Cloud: opsporen van, en reageren op, bedreigingen

Om cloudgerelateerde aanvallen te identificeren en tegen te gaan, ontwikkelen cybersecurity providers hun processen en technologieën, volgens Yann Carte, Security Architect.

Migratie naar de cloud brengt nieuwe risico's met zich mee; gegevens worden nu direct blootgesteld aan het internet. Een deel van de beveiliging blijft bij een derde partij, de cloud service provider (CSP). Dit maakt de scheiding tussen privé- en publieke omgevingen kwetsbaarder dan ooit tevoren. We staan dus voor nieuwe technische uitdagingen. De eerste houdt verband met de voortdurende evolutie van cloudomgevingen en hun interfaces, met name op het gebied van geïntegreerde beveiligingsfuncties. We moeten ook jongleren met een zekere ondoorzichtigheid van de CSP's over de aard en de volledigheid van de verzamelde audit trails - in dit geval de logs. De levering van de volledige records aan een derde partij, of het nu de klant is of zijn Managed Security Service Provider (MSSP), is tot op heden nog steeds complex. Ook moet de verzameling van beveiligingsgebeurtenissen via het internet gaan, via een openbaar netwerk, wat een tegenstrijdige aanpak van SIEM-instrumenten vereist op basis van veilige architecturen, met name over kwesties van integriteit en vertrouwelijkheid van de verzamelde gegevens. Tot slot maakt de multi-cloud dimensie het verzamelen en standaardiseren van beveiligingsgebeurtenissen iets ingewikkelder.

We hebben nieuwe scenario's moeten definiëren. Sommige van de bestaande use-cases moesten worden getransformeerd omdat de verzamelde informatie nu heterogeen of zelfs onvolledig is ten opzichte van de vorige situatie. Tegelijkertijd dwongen nieuwe aanvalsmethoden, die direct verband houden met de risico's van de cloud, ons om onze use-case catalogus te voltooien. Ook hebben we te maken met een nieuwe RACI (Responsible, Accountable, Consulted and Informed). De verantwoordelijkheden van elke stakeholder moeten voor elke klantcase worden vastgesteld. Zij hebben verschillende verplichtingen met betrekking tot middelen en resultaten, afhankelijk van de situatie. Voor de analisten, met name die op niveau N3, moesten specifieke en scherpe vaardigheden worden aangeleerd.

Voor SOC's moeten de acties en beslissingen op niveau 1 zoveel mogelijk worden geautomatiseerd. Dit houdt in dat we incidenten afhandelen, ze kwalificeren en doorverwijzen naar analistenteams op hoger niveau. Het is ook onze taak om de organisatie van beveiligingsincidenten te automatiseren in een ecosysteem dat wordt bevolkt door "micro-SIEM's". Op deze manier zouden we werken op basis van waarschuwingen en niet op basis van logboeken. Alle CSP's leveren vandaag de dag SOC- of SIEM-blokken, zoals bijvoorbeeld de Azure Sentinel van Microsoft. Dit betekent dat onze experts nieuwe tools moeten leren en hun analyseprocessen moeten aanpassen om gebruik te kunnen maken van de consoles die door de CSP's ter beschikking worden gesteld. Dit toont aan dat detectie op basis van statische detectieregels zijn grenzen bereikt in de cloud: we moeten nadenken over meer dynamische detectiemiddelen op basis van de exploitatie van AI-engines en de leermachine.