Cloud Access Security Broker

SIEM auf die Cloud ausdehnen

| Autor / Redakteur: Daniel Wolf+ / Peter Schmitz

Dank der Cloud-spezifischen Sicherheitsfunktionen ist ein Cloud Access Security Broker (CASB) kein Ersatz für ein SIEM, sondern eine wichtige Ergänzung.
Dank der Cloud-spezifischen Sicherheitsfunktionen ist ein Cloud Access Security Broker (CASB) kein Ersatz für ein SIEM, sondern eine wichtige Ergänzung. (Bild: Pixabay / CC0)

Ein Security Information and Event Management (SIEM) ist heute als Sicherheitslösung für die Unternehmens-IT nicht mehr wegzudenken. Bei Public-Cloud-Diensten jedoch ist SIEM in der Erkennung von Gefahren überfordert. Cloud Access Security Broker (CASB) schließen die risikoreichen Sicherheitslücken und lassen sich problemlos in ein bestehendes SIEM-System integrieren.

SIEM bildet die IT-Sicherheit eines Unternehmens ganzheitlich ab. Relevante Daten werden zentral gesammelt und analysiert. Dazu gehören Logfiles aus der Host-, Netzwerk- und Applikationsinfrastruktur – darunter Firewalls, Web Proxies, Active Directory und Mobile Device Management. Dadurch hat es die IT-Abteilung leichter, ungewöhnliche Muster zu erkennen und Sicherheitsvorfälle zeitnah aufzudecken.

Anwendungen der Public Cloud fügen dem Gesamtbild eine weitere Facette hinzu. Im Zusammenhang mit diesen Cloud-Services kann ein SIEM zwar die Logfiles ebenfalls sammeln – aber nur wenn die Dienste User Activity Feeds via API zur Verfügung stellen. Die gesammelten Informationen lassen sich nach Zeit, Nutzer, URL, IP-Adresse und anderen Attributen filtern. Damit kann das SIEM kritische Events über alle Systeme hinweg miteinander in Verbindung bringen und nach speziellen Vorfällen filtern.

SIEM deckt Cloud-Risiken nicht komplett ab

Diese – zwar wertvollen – Funktionen reichen nicht aus, um den Einsatz von Cloud-Anwendungen wie Salesforce oder Amazon Web Services (AWS) vollständig zu kontrollieren und abzusichern. Insbesondere Fachabteilungen nutzen heute eine Vielzahl an Cloud-Diensten, gerne auch als Schatten-IT an den IT-Spezialisten vorbei. Die Studie „Cloud Adoption & Risk in Europe Report Q1 2016“ von Skyhigh Networks zeigt, dass in Unternehmen im Durchschnitt mehr als 1.000 Cloud-Services im Einsatz sind – die meisten davon werden ohne das Wissen der IT-Abteilung verwendet.

Viele Mitarbeiter gehen also zu sorglos mit Unternehmensdaten um – sie sind sich den lauernden Gefahren nicht bewusst. So verlassen zum Beispiel sensible Daten unbemerkt das Unternehmensnetzwerk oder landen unverschlüsselt auf Plattformen, die nicht über ausreichende Sicherheitsfunktionen verfügen. Ein SIEM-System hat keine Chance, solche Vorgänge automatisch zu erfassen oder Compliance-Verletzungen aufzuspüren. Darüber hinaus kann es Cloud-Dienste nicht anhand URL oder IP-Adresse erkennen oder beurteilen, ob sie für den Unternehmenseinsatz geeignet sind.

Zusätzliche Funktionen für die Cloud-Sicherheit

Im Gegensatz zu einer SIEM-Lösung sind sogenannte Cloud Access Security Broker speziell auf die Absicherung von Cloud-Services ausgerichtet und bieten dafür viele Funktionen, welche ein SIEM nicht leisten kann. Mithilfe von Cloud-Service-Signaturen beispielsweise kann ein CASB zwischen herkömmlicher Browser-Nutzung und Cloud-Nutzung unterscheiden – etwa ob sich ein Angestellter auf der AWS-Konsole einloggt oder ob er eine Webseite ansieht, die bei AWS gehostet ist. Dank einer Datenbank mit URLs und IP-Adressen kann ein CASB die einzelnen Cloud Services erkennen und eine Risikobewertung liefern. Dabei werden zum Beispiel die Sicherheitsfunktionen des Dienstes beachtet, in welchem Land der Dienst Daten hostet oder ob es in letzter Zeit Datenschutzverletzungen gab.

Gilt ein Cloud-Service als bedenklich, kann der CASB diesen blockieren. Versucht ein Mitarbeiter den gesperrten Dienst aufzurufen, wird er auf sichere Alternativen hingewiesen oder direkt umgeleitet. Zudem kann ein CASB Daten vor dem Upload in die Cloud verschlüsseln oder ein Rechtemanagement anwenden. Auch für bereits hochgeladene Daten in der Public Cloud lassen sich Sicherheitsrichtlinien nachträglich noch umsetzen, indem beispielsweise Daten verschlüsselt und Zugriffsrechte widerrufen werden.

Darüber hinaus wendet ein CASB maschinelle Lernverfahren und kontextbezogene Nutzungskontrollen an, um Gefahren und Sicherheitslücken aufzudecken. Im Abgleich mit historischen Daten kann die Technologie Abweichungen vom üblichen Verhaltensmustern erkennen – etwa wenn ein Nutzer eine ungewöhnlich große Menge an sensiblen Daten herunterlädt. Damit wird die komplette Cloud-Nutzung im Unternehmen transparent – denn ein CASB zeigt genau auf, welche Dienste wann, wo und bei wem im Einsatz sind.

CASB & SIEM – ein ganzheitliches Security-System

Dank der Cloud-spezifischen Sicherheitsfunktionen ist ein CASB ein bedeutsamer Baustein für eine ganzheitliche Security-Lösung. Er ist kein Ersatz für ein SIEM, sondern eine Ergänzung. Für die Zusammenarbeit zwischen einem CASB und einem SIEM gibt es zwei Möglichkeiten: Zum einen übernimmt und analysiert ein CASB Netzwerk-Logfiles, die bereits im SIEM gespeichert sind. Zum anderen: werden ungewöhnliche Vorfälle und Bedrohungen entdeckt, werden die entsprechenden Informationen ans SIEM übergeben, wo sie ins zentrale Reporting und weitere Auswertungen einfließen.

Unternehmen haben meist viel in den Aufbau ihres Security-Workflows investiert und möchten ihr Reporting und Event-Management auch weiterhin zentral von ihrem SIEM aus steuern. Daher sollten auch die Cloud-basierten Auswertungen des CASB wieder in das SIEM einfließen. Für diese Interaktion kommt daher ein On-Premise-Connector zum Einsatz. Diese Software holt sich die Logfiles, tokenisiert sowie komprimiert diese und lädt sie dann in die Cloud-Plattform des CASB hoch.

Anschließend werden die Ergebnisse in das SIEM integriert und dort können sie mit anderen Vorfällen in Korrelation gesetzt werden. Für eine solche Integration der Ergebnisse des CASB in ein SIEM gibt es zwei Wege: über einen Syslog Feed und über eine API. So lässt sich beispielsweise ein Syslog Feed konfigurieren, der alle außergewöhnlichen Vorfälle, die der CASB aufklärt, an das SIEM berichtet. Werden weitere Informationen zur Cloud-Aktivität eines Users benötigt, kann er diese im SIEM via API vom CASB abrufen.

Gemeinsam Sicherheitslücken schließen

Zusammen sind SIEM und CASB ein schlagkräftiges Team und ergänzen sich durch ihre Stärken. Ein SIEM sammelt sicherheitsrelevante Logfiles aus dem gesamten Unternehmen und wertet diese aus. Ein CASB übernimmt die Daten, analysiert sie auf Cloud-spezifische Risiken sowie Sicherheitsvorfälle und meldet die Angaben wieder an das SIEM. Dort können sie weiter bearbeitet werden. Dadurch macht der CASB den SIEM für Vorfälle aufmerksam, welche ihm sonst verborgen geblieben wären. Zusammen laufen die beiden zu voller Stärke auf – und Unternehmen machen das Beste aus ihrer Investition.

* Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44343174 / Monitoring und KI)