Monitoring des Applikationsverhaltens
Komplexe Multi-Clouds überwachen
Fortsetzung des Artikels von Teil 1
Bestimmung der Baseline durch Prozessfokus
Für die Praxistauglichkeit verhaltensbasierter Cloud-Sicherheit ist entscheidend, ob und wie exakt sich der Normalzustand (die Baseline) individueller Umgebungen bestimmen lässt. Entsprechende Technologien sind aber bereits patentiert. Um alle Cloud-Aktivitäten bei diesen Lösungen erfassen zu können, fokussiert sich das Monitoring auf Prozesse, also auf die kleinstmögliche vom Betriebssystem unterstützte Einheit. Jede einzelne Applikation nutzt bestimmte Prozesse, verschiedene Applikationen mischen ihre Prozesse nicht. Folgende Faktoren machen Prozesse zu geeigneten Analyseeinheiten:
- Validierbar: Jeder Prozess ist mit einer bestimmten Binärdatei verbunden, die einen spezifischen SHA-256 Hash aufweist.
- Nachverfolgbar: Prozess-Monitoring erfasst die Startumstände von Prozessen und kann nachvollziehen, welche Anwender, Applikationen oder anderen Prozesse für den Aufruf verantwortlich sind.
- Vorhersagbar: Prozesse haben bestimmte Command Lines, Zwecke und Lebenszyklen.
- Unumgänglich: Prozesse sind verantwortlich für die gesamte Kommunikation. Nur Prozesse sprechen miteinander und mit externen Hosts im Internet.
Auf den Host-Systemen installierte Agenten erfassen alle Prozessinteraktionen in Echtzeit, auch wenn sie innerhalb einer Datei stattfinden. Auf einem einzelnen Server laufen dabei in der Regel mehrere Applikationen und Container, die sich nicht identisch verhalten. Um eine präzisere Baseline zu erzielen, unterscheidet das Prozess-Monitoring zwischen den Verhaltensweisen und differenziert zudem zwischen interaktivem (initiiert von Anwendern) und nicht-interaktivem Datenverkehr (initiiert von Applikationen).
Das Verhalten von App-zu-App-Datenverkehr lässt sich sehr gut vorhersagen und ändert sich auch nicht beim Auto-Scaling von Applikationen in der Cloud. Anwenderverhalten lässt sich hingegen schwerer voraussagen. Um solche und weitere Unterschiede in der Baseline zu berücksichtigen, gruppiert das Monitoring die Aktivitäten in verschiedene Kategorien. Zu diesen zählen:
- Kommunikation von Applikationen/Prozessen,
- Start von Applikationen,
- Maschinenkommunikation,
- Maschine-Server-Kommunikation,
- Änderungen von Privilegien, und
- Insider-Verhalten (menschliche Anwender).
Im Gegensatz zu anderen Host-basierten Intrusion-Detection-Systemen steht nicht die Analyse individueller Entitäten im Mittelpunkt: Das Prozess-Monitoring sammelt zwar Daten Tausender Maschinen, Prozesse, Anwender und Container, aggregiert diese aber auf Basis des Verhaltens in Gruppen. Die Analyse erfolgt nicht auf der Ebene der Host-Systeme, sondern auf Datacenter-Ebene.
Verhaltensbasiertes Prozess-Monitoring vergleicht das aktuelle Verhalten einer Entität mit dem bekannten Verhalten derselben Entität im Zeitverlauf und dem Verhalten der Peer-Gruppe aus vergleichbaren Entitäten. Alarme generiert das Monitoring dementsprechend nicht pro Workload oder Applikation, sondern pro Analysegruppe. Das reduziert die Anzahl der Alarme deutlich.
Vorteile für die Security
Die Konzentration auf das Verhalten von Applikationen und Prozessen eliminiert fragmentierte Detailinformationen, die ansonsten den Blick auf das Gesamtbild verstellen. Stopp oder Neustart von VMs und Prozessen, ein A-B-Failover oder sogar der Start einer Applikation in einem neuen Cloud-Account ändern nichts am Verhalten. Aus mehreren Millionen Vorgängen im Cloud-Rechenzentrum entsteht eine kondensierte und stündlich aktualisierte „Karte der Normalität“. Der Abgleich mit dem bekannten Verhalten und dem Kontext der Peer-Analysegruppe identifiziert bekannte und unbekannte Bedrohungen sowie Anomalien, darunter Ab- oder Zuflüsse ungewöhnlicher Datenmengen in Amazon S3 Buckets, unerwartete Verbindungen von Applikationen oder auffälliges Anwenderverhalten.
Verhaltensbasierte Sicherheit
Mit Regeln können Sicherheitsverantwortliche solche verdächtigen, aber nicht grundsätzlich ausgeschlossenen Aktivitäten nur schwer im Vorfeld abfangen. Wenn Angreifer zum Beispiel legitime Anwender-Credentials für illegitime Zwecke einsetzen, ist das mit Regeln nicht immer zu erkennen. Verhaltensbasierte Sicherheit lernt hingegen, wie ein Anwender normalerweise agiert. Die Legitimität der Credentials ist hier nur ein Anhaltspunkt. Erfolgt der Zugriff zu einem ungewöhnlichen Zeitpunkt, nach längerer Inaktivität, auf neue Ressourcen oder von einer unbekannten Maschine aus, schlägt das Prozess-Monitoring aufgrund dieser Anomalien zuverlässig Alarm.
Unternehmen verabschieden sich nicht leichthin von etablierten Werkzeugen und langjährig bewährten Denkweisen. Aber im Bereich der IT-Sicherheit erscheint ein „Weiter so“ kaum mehr möglich: Hybrid Clouds, Multi-Clouds, Container und Serverless Computing haben die Infrastrukturen innerhalb kurzer Zeit grundlegend verändert – und das Tempo der Veränderung wächst. Hersteller können die bisherigen Ansätze nicht unbegrenzt auf dynamische Umgebungen übertragen. Deshalb spricht heutzutage einiges für einen Neustart der Sicherheit in der Cloud.
Bernd Mährlein ist Area Director Central Europe bei Lacework.
- Komplexe Multi-Clouds überwachen
- Bestimmung der Baseline durch Prozessfokus
Lesen Sie mehr zum Thema
