Mobile-Menu

5/5/5–Benchmark von Sysdig 10 Minuten bis es weh tut

Von Lucas Schmidt 3 min Lesedauer

Anbieter zum Thema

Securepoint GmbH
WatchGuard Technologies GmbH
Fsas Technologies GmbH

Ein sicherer Cloud-Betrieb erfordert heute eine schnelle Reaktionsfähigkeit. Cloud-Sicherheitsprogramme müssen sich diesen Veränderungen anpassen. Sysdig stellt mit der „5/5/5-Benchmark for Cloud Detection and Response“ dafür einen neuen Maßstab vor.

Sysdig stellt neue Benchmark für Cloud-Sicherheit vor(Bild: Canva)
Sysdig stellt neue Benchmark für Cloud-Sicherheit vor
(Bild: Canva)

Bei Angriffen auf veraltete Frameworks haben Sicherheitsteams etwa eine Stunde Zeit zu reagieren, bevor Schaden entsteht. Angriffe vor Ort dauern im Durchschnitt sogar 16 Tage. Wird jedoch eine Cloud attackiert, ist es oft schon nach wenigen Minuten zu spät. Grund genug, um auf der Hut zu sein! Genau deshalb erstellte Sysdig auf Grundlage des „2023 global cloud threat report“ den 5/5/5–Benchmark. Daraus geht hervor: Jede Sekunde zählt! So benötigen Cloud–Angriffe nur etwa 10 Minuten von der Entdeckung einer Schwachstelle bis zum Start der Attacke.

Der 5/5/5 Benchmark, der in Zusammenarbeit mit unseren Kunden, Branchenanalysten und dem Sysdig Threat Research Team entwickelt wurde, setzt einen neuen Standard für den sicheren Betrieb in der Cloud.

Anna Belak, Director, Office of Cybersecurity Strategy bei Sysdig

Woher kommen die Angriffe?

Doch wo setzen die Hacker überhaupt an, wo sind Schwachstellen? Eines der attraktivsten Ziele von Cloud-Angriffen bleiben Open-Source-Projekte. Doch warum? Um das herauszufinden platzierte das Sysdig Forschungsteam Cloud-Zugangsdaten in einem Dutzend Verzeichnisse, „package repositories“ und „exposed version control system repositories“. Am meisten Aufmerksamkeit zogen die Python Package Index Repositories auf sich. Die Studie vermutet dies aufgrund der vergangenen Angriffe auf Lieferketten und dem weitverbreiteten Einsatz von Python in AI. Die Hacker wissen eben: AI-Entwickler und Nutzer sind meist keine IT-Sicherheitsexperten.

Als weiteres beliebtes Ziel haben sich Helm Charts in GitHub herauskristallisiert. Trotz einer Verschärfung der Sicherheitsvorkehrungen bleibt dieser Service von Angriffen weiterhin nicht verschont. Einmal in einer Helm Chart angekommen, enthält diese nicht nur nützliche Informationen, sondern ermächtigt den Angreifer auch, einen ganzen Kubernetes Cluster zu kompromittieren.

Darüberhinaus bilden mittlerweile Container einen idealen Frachter für bösartigen Code. Jene sind Pakete, die alles was eine Anwendung braucht, mit sich führen. Ob Container sicher sind, lässt sich nur mit der Hilfe statischer Analysen nicht mehr zu 100 Prozent sagen. So fand die Studie heraus, zehn Prozent der bösartigen Images konnten durch statische Analysen nicht erkannt werden.

Die Cloud und ihre Herausforderungen

Die Studie betrachtet die Angriffe auch aufgeschlüsselt nach den Branchen, in denen sie passierten. Die Telekommunikationsbranche (38 Prozent) und die Finanzbranche (27 Prozent) betreffen demnach 65 Prozent aller Cloud-Angriffe. Überraschenderweise wurden kaum Attacken auf das Gesundheitswesen (5 Prozent) und die Verteidigungsindustrie (1 Prozent) ausgeübt. Überraschend vor allem aufgrund der wertvollen Daten, die hier gespeichert sind.

Um auch weiter genauso erfolgreich zu sein, verbessern sich die Cloud-Hacker dauerhaft. Die Fülle an angebotenen Services von Cloud Service Providern (CSPs) öffnet den Angreifern dafür neue Türen. Zum Beispiel ist es Hackern gelungen, ihre IP-Adresse über die AWS Virtual Private Cloud zu verschleiern. Sicherheitssysteme, die über die IP-Adresse funktionieren, werden so umgangen. Für Phil Bues, Research Manager for IDC Cloud Security, ist nicht nur deshalb klar: „Unternehmen brauchen Tools, Prozesse und Standards, die für die Geschwindigkeit von Cloud-nativen Umgebungen ausgelegt sind“.

So sind Sie sicher

Einen solchen Standard bringt Sysdig nun auf den Markt. Dieser funktioniert wie folgt: Im ersten Schritt sollten Unternehmen Sorge tragen, dass Bedrohungen innerhalb von 5 Sekunden erkannt werden. So kann beispielsweise die Sichtbarkeit kurzfristiger Cloud-Ressourcen sichergestellt werden. Folgend haben Sie laut Benchmark 5 Minuten Zeit, um die korrelierten Signale zu sammeln und diese in einen Kontext zu setzen. Im letzten Schritt bleiben Ihnen weitere 5 Minuten, um auf den Angriff zu reagieren. Um auf diesem Level den Bedrohungen entgegen zu wirken braucht es aber auch Tools, Prozesse und ein Mindset, welches auf die Cloud zugeschnitten ist. Werden alle diese Empfehlungen umgesetzt, so verbessern Firmen laut Sysdig grundlegend die Erkennung von Bedrohungen und auch die Reaktion auf sie.

Methodik

2023 Global Cloud Threat Report

Der 5/5/5-Benchmark wurde auf Basis des Sysdig 2023 global Cloud Threat Report erstellt. Dieser wurde von Sysdig selbst wie folgt erarbeitet:

  • Open Source Intelligence (OSINT): sammeln von veröffentlichten oder anderweitig öffentlichen Informationen
  • Sysdig Threat Research Team's Global Data Collection Network: Sysdigs erweitertes „Honeynet".
  • Open Source Tool Falco: Dokumentation und Analyse der benutzten Werkzeuge der Angreifer
  • Verifizierung der Ergebnisse durch Vergleich mit echten Daten aus SaaS-Portfolio von Sysdig

(ID:49774883)

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte

Jobs