Security-Teams in der Cloud-Ära

Womit haben Security-Teams in der aktuellen Lage zu kämpfen, wenn ein Unternehmen in die Cloud emigriert?

Andy Schneider:  In einer Studie der Enterprise Strategy Group wird darauf hingewiesen, dass die Arbeit der Security-Teams trotz des Vorhandenseins zahlreicher Cloud-Security-Tools nicht unbedingt einfacher geworden ist. Ganz im Gegenteil: Obwohl es mittlerweile zahlreiche Werkzeuge gibt, ist SecOps für viele Security Teams heute genauso kompliziert oder sogar komplizierter als noch vor 24 Monaten. Da mit der Einführung der Cloud-Technologie jeder mit einer Internetverbindung auf sensible Daten zugreifen kann, haben sich neue Angriffstechniken entwickelt und bestehende Cyber-Angriffe weiterentwickelt. Dadurch hat sich die Angriffsfläche vergrößert und es ist für Sicherheitsteams schwieriger geworden, alle potenziellen Bedrohungen zu erkennen und abzuwehren. Neben der ständig wachsenden und sich verändernden Angriffsfläche fehlt nicht zuletzt die Automatisierung komplexer Aufgaben, was bedeutet, dass Sicherheitsteams große Datenmengen manuell analysieren und Prioritäten für die Schwachstellenbehebung setzen müssen. Dies führt zu Reibungen zwischen IT- und Sicherheitsteams und kann Innovationen behindern. Darüber hinaus mangelt es an Transparenz und Kontrolle über Cloud-Umgebungen; und schließlich nutzen Cyberkriminelle stets fortschrittliche Techniken, um Angriffe schnell auszuführen, was die Erkennung und Behebung von Sicherheitslücken weiter erschwert.

Gibt es Lösungen wie Security-Teams mit diesem ständigen Wandel Schritt halten können?

Mit der zunehmenden Digitalisierung und Vernetzung von Geräten wächst die Angriffsfläche für Cyberkriminelle kontinuierlich. Traditionelle Sicherheitsansätze, die auf statischen Verteidigungsmaßnahmen basieren, geraten dabei schnell an ihre Grenzen. Eine zentrale Lösung besteht darin, auf agile Sicherheitskonzepte zu setzen, die sich an veränderte Umstände anpassen können. Automatisierte Tools zur Identifizierung von Angriffsflächen und zur kontinuierlichen Überwachung können hierbei eine entscheidende Rolle spielen. Ohne Automatisierung ist es schwierig, die große Menge an Daten zu analysieren und die Prioritäten für die Behebung von Schwachstellen festzulegen. Darüber hinaus kann das Fehlen von Automatisierung Innovationen behindern, da Teams möglicherweise nicht in der Lage sind, neue Technologien oder Prozesse schnell genug zu implementieren. Nicht zuletzt ist es auch wichtig, die Sicherheitsrichtlinien im Unternehmen kontinuierlich anzupassen, um mit den ständigen Veränderungen Schritt halten zu können.

Sie haben die Skalierbarkeit in der Cloud erwähnt. Welche Vorteile bringt bei diesem Thema die Automatisierung?

Cyberkriminelle nutzen immer ausgefeiltere Techniken, um ihre Angriffe schnell auszuführen. Einem kürzlich veröffentlichten Bericht zufolge erhalten Security-Teams bis zu 500 oder mehr Warnmeldungen pro Tag. Auf der anderen Seite werden viele Sicherheitsprozesse heutzutage immer noch manuell ausgeführt und sind daher nicht skalierbar. Dies führt zu Verzögerungen und ineffizienten Prozessen. Ohne die richtigen Tools und Prozesse kann die große Menge dazu führen, dass Security-Teams Schwierigkeiten haben, mit der Komplexität der Bedrohungen Schritt zu halten, sie richtig zu erkennen und darauf zu reagieren. Die Implementierung von Security Orchestration, Automation and Response (SOAR) Tools kann dabei helfen, Prozesse zu automatisieren und gleichzeitig die Skalierbarkeit zu gewährleisten. Durch die Automatisierung können Security-Teams effizienter arbeiten, schneller auf Bedrohungen reagieren und sich auf strategischere Aufgaben konzentrieren.

Welche weiteren Vorkehrungen können getroffen werden, um zu verhindern, dass Security-Teams durch die Vielzahl von Warnungen überfordert werden?

Security-Teams haben oft Schwierigkeiten, schnell genug Entdeckungsregeln zu entwickeln, um mit der sich ständig ändernden Bedrohungslandschaft Schritt zu halten. Hier spielen Cloud-Identities eine entscheidende Rolle. Indem Unternehmen Identitätsmanagement-Tools nutzen, die speziell für die Cloud entwickelt wurden, können sie effektivere Entdeckungsregeln erstellen. Darüber hinaus ist es wichtig, dass Security-Teams eng mit den Entwicklungs- und Operations-Teams zusammenarbeiten, um frühzeitig Einblicke in neue Projekte zu erhalten und entsprechende Regeln vorab zu implementieren. Auch die Nutzung von Threat Intelligence-Plattformen und die kontinuierliche Schulung der Sicherheitsteams sind entscheidend. Eine proaktive Herangehensweise, die auf Echtzeitinformationen basiert, ermöglicht es, schneller auf neue Bedrohungen zu reagieren und entsprechende Entdeckungsregeln effizient zu entwickeln.

In der Security spielt KI eine immer größere Rolle. Welche Vorteile kann KI für die Abwehr bringen?

Der zusätzliche Einsatz von Künstlicher Intelligenz und Maschinellem Lernen kann dazu beitragen, große Datenmengen zu analysieren, potenzielle Bedrohungen frühzeitig zu erkennen, Prioritäten für die Behebung von Schwachstellen festzulegen und die Reaktionszeit auf Sicherheitsvorfälle zu verkürzen. Unternehmen sollten außerdem fortschrittliche Überwachungstools implementieren, die nicht nur auf Aktivitäten reagieren, sondern auch proaktiv Bedrohungen erkennen können. Regelmäßige Schulungen für Security-Teams und kontinuierliche Aktualisierungen der Überwachungstechnologien sind ebenfalls entscheidend, um mit der sich ändernden Bedrohungslandschaft Schritt zu halten.

Sollten Unternehmen ihre Cloud-Sicherheitsstrategien regelmäßig überprüfen und anpassen?

Letztlich ist Cybersicherheit ein kontinuierlicher Prozess, der eine proaktive und flexible Herangehensweise erfordert. Ein wichtiger Aspekt ist die Rolle von Cloud Identities in der Cybersicherheit, da sie den Zugriff auf Cloud-Ressourcen steuern. Oft werden sie jedoch übersehen, da traditionelle Sicherheitsmodelle sich stärker auf den Schutz von Netzwerkperimetern konzentrieren. In der Cloud-Umgebung sind Identitäten jedoch der neue Perimeter. Durch die Verwendung von Cloud-Identitäten können Sicherheitsteams die Kontrolle und Verwaltung von Zugriffsrechten zentralisieren und so die Sicherheit verbessern.

Andy Schneider

ist  Field CISO EMEA bei Lacework und zusätzlich ls Berater für TX Ventures und verschiedene Security-Start-ups.