Incident Response in der Cloud
Infrastruktur in der Cloud bietet durch die Erreichbarkeit im Internet besonders viel Angriffsfläche. Schon eine Fehlkonfiguration kann für einen Datenabfluss reichen. Um das Ausmaß eines Angriffs zu beurteilen, müssen alle nötigen Logs verfügbar sein.
Mit der Migration der Unternehmensinfrastruktur in die Cloud setzen auch die Angreifer ihre Hebel direkt dort an [1]. Denn im Vergleich zu einer On-Premises-Infrastruktur bietet die Cloud per Design eine große Angriffsfläche, da die Ressourcen remote über das Internet erreichbar sein sollen. Somit sind die Berechtigungsverwaltung und das Zugriffsmanagement zentrale Komponenten des Absicherns von Cloud-Umgebungen. Bereits eine Fehlkonfiguration kann zu großem Schaden führen: Angreifer durchsuchen das Internet aktiv nach veröffentlichten API-Schlüsseln oder öffentlich zugänglichen S3-Buckets.
Die Angriffsszenarien sind altbekannte Phänomene wie Ransomware, Datenabfluss oder kompromittierte Benutzer. Was in der Cloud neu ist, ist der Missbrauch von Ressourcen, was einen nicht zu unterschätzenden finanziellen Schaden mit sich bringt. Die Kosten von Cloud-Diensten orientieren sich an der übertragenen Datenmenge oder den verwendeten Ressourcen. Angreifer können durch schädliche Aktivitäten die monatlichen Rechnungen erheblich in die Höhe treiben.