Data Driven Security: Wie Cloud Computing die Karten in der Sicherheitsindustrie neu mischt

„Wir haben anders auf Sicherheit geschaut als klassische Sicherheitshersteller, die in Firewalls oder in VPNs gedacht haben“, erzählt Schroda. „Das Netzwerk ist nur ein Transport-Layer und es gilt, viele weitere Layer abzusichern.

Source: Data Driven Security: Wie Cloud Computing die Karten in der Sicherheitsindustrie neu mischt

Die eigentliche Sicherheit hängt an einer Identität.“

Diese Erkenntnis zog zunächst einige Schmerzen nach sich. „Plötzlich hatte eine Firewall wie Forefront Threat Management Gateway nicht mehr die gleiche Relevanz“, erklärt Schroda. Bald wurde Forefront abgekündigt, dessen Entwicklung Schroda lange Zeit begleitet hatte.

Aber nicht alles Know-how ging verloren. „Wir haben einzelne Funktionen und technologische Bestandteile aus Produkten herausgeschnitten und in Azure eingebracht“, berichtet Schroda. Zum Beispiel diente Advanced Thread Analytics als Basis für Microsoft’s heutigen Defender for Identity. Das hilft heute, Identitäten in der gesamten Hybrid Cloud abzusichern und einen klaren Blick darauf zu bekommen, dass keiner im Namen eines anderen unterwegs ist.

„Ein gutes Beispiel, wie On-Premises-Technologien in der Cloud besser funktionieren“, erzählt Schroda. Von Anfang an war gesetzt, dass alle Cloud-Lösungen in Sachen Sicherheit eng verzahnt arbeiten sollten.

Zum Beispiel generieren heute alle Services aus der Microsoft-Cloud eigene Logs, jeder Eintrag stellt ein Signal dar. Diese Logs aus Azure- und Office-365-Services gehen in eine Datensenke hinein, bei Microsoft in oder Log Analytics Workspace.

„Die Logs werden dann übereinandergelegt und man versucht, daraus zu erkennen, was passiert“, erläutert Schroda, der heute Business Lead Cybersecurity bei Microsoft ist. „Heute sind es nicht mehr nur die Analyst*innen, die kluge Fragen stellen, vieles wird in der Cloud von Machine Learning (ML) und Künstlicher Intelligenz (KI) abgearbeitet und damit automatisiert.“

Dabei liefert die Cloud nicht nur die KI-Tools, sondern auch die Rechen-Power: Für die Logs, die heute anfallen und deren Auswertung, könnte eine typische On-Premises-Infrastruktur nicht die notwendige Rechenkraft bereitstellen.

Die Konsole in Azure Security Center ermittelt daraus einen Secure Score, der aktuelle Schwachstellen aufzeigt und der bewertet, wie erfolgreich einzelne Maßnahmen waren. Auf diese Weise ermöglicht Azure Security Center einen holistischen Blick, wer was wann und wo macht, sobald er sich gegen Azure Active Directory authentifiziert hat.

Nahtlos in Azure Security Center integriert ist . Das Modul schützt mit Extended Detection and Response (XDR) gegen Brute-Force-Angriffe und sammelt sämtliche Hybrid Cloud-Workloads ein.

„Ich kenne viele Fälle vom Kunden, die ihre IT-Infrastruktur hybrid gestaltet und Azure Defender angebunden haben“, berichtet Schroda. „Dadurch sind auch die Logs aus den On-Premises-Systemen in Azure Security Center erschienen und sie haben Lücken entdeckt, die ihre existierenden Lösungen nicht angezeigt hatten.“

Parallel werden alle Informationen, die in Log Analytics Workspace gesammelt wurden, auch in geteilt. Das neue Cloud-SIEM von Microsoft analysiert diese Daten und liefert intelligente Sicherheitsanalysen für alle Nutzer*innen, Geräte, Anwendungen und Infrastrukturen.

Sentinel ist ein weiterer Bestandteil des mehrschichtigen Verteidigungssystems aus Machine Learning und dienstübergreifendem Information-Sharing, das Microsoft aufgebaut hat. „Damit erreichen wir eine Sichtbarkeit über Signale, die momentan keiner liefert“, resümiert Schroda.Grafik Referenzarchitektur für Azure Security Center und Azure Sentinel
Foto: Microsoft

Schroda hat den ganzen Weg verfolgt, wie die Trustworthy-Computing-Initiative vor 20 Jahren den Grundstein gelegt hat und wie das On-Premises-Know-how in einer Cloud-gerechten Art weitergeführt wurden. „Die Cloud bietet Compute-Power, KI-Tools und einen Data-Lake“, sagt Schroda. „Kommen die drei Sachen zusammen mit den besten Ingenieuren und Cyberanalysten, reden wir über zeitgemäße Cybersecurity.“

Er hat miterlebt, wie Microsoft Security-Hersteller geworden ist. Heute sind bei Microsoft über 3500 Entwickler*innen in diesem Bereich tätig und der Konzern investiert jährlich rund eine Milliarde US-Dollar für Forschung und Entwicklung.

„Mit solchen Lösungen muss man als IT-Sicherheitsverantwortliche*r keine große Wissenschaft betreiben“, denkt Schroda. „Man muss seine Hausaufgaben machen. Seine Infrastrukturen Cloud-ready machen und seine verbleibenden Hybrid-Systeme regelmäßig updaten.“

Auch dieser Tage haben wir wieder viel mit Phishing und Ransomware zu tun. Doch heute kann Microsoft E-Mail-Angriffe schnell entdecken und stoppen, wie detailliert beschreibt.

Heute könnten die Mitarbeiter*innen auch auf „I love you“ klicken. Microsoft’s Defender Produkte würden den Angriff detektieren und automatisierte Gegenmaßnahmen (Responses) treffen. Der Schadcode wird isoliert und Nutzerkonten würden temporär gesperrt werden und z.B. erst durch zusätzliche Multi-Faktor-Authentifikations-Abfragen reaktiviert werden können. Diese risikobasierende Zugriffskontrolle stellt zu jedem Zeitpunkt fest, ob Systeme wie Endpoints, Applikationen und ihre Daten oder die Identitäten kompromittiert sind. Nichts und niemandem wird vertraut. Das neue Paradigma in der Cybersecurity heißt deshalb auch „Zero Trust“.

Auf welchem Sicherheitsstand sich die Azure-Plattform aktuell befindet, das vermittelt dieser Webcast.

Leave a Reply