Sichtbarkeit schaffen und Malware in der Cloud automatisiert erkennen

Zürich, den 26.09.2017 - Wenn Unternehmen -teilweise oder komplett - in die Cloud migrieren, reichen selbst starke Verteidigungsmaßnahmen am Perimeter nicht aus, um Cyberangreifer daran zu hindern, das Netzwerk zu infiltrieren. Gemeinsam ermöglichen es nun Gigamon und Vectra auch bei der Migration in die Cloud höhere Netzwerksichtbarkeit zu erlangen und das Bedrohungsmanagement zu automatisieren. Dies gewährleistet eine kontinuierliche Überwachung des Netzwerkverkehrs, um Cyberangriffe zu erkennen, die sich der Verteidigung am Parameter entziehen. Gérard Bauer, VP EMEA bei Vectra, erläutert mit welchen Herausforderungen Unternehmen beim Umstieg auf Amazon Web Services konfrontiert sind – und wie Gigamon und Vectra hier helfen.

Vectra ist spezialisiert auf künstliche Intelligenz. Die Vectra Cognito-Plattform ist eine Softwarelösung, die derzeit die schnellste und effizienteste Möglichkeit bietet, Angreifer im Netzwerk automatisiert zu entdecken und zu stoppen. Cognito enttarnt automatisiert auch verborgenen Angreifer und hilft IT-Sicherheitsexperten diese effizient zu bekämpfen. Die Bedrohungen mit dem höchsten Risiko werden sofort priorisiert, so dass Sicherheitsteams schneller reagieren können, um bereits stattfindende Angriffe zu stoppen und Datenverlust zu vermeiden.

Unternehmen, die Teile ihrer IT in die öffentliche Cloud verlagern, stehen vor großen Herausforderungen

‍Cloud-Sicherheit sollte nicht einfach aus einer Sicherheitslösung am Perimeter bestehen, die in der Cloud eingesetzt wird. Ein gemeinsames Forschungsprojekt von Microsoft und der University of Wisconsin zeigt, dass 80 Prozent des Netzwerkverkehrs im Rechenzentrum verbleiben. Cloud-Rechenzentren begegnen somit Bedrohungen schon in den weiter fortgeschrittenen Phasen des Angriffslebenszyklus.

Perimetertechnologie konzentriert sich speziell auf die Erkennung der anfänglichen Kompromittierung oder Infektion (z.B. Exploits und Malware), ist aber ineffektiv, wenn Angreifer es schaffen, ins Netzwerk zu gelangen. Die heutigen Angreifer neigen viel eher dazu, Hosts innerhalb des Unternehmens zu infizieren. Sie weiten schrittweise ihre Rechte aus (Privilege Escalation) und nutzen dann ihre Position, um in der Cloud kritische Werte in Form von Daten zu stehlen oder zu beschädigen.

Über administrative Konten und Protokolle können sich Angreifer Backdoor-Zugriff in die Cloud verschaffen, ohne dass eine Sicherheitsanfälligkeit der Anwendung direkt ausgenutzt werden muss. Durch die Verwendung von Standard-Admin-Tools wie SSH, Telnet oder RDP können Angreifer im normalem Admin-Verkehr „mitschwimmen“.

Diese sekundären Phasen des Angriffs nutzen erlaubte Protokolle und sind nicht auf schädliche Nutzlasten angewiesen. Daher ist es wichtig, Verhaltensmodelle einzusetzen, um diese schädlichen Aktivitäten trotzdem zu erkennen. Das Anwenden von Verhaltensmodellen auf Echtzeit-Netzwerkverkehr funktioniert am besten. Die Alternative ist es, Flow Logs zu verwenden, aber diese sind nicht für alle Protokolle verfügbar, die eingesetzt werden könnten (z.B. IPMI), und werden oft in Batches und nicht in Echtzeit versendet, so dass die Angreifer Zeit hätten, um Logs zu löschen.

Darüber hinaus befinden sich Cloud-Umgebungen immer im Wandel. Gerade die dynamische und agile Natur der Cloud ist dafür eine ihrer attraktivsten Qualitäten. Entwickler können schnell neue Anwendungen aktivieren und haben Zugriff auf Live-Produktionsdaten zum Testen. Daher muss eine Sicherheitslösung auch diese Dynamik bewältigen können.

Vectra Cognito kann den gesamten Verkehr in die Cloud hinein, aus der Cloud heraus und innerhalb der Cloud untersuchen, um das Verhalten des Angreifers zu erkennen. Cognito legt einen Schwerpunkt auf Administrator-Anmeldedaten und -Protokolle, die bei der Modellierung bestimmter Ressourcen oder Workloads in der Cloud zum Einsatz kommen, und darauf, welche Tools verwendet werden.

Cognito erkennt bösartige Admin-Aktivitäten und die verdächtige Verwendung von Admin-Protokollen. Im Falle von potenziell kompromittierten Cloud-Workloads und Datenbanken werden Sicherheitsteams alarmiert. Ebenso erkennt Cognito regelmäßige Endbenutzer, die plötzlich administrativen Zugriff und entsprechende Protokolle nutzen. Diese Erkennungen stehen im Kontext des rechtmäßigen Administrators und der Protokolle, die auf diesen Workloads verwendet werden, so dass Analysten schnell das abnormale Verhalten auswerten können.

Vectra mit Gigamon auf AWS integriert

‍Gigamon bietet Unternehmen eine effektive Möglichkeit, den Traffic in ihrer AWS-Umgebung sichtbar zu machen. Die Gigamon Visibility-Plattform für AWS hat Vectras Integration mit Gigamon erweitert, um bei den Netzwerken der Kunden die Abdeckung von physischen, virtuellen und Cloud-Technologien zu gewährleisten.

Innerhalb von AWS liefert die Gigamon-Lösung den gesamten Netzwerkverkehr effizient und im richtigen Format an Vectra, so dass Vectra den internen (Ost-West) Cloud-Verkehr und den virtuellen Verkehr überwachen kann. Der schlanke G-TAP-Agent, ermöglicht es, den Cloud-Traffic zu kopieren und über die Visibility Nodes der V-Serie an Vectra Cognito zu senden. Auf diese Weise beseitigen Gigamon und Vectra blinde Flecken b und dafür sorgen, dass der gesamte Verkehr kontinuierlich und automatisiert überwacht und analysiert wird.

‍