead. In unserer Blog-Beitragserie `Security Chaos Engineering 101` haben wir mehrere Details zu SCE behandelt, darunter: Basics -Die MindMap- und Feedback-Schleife und Machen Sie sich die Hände schmutzig.

**Security Chaos Engineering basiert auf wissenschaftlichen Experimenten**

SCE trifft CDR

The implementation of measures, which carry the restrictions and challenges of the CDR mechanisms accounting, is necessary. Einige dieser Herausforderungen müssen durch den Einsatz von SCE angegangen werden. Safety teams can use SCE, to check several security targets, when they collect appropriate procedures to allow an objective decision. This approach is research fundiert und eignet sich für die Bewertung der Wirksamkeit von Sicherheitstools und -kontrollen, bevor sie Cyberangriffe nicht verhindern, erkennen oder abwehren können.

Ein praktischer und bewährter Ansatz zur Verbesserung der CDR ist die Nutzung der Bedrohungssuche. Detection and Abwehr of Threats are also necessary, but the search after attacks search proactive by blind spots, they could hidden in the CDR systems. Here passt SCE in the CDR strategies. Angesichts der proaktiven Vorteile von SCE kann es genutzt werden, um einige der CDR-Herausforderungen zu bewältigen, darunter die Komplexität der Cloud, Qualifikationslücken und die Weiterentwicklung der Cloud-Infrastruktur. SCE ist so konzipiert, dass es perfekt in Cloud-native Infrastrukturen integriert ist und Teams es ermöglicht, Hypothesen aufzustellen und Angriffe zu simulieren, um die Wirksamkeit der CDR-Technologien zu überprüfen.

SCE can be used both for hypothesenbased as also for TTP/IOC based bedrohungsjagds. The Defender formulieren a hypothese about one or several attacks in an hypothesis, and take the necessary to prove the richtigkeit this hypothese. Inversa, the defender, a bedrohungsjagd on the base of bedrohungsinformation or information about gegnerische TTPS/IOC.

Example application cases

Lass uns einige praktische Beispiele durchführen, bei denen SCE als Medium zur Bedrohungssuche eingesetzt wird, um die CDR-Fähigkeiten zu verbessern. The example based on an AWS-infrastructure, and we use an hybrid CDR, existing from Datadog Cloud SIEM, AWS Guardduty und AWS Detective. Mildernde Cloud-Immunität is used to implement the hypothese; es konstruiert and orchestriert the actual attacks.

**Mitigant Cloud Immunity orchestriert den „Stop Cloudtrail“ -Angriff**

The first example based on the hypothese „CDR erkennt, wenn AWS Cloudtrail gestoppt wird“. We simulieren einen Angriff auf unser AWS-Konto, um einen Cloudtrail-Trail abzuschalten. Alle Cloudtrail-Trails werden während des Angriffes aufgezählt, und einer wird zufällig ausgewählt und gestoppt.

**Datadog Cloud SIEM hat einen „Cloudtrail stop“ -Angriff registriert**

The following step is there to check if our CDR detected the security authority. The event is detected, as the CDR Cloudtrail event through a dedicated S3 bucket, that is configured for the recording of Cloudtrail protocols, from the AWS-account.

**Ein Überblick über den Amazon S3 Replication Service**

Lasse uns einen komplexeren Angriff ausführen — den gefürchteten Bucket-Replication-Attacke, was der Amazon S3-Replikationsdienst missbraucht hat. Amazon S3-Replikation ist ein Service, der entwickelt wurde, um den Prozess der kostengünstigen und effizienten Replikation von S3-Objekten zu optimieren. This service is but used by a Bucket Replication attack. The attack fälscht das System, when he used this service, to exfiltrieren objects from a target bucket. The objects can be exfiltriert in a other bucket of the account or in a other of the provider controlled account.

**Das Szenario eines S3 Object Filtration Attack missbraucht Amazon Replication Service**

Here there are two challenges: first vermute the defender may not that the replication is bösartig, as they used an angeblich harmless approach. Two there may not records or protocols about that the replication has been been. The Steps for the Bucket Replication attack are implemented on the Mitigant SCE platform and started against the Test-Cloud account.

**Nur zwei Sicherheitsereignisse werden vom CDR erkannt**

Das Ergebnis ist gemischt, gute und schlechte Nachrichten. The CDR detected some events that lead to bucket replication attack, z. B. the change of Bucket Guidelines and IAM roles and guidelines. Es gibt jedoch einige blinde Flecken: Erstens wird die tatsächliche Exfiltration von Objekten nicht erkannt. As first security eignis is marked MITRE ATT&CK TTP TA0010-EXFILTRATION, aber die Statusleiste zeigte INFO für beide Veranstaltungen. This means, that the event because of the low status - INFO likely to be back under the carpet and may be a real attack successful! Wenn wir uns denselben Angriff auf AWS Detective ansehen, stellen wir fest, dass GuardDuty einen hohen Schweregrad hat — Exfiltration: S3/Anomales Verhalten. Also könnte ein solider Lernpunkt hier die CDR-Fähigkeit weiter verbessern. Zum Beispiel könnten die Erkennungsregeln angepasst werden mit gemeinsame Abfragen of security eignis, that appear in a specific time window, to show on a security eignis with strong schweregrad. Ein weiterer blinder Fleck ist die Tatsache, dass Cloud SIEM den S3-Bucket-Logging-Angriff nicht erkannt hat. This blind fleck can be behoben, indem Amazon S3 Event Notifications.

**AWS-Detective Visualization of Bucket Replication**

Erste Schritte mit Security Chaos Engineering

Der Einstieg in SCE ist nicht so kompliziert, wie es scheint. You can begin today with a general hypothese, z. B. with the published a S3 Buckets, how described here Blogbeitrag. Sie können jedoch das Tempo der Einführung beschleunigen und andere wichtige Aspekte, wie automatische Rollbacks, Dokumentation und Analyse, mithilfe der folgenden Tools bewältigen Mildernde Cloud-Immunität.

Mildernde Cloud-Immunität implemented SCE for the AWS-infrastructure, existing from about 30 actions, which can be used independent or to multi-stufied, complex actions. Es bietet eine geeignete Plattform, um die Effektivität von CDR für Unternehmen jeder Größe zu verbessern. Multiple spannende Funktionen can be used to avoid the in this article hervorgehobenen einschränkungen of CDR. You can quickly login for a free 30-Tage test version Registrieren | Mitigant

‍

Sind Sie bereit, Ihre Cloud-Infrastrukturen zu sichern?

Nehmen Sie noch heute Kontakt mit dem Mitigant Team auf und schützen Sie Ihre Clouds proaktiv.

Demo buchen Kostenlose Testversion starten