Cloud-Sicherheit: Neue Studie zu Fortschritten in Unternehmen

Richtige Kultur etablieren, um optimale Sicherheit für cloud-basierte Daten, Anwendungen und Workloads zu realisieren

[datensicherheit.de, 24.03.2021] Vectra AI hat nach eigenen Angaben bei EMA (Enterprise Management Associates) eine internationale Studie zum Thema Cloud-Sicherheit in Auftrag gegeben. Ziel sei es gewesen herauszufinden, in welchen Bereichen IT-Sicherheitsexperten auf dem Weg zu besseren Cloud-Sicherheitspraktiken sind. Fragestellungen waren demnach unter anderem, ob die Verantwortlichkeiten im Unternehmen klar sind, worin die größten Bedrohungen liegen und wie Unternehmen bei der Cloud-Sicherheit vorgehen. Ein essentielles Fazit der Studie von Vectra: „Neben modernen Technologie gilt es generell, die richtige Kultur zu etablieren, um die optimale Sicherheit für cloud-basierte Daten, Anwendungen und Workloads zu realisieren.“

Unternehmen müssen festlegen, wer intern für Sicherheit von Cloud-Assets verantwortlich ist

Das Modell der geteilten Verantwortung besage, dass Cloud-Provider für die „Sicherheit der Cloud“ und Kunden für die „Sicherheit in der Cloud“ verantwortlich seien. Unternehmen müssten daher festlegen, wer intern für die Sicherheit von Cloud-Assets verantwortlich ist. Das IT-Sicherheitsteam scheine vielerorts eine naheliegende Antwort zu sein, „wie 46 Prozent aller Befragten angaben, doch 28 Prozent sehen hier das Cloud-Operations-Team in der Verantwortung“. Neun Prozent hätten angegeben, dass das Netzwerkbetriebsteam in erster Linie für die Cloud-Sicherheit verantwortlich sei. Sechs Prozent hätten geantwortet, dass die Verantwortung von zwei oder mehr Gruppen getragen werde, in der Regel dem IT-Sicherheitsteam und entweder dem Cloud-Operations-Team oder Infrastrukturteam geteilt worden sei.
„Die Teilnehmer der Vectra-Umfrage sollten auch die Bedrohungen für cloud-basierte Assets bewerten. Der größte Prozentsatz (16%) entfiel hier auf Datenverlust durch eine falsche Konfiguration der Cloud-Konten, gefolgt von Datenexfiltration durch böswillige Außenstehende (14%).“ Als weitere Risiken hätten die Befragten Account-Hijacking (11%), eine fehlende Cloud-Sicherheitsarchitektur und -strategie (10%) sowie Insider-Bedrohungen (9%) genannt.

Sicherheitsbeauftragte in Anwendungsentwicklung einbeziehen, um Erstellung sichereren Cloud-Codes zu gewährleisten

„Sicherheitsexperten vertreten die Auffassung, dass Sicherheitsbeauftragte in die Anwendungsentwicklung einbezogen werden sollten, um die Erstellung von sichererem Cloud-Code zu gewährleisten.“ Nötig sei auch ein kultureller Wandel, der einen neuen Ansatz und andere Tools als bislang verwendet erfordere. Wichtiger denn je sei, „dass Sicherheits- und Entwicklungsteams effektiv zusammenarbeiten, um Schwachstellen zu testen, zu identifizieren und zu beheben, bevor diese von bösartigen Akteuren ausgenutzt werden“.
Eine wichtige Rolle bei der Cloud-Sicherheit spiele auch die Automatisierung zur Absicherung von Cloud-Implementierungen. Um den Stand der Automatisierung in den Unternehmen zu ermitteln, habe EMA die Teilnehmer gefragt, welchen von fünf verschiedenen Automatisierungsgraden sie bei der Absicherung ihrer Cloud-Implementierungen erreicht hätten. Das Ergebnis: „Die meisten Unternehmen befinden sich irgendwo zwischen dem geringsten Automatisierungsgrad, also der manuellen Verwaltung von Richtlinien und Prozeduren, und dem höchsten Automatisierungsgrad, bei dem die Automatisierung umfassend ist und alle unternehmensweit genutzten Cloud-Domains abdeckt.“

Moderne Erkennungs- und Reaktionstechnologien versprechen besseren Einblick in Cloud-Datenverkehr

Hinsichtlich der Wahl geeigneter Tools zum Schutz von cloud-basierten Assets scheine die Mehrheit der Unternehmen ein reiferes Niveau erreicht zu haben. Herkömmliche Sicherheitskontrollen, wie sie im internen Rechenzentrum zum Einsatz kämen, auf cloud-basierte Assets anzuwenden, habe sich als ineffektiv erwiesen. Der größte Prozentsatz der Befragten habe angegeben, dass ihre Unternehmen moderne cloud-native Überwachungstechnologien zum Schutz von Cloud-Anwendungen und -Workloads einsetzten (35%), gefolgt von hybriden Lösungen, also sowohl Technologie für interne Rechenzentren als auch Technologie von Cloud-Anbietern (30%). Nur 20 Prozent aller Befragten hätten angegeben, dass sie bestehende On-Premises-Kontrollmaßnahmen auf cloud-basierte Anwendungen und Workloads anwendeten. „Dieser Prozentsatz ist erfreulicherweise rückläufig und wird wahrscheinlich weiter sinken. Nur sieben Prozent der Sicherheitsteams verlassen sich auf proprietäre Sicherheitskontrollen, die von den einzelnen Cloud-Anbietern angeboten werden, um ihre Workloads und Anwendungen zu schützen.“
Neuere Tools wie CSPM (Cloud Security Posture Management), die bei der Erkennung und Behebung von Fehlkonfigurationen in der Cloud helfen sollten, seien bei den befragten Unternehmen noch nicht weit verbreitet. Moderne Erkennungs- und Reaktionstechnologien versprächen einen besseren Einblick in den Cloud-Datenverkehr. Tatsächlich gäben 80 Prozent der Befragten an, dass sie wüssten, dass die NDR-Technologie auf den Cloud-Datenverkehr angewendet werden könne. Von diesen Befragten sähen 48 Prozent den Hauptwert in der Fähigkeit, Bedrohungen und Anomalien in Echtzeit zu erkennen. 21 Prozent sähen den größten Vorteil in der Unterstützung von Reaktionsmaßnahmen wie Untersuchung und Schadensbegrenzung.

Weitere Informationen zum Thema:

datensicherheit.de, 22.12.2020
Auf einem Auge blind: E-Mail im Fokus – SaaS ignoriert

datensicherheit.de, 27.08.2020
VECTRA: Kritische Systeme auf den Prüfstand stellen

VECTRA
EMA: Securing Cloud Assets – How Security Pros Grade Their Own Progress