Mit <kes>+ lesen

Detektion und Reaktion in der Cloud

Mit Cloudcomputing lassen sich Geschäftsprozesse oft flexibler und kostengünstiger gestalten. Doch die Nutzung von Cloudservices erfordert auch Anpassungen interner Prozesse – etwa zur Sicherheitsvorfallsbehandlung und Forensik.

Lesezeit 13 Min.

Dienste aus der Cloud bieten flexible Rechenleistungen an, die sich je nach Bedarf skalieren lassen. Durch diese Agilität kommt es häufig vor, dass eine produktive Nutzung der Cloud erfolgt, ohne die IT-Sicherheitsabteilung oder den Informationssicherheitsbeauftragten (ISB) sofort hinzuzuziehen. Dieser Artikel behandelt cloudspezifische Anpassungen im Prozess der Sicherheitsvorfallsbehandlung, die sich aus der Auslagerung von Anwendungen oder Systemen in eine sogenannte Public Cloud ergeben, in der man Ressourcen mit anderen CloudKunden teilt. Darüber hinaus wird im zweiten Abschnitt auch auf die Vorbereitung von Maßnahmen zur ITForensik in der Cloud eingegangen.

Die Behandlung von Sicherheitsvorfällen ist ein wichtiger Bestandteil von Sicherheitsstandards für das Informationssicherheitsmanagement (ISMS) wie der BSI IT-Grundschutz [1] – sie sollte möglichst effektiv und zeitnah durchführbar sein. In einer klassischen IT-Umgebung lassen sich Detektoren für mögliche Probleme, Datenschutzverletzungen oder Sicherheitsvorfälle auf unterschiedlichen Ebenen implementieren. Durch die Verlagerung von Anwendungen und Systemen werden auch Möglichkeiten zur Detektion in die Cloud verlagert, da aufgrund der geteilten Verantwortlichkeiten einzelne Teile der Cloudumgebung teilweise oder allein in der Verantwortung des Cloudanbieters liegen.

Bevor die Vorbereitung der Sicherheitsbehandlung und der Forensik in der Cloud starten kann, sollte man eine Übersicht über die im Einsatz befindlichen Clouddienste erstellen oder – sofern eine solche Liste bereits besteht – auf Aktualität prüfen. Dabei sind nicht nur explizit genehmigte Clouddienste zu berücksichtigen, sondern auch Services, die möglicherweise im Betrieb ohne Genehmigung hinzugekommen sind.

Incidents in der Cloud

Die Organisation in der Cloud sollte die Möglichkeit haben, möglichst schnell mit der Eindämmung eines möglichen Sicherheitsvorfalls beginnen zu können. Damit Mitarbeiter einen Sicherheitsvorfall in der Cloud erkennen können, sollte man die bestehende Definition eines Sicherheitsvorfalls prüfen und gegebenenfalls anpassen. Zudem sollten genutzte Cloudanbieter ein ähnliches oder gleiches Verständnis davon haben, was einen Sicherheitsvorfall darstellt.

Zumindest meldepflichtige Vorfälle, wie sie beispielsweise bei der Verletzung der Datensicherheit personenbezogener Daten vorkommen können, sollten auch vertraglich als Sicherheitsvorfall festgelegt werden. Außerdem sollte man vertraglich vereinbaren, wie schnell Informationen zu einem möglichen Sicherheitsvorfall durch den Cloudanbieter an den Kunden zu kommunizieren und wie die Verantwortlichkeiten aufgeteilt sind: Allen Vertragsparteien muss klar sein, wer welche Aufgaben und Verantwortlichkeiten innehat.

Anpassungen der Prozesse rund um das Thema Sicherheitsvorfallsbehandlung und Forensik in der Cloud zeigt Tabelle 1. Dabei werden Aufgaben zusammen mit den im BSI IT-Grundschutz-Kompendium angegebenen Verantwortlichen und den Anforderungsnummern aufgeführt.

Tabelle 1: Integration der Cloud in bestehende Prozesse der Sicherheitsvorfallsbehandlung und Forensik
Tabelle 1: Integration der Cloud in bestehende Prozesse der Sicherheitsvorfallsbehandlung und Forensik

Meldewege

Das Ziel jeder Vorfallsbehandlung ist, die Zeitspanne, in der ein möglicher Sicherheitsvorfall nach seiner Entdeckung unbehandelt bleibt, möglichst gering zu halten. Es sollte daher definierte Kommunikationswege zum Cloudanbieter geben, sodass dieser im Falle eines vermuteten Sicherheitsvorfalls ohne große Umwege zu kontaktieren ist. Umgekehrt sollten auch Informationen vom Cloudanbieter möglichst unverzüglich verarbeitet werden – beim Kunden sollte hierzu eine verantwortliche Stelle benannt sein, die Meldungen bewerten und zeitnah an die richtigen Stellen weiterleiten kann. Eine solche Stelle kann beispielsweise der Helpdesk der IT-Abteilung in einem Unternehmen sein. Dokumentierte Melde- und Alarmierungswege sollten auch die Cloud-Meldewege umfassen – beteiligte Parteien sollten über diese Änderungen informiert werden.

Cloud-Zugriff für die Incident-Response

Das Team zur Durchführung von Sicherheitsvorfallsbehandlungen sollte in der Cloud ebenfalls eine Umgebung für die Sicherheitsvorfallsbehandlung erhalten. So sollten Benutzerkennungen existieren, die im Falle eines Sicherheitsvorfalls zum Einsatz kommen können. Dabei ist darauf zu achten, dass diese Konten nur benötigte Berechtigungen erhalten und nicht für das tägliche Arbeiten verwendet werden.

Die Sicherheitsvorfall-Umgebung sollte weiterhin über einen Cloud-Storage verfügen, der nur einmal beschrieben werden kann (WORM), um darin Beweise zu sichern. Weiterhin sollte sie auf Netzwerkebene von anderen Umgebungen in der Cloud getrennt sein, um so auffällige und zu untersuchende Systeme in eine Art „Quarantäne“ verschieben zu können.

Die Kennzeichnung von Systemen über Tags kann man in der Cloud für die Sicherheitsvorfallsbehandlung nutzen, indem ein Dashboard in der Cloud-Umgebung des Sicherheitsvorfallsbehandlungs-Teams aufgebaut wird, das als „auffällig“ gekennzeichnete Systeme anzeigt.

Detektionen in der Cloud

Inzwischen bieten immer mehr Cloudanbieter eigene Monitoring- und Protokollierungslösungen an, die den Kunden beim Verdacht auf einen Sicherheitsvorfall kontaktieren. Dabei ist es wichtig, dass die korrekten und vollständigen Kontaktdaten für solche Alarmierungen hinterlegt sind.

Neben einer möglichst zeitnahen Reaktion auf einen gemeldeten mutmaßlichen Sicherheitsvorfall ist jedoch auch die eigenständige Detektion möglicher Sicherheitsvorfälle notwendig. Vorhandene oder zu implementierende Detektionsmöglichkeiten sind zu erfassen und zu bewerten. Bei der Erhebung können die folgenden Fragen helfen:

  • Sind Protokollierungsmöglichkeiten in der Cloud aktiviert?
  • Können Protokolldaten in ein SIEM überführt werden?
  • Gibt es Auswertemöglichkeiten in der Cloud?
  • Gibt es Monitoringdienste, die in der Cloud hinzugebucht werden können?
  • Gibt es die Möglichkeit, Alarme zu konfigurieren?
  • Gibt es Werkzeuge von Drittanbietern, welche die Protokollierung und das Monitoring in der Cloud unterstützen können?

Nach der Erhebung der Möglichkeiten zur Detektion möglicher Sicherheitsvorfälle sollte man diese hinsichtlich ihrer Reichweite und Aussagekraft bewerten. Bei der Erhebung der möglichen Detektionspunkte sollten mögliche Cloud-Access-Security-Broker (CASB), die beispielsweise zur Data-Loss-Prevention (DLP) genutzt werden, ebenfalls betrachtet werden: Da durch einen SB-Dienst in der Regel alle Zugriffe zur Cloud hindurchgeleitet werden, können diese Informationen ebenfalls bei der Behandlung eines möglichen Vorfalls helfen.

Interessante Ereignisse

In Cloudumgebungen gibt es unterschiedliche Ereignistypen, die auf einen möglichen Sicherheitsvorfall hinweisen können. Beispielsweise können Abrechnungsalarme helfen, Krypto-Miner frühzeitig zu entdecken: Denn wenn monatelang der Abrechnungsalarm erst am Ende eines Monats oder aber gar nicht ausgelöst wurde und dann plötzlich das übliche Volumen eines Monats bereits in der ersten Woche erreicht sein sollte, kann es sein, dass ein Angreifer die Cloud-Ressourcen etwa zur Bitcoin-Berechnung missbraucht – oder auch beispielsweise ein Programmierungsfehler in einer Cloud-Anwendung vorliegt, der sehr teuer werden kann, wenn er nicht schnell bemerkt und korrigiert wird.

Auch Ereignisse, die das Benutzerverhalten in der Cloud betreffen, können auf mögliche Sicherheitsvorfälle aufmerksam machen: Wenn ein Benutzer sich etwa zu einer ungewöhnlichen Tageszeit einloggt oder plötzlich binnen zwei Stunden den Arbeitsort von Köln nach Miami verlagert, könnte dies auf einen Missbrauch durch Angreifer hinweisen. Besonders beim Überwachen des Benutzerverhaltens sollte man allerdings vorab die gesetzlichen Rahmenbedingungen und Mitbestimmungspflichten (bspw. des Betriebsrats) prüfen. Aufgrund spezifischer gesetzlicher Vorgaben in Deutschland sollte darüber hinaus sichergestellt werden, dass Daten nicht in andere, nicht genehmigte Regionen eines Cloudanbieters übertragen werden. So etwas könnte beispielsweise durch einen Konfigurationsfehler auch unbemerkt geschehen.

Forensik in der Cloud

Sicherheitsvorfallsbehandlung und IT-Forensik sind eng miteinander verbunden und weisen gemeinsame Schnittstellen und Techniken auf. Bei der Sicherheitsvorfallsbehandlung liegt der Fokus auf dem Eindämmen des aktuellen Sicherheitsvorfalls. Hierfür sucht man nach Anzeichen einer möglichen Kompromittierung, um alle beteiligten Systeme zu identifizieren, zu bereinigen oder neu aufzusetzen. Ein weiterer Fokus liegt im Schließen gefundener Sicherheitslücken und möglicher Angriffsvektoren, welche die Kompromittierung möglich gemacht oder begünstigt haben.

Die IT-forensische Untersuchung hingegen erfolgt häufig erst nachgelagert zur Sicherheitsvorfallsbehandlung und hat eher das Ziel, die Ereignisse für eine mögliche gerichtliche Untersuchung zu sichern und zu analysieren. Die IT-Forensik (wie übrigens auch die Sicherheitsvorfallsbehandlung) lässt sich grob in die zwei Teile „Vorbereitungsmaßnahmen“ und „Durchführung“ unterteilen. Der Baustein „DER.2.2 Vorsorge für die IT-Forensik“ aus dem BSI ITGrundschutz-Kompendium zeigt, welche Vorsorgemaßnahmen für eine IT-forensische Untersuchung notwendig und möglich sind.

Untersuchung eines Sicherheitsvorfalls

Abbildung 1 zeigt mögliche Informationsquellen für forensische Untersuchungen je nach genutztem Dienstleistermodell – die meisten Datenquellen stehen bei „Infrastructure as a Service“ (IaaS) zur Verfügung.

Für die Analyse gesammelter Daten kann man diese entweder auf lokale Systeme übertragen oder die Analyse innerhalb der Cloud in einer separaten Umgebung zur Sicherheitsvorfallsbehandlung vornehmen. Für eine lokale Analyse spricht, dass gewohnte Werkzeuge zum Einsatz kommen können. Für die Analyse in der Cloud spricht hingegen, dass die Daten nicht zunächst heruntergeladen werden müssen, was inzwischen schnell in die Terabytes gehen kann und dann wertvolle Zeit in Anspruch nimmt. Die Entscheidung ist somit letztlich vom jeweiligen Fall abhängig.

Auch wenn Funktionalität und Eigenschaften der Cloud eine forensische Untersuchung erschweren, können bestimmte Cloud-Funktionen auch zu einer Erleichterung der forensischen Untersuchung beitragen: Denn bestimmte Tätigkeiten, wie beispielsweise das Sammeln von Protokolldaten, lassen sich in der Cloud automatisieren.

Nicht zuletzt sollte man Handlungsanweisungen für den Umgang mit bekannten Sicherheitsvorfällen in der Cloud erstellen. Diese Handlungsanweisungen ähneln Betriebskonzepten und bestehen aus einer einfachen Schritt-für-SchrittAnleitung für wiederkehrende Tätigkeiten bei der Sicherheitsvorfallsbehandlung.

Werkzeuge

Werkzeuge für lokale Systeme können in der Regel weiterverwendet werden. Es gibt noch nicht viele Werkzeuge mit cloudspezifischen Mechanismen, da das Thema der forensischen Untersuchungen in Cloudumgebungen noch recht neu ist. Für die Bearbeitung von Sicherheitsvorfällen in der Cloud gibt es aber beispielsweise schon fertige virtuelle Workstations, welche die notwendigen forensischen Werkzeuge installiert haben.

Teilweise existieren auch Werkzeuge, die nur bei einzelnen Cloudanbietern eingesetzt werden können und von den Cloudanbietern selbst implementierte Werkzeuge zur Sicherheitsvorfallsbehandlung, die beispielsweise in Form eines Workflows durch die einzelnen Schritte der Sicherheitsvorfallsanalyse führen und dabei den gesamten Protokolldatenpool im Hintergrund analysieren.

Übung macht den Meister

Eine forensische Untersuchung in der Cloud unterscheidet sich in Teilen von der Forensik lokaler Systeme: Beispielsweise fallen in der Cloud in der Regel mehr Daten an. Damit betraute Mitarbeiter sollten in den Besonderheiten einer forensischen Untersuchung in der Cloud geschult werden, wobei besonders auf die spezifischen Möglichkeiten und Einschränkungen in der Cloud einzugehen ist.

Um das Wissen aktuell zu halten, sollten Teams zur Sicherheitsvorfallsbehandlung und Forensik das Vorgehen regelmäßig üben und nach abgeschlossenen Sicherheitsvorfällen auch gewonnene Erkenntnisse herausarbeiten und Verbesserungen in die Prozesse und Handlungsanweisungen zurückfließen lassen.

Abbildung 1 Verfügbare Daten für forensische Untersuchungen pro Dienstleistungsmodell
Abbildung 1 Verfügbare Daten für forensische Untersuchungen pro Dienstleistungsmodell

Herausforderungen und Chancen der Cloud-Forensik

Bei Clouddiensten sind immer zwei Parteien beteiligt – Anbieter und Kunde. Somit werden entsprechend des Shared-ResponsibilityModells Teile der Cloudumgebung alleine oder teilweise vom Anbieter verantwortet – der Kunde weiß beispielsweise in der Regel nicht, auf welchem Speichermedium im Rechenzentrum des Anbieters seine Daten letztlich abgelegt sind. Dementsprechend wäre auch die Mithilfe des Cloudanbieters bei einer klassischen IT-Forensik notwendig. Doch da verschiedene Kundendaten auf den Systemen vorhanden sein können, ist dies kein einfaches Unterfangen. Somit wird klar, dass der Kunde offensichtlich den ersten Schritt einer klassischen forensischen Untersuchung – die Erstellung eines OfflineImages des physischen Datenträgers – nicht so einfach in einer Cloudumgebung durchführen kann.

Kunde und IT-Forensik sind stark davon abhängig, welche forensischen Spuren und relevanten Merkmale der Cloudanbieter sammelt und wie er diese zur Verfügung stellt. Häufig ist das Bereitstellen aller Informationen für eine forensische Untersuchung allein aufgrund des Datenvolumens nicht möglich. Auch die Flexibilität, virtuelle Maschinen mit einem Klick zu „erschaffen“ und im nächsten Moment wieder zu löschen, hat zur Folge, dass Daten gelöschter virtueller Maschinen größtenteils verloren gehen. Daher ist es wichtig, Protokolldaten nicht in virtuellen Maschinen, sondern zentral zu sammeln – beispielsweise beim Anbieter oder lokal innerhalb der eigenen Organisation. Für eine lokale Speicherung spricht, dass in letzter Zeit Angreifer in der Cloud häufiger die Protokolldaten verschlüsselt haben, sodass betroffene Organisationen nicht mehr an sie herankommen.

Außerdem sind sowohl Datenintegrität als auch Beweiskette für eine forensische Untersuchung von entscheidender Bedeutung. In einer Cloud-Umgebung ist der Beweis, dass die Datenintegrität gewahrt wurde, jedoch nicht einfach zu erbringen. Der Cloudkunde allein kann nicht zu allen Faktoren in der Cloudumgebung Auskunft geben – daher kann es sinnvoll sein, mit dem Anbieter Unterstützung für den Fall einer forensischen Untersuchung vertraglich zu vereinbaren.

Aufgrund dieser Herausforderungen sollten Forensiker, die eine Untersuchung in der Cloud durchführen, unbedingt ausreichend geschult sein. Da es keine einheitlichen Standards für Cloudumgebungen gibt, sind dabei besonders auch gute Kenntnisse der konkreten Cloudumgebung des jeweiligen Anbieters wichtig.

Größere Cloudanbieter haben inzwischen mehr Möglichkeiten für die Forensik im Programm: So gibt es beispielsweise die Möglichkeit, Systeme leicht zu klonen und diese in einer isolierten Umgebung zu untersuchen – das erleichtert die Cloud-Forensik zumindest beim Dienstleistungsmodell „Infrastructure as a Service (IaaS)“.

Infrastructure as a Service (IaaS)

Von allen Dienstleistungsmodellen der Cloud bietet IaaS Forensikern den größten Spielraum für Untersuchungen. Hier können die bereits angesprochenen Werkzeuge zum Einsatz kommen (z. B. die SANS Investigative Forensic Toolkit Workstation – SIFT, siehe https://digitalforensics.sans.org/community/downloads und [2])

Die großen Cloudanbieter lassen inzwischen alle die Erstellung von Disk-Images über ihre Schnittstellen zu. Das erstellte Image sollte man dann – wie bei einer lokalen forensischen Untersuchung – gesichert speichern. Dazu sollten Maßnahmen zur Datenintegrität getroffen werden, wie die Erstellung und sichere Speicherung von Hashwerten.

Das Auslesen des flüchtigen Speichers ist in der Cloud hingegen schwierig, da kein Zugriff auf den Hypervisior erfolgen kann. Hier gibt es Werkzeuge, die beispielsweise über eine Kerneländerung an die notwendigen Daten in der virtuellen Maschine gelangen können.

Platform as a Service (PaaS)

PaaS baut auf dem Dienstleistungsmodell IaaS auf, stellt jedoch eine Plattform zur Entwicklung von Anwendungen bereit. Man kann also gleich den Fokus auf deren Entwicklung legen – einen dazu benötigten Webapplikationsserver aufzusetzen, ist beispielsweise nicht mehr notwendig.

Der Kunde hat im PaaS-Bereich mehr Möglichkeiten, um an seine Protokolldaten zu gelangen: So hat er naturgemäß Zugriff auf die Protokollierung der eigenen Anwendung, aber auch auf vom Cloudanbieter bereitgestellte Protokolldaten.

Eine mögliche Herausforderung der PaaS-Forensik kann darin bestehen, dass sich die vom Cloudanbieter bereitgestellten Protokolldaten von den über die Anwendung gesammelten Informationen unterscheiden und sich diese Diskrepanz eventuell nicht ohne Informationen des Cloudanbieters auflösen lässt. Entsprechend sollte eine Kontaktmöglichkeit zum Cloudanbieter bestehen, um technische Fragen zu klären

Software as a Service (SaaS)

Bei SaaS erhält der Kunde Zugriff zu einer Cloudanwendung, die immer auf dem neusten Stand und in der Regel ohne Unterbrechung verfügbar ist. Doch so einfach sich SaaS im Betrieb für den Cloudkunden gestaltet, so schwierig sind forensische Untersuchungen: SaaSAngebote bieten auf der Kundenseite meistens nicht mehr als die vom Cloudanbieter bereitgestellten Protokolldaten an, deren Detaillierungsgrad je nach Produkt deutlich unterschiedlich ausfällt. Daher sollte man schon in der Vorbereitungsphase vorhandene Protokolldaten analysieren und untersuchen, ob alle notwendigen Informationen gesammelt werden.

Fazit

In allen drei Fällen (IaaS, PaaS, SaaS) sollten Cloud-Forensiker auch die Protokolldaten der Clients in ihre Untersuchungen einbeziehen, die Zugriff auf die Cloudumgebung haben, um ein umfangreicheres Bild des Vorfalls zu erhalten.

Wer die Herausforderungen der Datensammlung überwunden hat, kann durchaus große Datenmengen zur forensischen Analyse vorliegen haben. Diese Daten können von sehr unterschiedlicher Art und Tiefe sein. Es bietet sich daher an, schon vorher ein Vorgehen zur Analyse zu erarbeiten.

Das Ziel einer forensischen Analyse ist es, den genauen Ablauf eines Sicherheitsvorfalls zu rekonstruieren. Doch die hohe „Vergänglichkeit“ in der Cloud – also das schnelle Hinzubuchen und wieder Löschen von Diensten – kann diese Rekonstruktion erschweren oder gar unmöglich machen.

Sicherheitsvorfallsbehandlung und Forensik in der Cloud bringen neue Herausforderungen und Chancen mit sich – beides macht eine Anpassung bestehender Prozesse zur Sicherheitsvorfallsbehandlung und zur Durchführung von IT-Forensik in der Cloud notwendig. Diese Anpassungen sollten möglichst vor Eintritt eines vermuteten Sicherheitsvorfalls in bestehende Prozesse integriert werden.

Inés Atug ist Managing Consultant mit den Schwerpunkten Cloud-Security und Informationssicherheit bei HiSolutions. Jordan Cropper ist Consultant mit den Schwerpunkten technische Audits (Konfigurationsaudits, Penetrationstests, Code-Reviews) sowie Cyber-Response und IT-Forensik.

Literatur

[1] BSI, Edition 2019 des IT-Grundschutz-Kompendiums, Februar 2019, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_ Kompendium_Edition2019.html

[2] SANS, Digital Forensics and Incident Response Blog, Category: SIFT Workstation, https://digital-forensics.sans.org/blog/category/sift-workstation

[3] European Union Agency for Network and Information Security (ENISA), Exploring Cloud Incidents, Juni 2016, www.enisa.europa.eu/publications/exploring-cloudincidents

Diesen Beitrag teilen: