ExtraHop hat mit Reveal(x) Cloud eine SaaS-Lösung für die Erkennung und ‑abwehr von Netzwerkbedrohungen in Hybrid Clouds vorgestellt. Die Software soll Sicherheitsteams kontinuierlich einen detaillierten Überblick über ihre AWS-Infrastruktur liefern, sodass sie Transaktionen analysieren, Bedrohungen erkennen und umgehend auf Angriffe reagieren können.

Zum Schutz der dynamischen Workloads in der Cloud genüge es nicht, alte Sicherheitsprozesse auf neue Technologien aufzusetzen, betont man bei Extrahop: Die rasche Analyse komplexer Bedrohungen sei damit nicht möglich. Für diesen Einsatzzweck soll Reveal(x) Cloud eine SaaS-Lösung für die Katalogisierung von Ressourcen und die Bedrohungserkennung, ‑analyse sowie ‑abwehr in AWS-Umgebungen liefern.

Die Lösung nutzt laut Hersteller Amazons VPC Traffic Mirroring (VPC: Virtual Private Cloud) für die passive Überwachung des Netzwerkverkehrs der Cloud-Workloads sowie Private Network Peering für die sichere Datenübertragung zwischen verschiedenen AWS-Konten. Zudem stelle sie native Verbindungen zu Amazon CloudWatch, CloudTrail, den Amazon-VPC-Flow-Logdateien und anderen AWS-Datenquellen her.

Reveal(x) Cloud umfasst laut Extrahop-Angaben Funktionen, mit denen Sicherheitsteams das Modell der geteilten Verantwortung („Shared Responsibility“: Verteilung von Zuständigkeiten zwischen Cloud-Provider und Anwenderunternehmen) umsetzen können. Ein Unternehmen könne damit die Einhaltung von Compliance-Vorgaben für Cloud-Workloads sicherstellen und Security-Maßnahmen auf die gesamte Hybrid-Cloud-Angriffsfläche ausdehnen.

Die Software überwacht und klassifiziert laut Extrahop alle AWS-Workloads. Ein Sicherheitstechniker könne nicht autorisierte Instanzen erfassen, die Untersuchung verschiedener Bedrohungen anhand von Risikobewertungen priorisieren und sich anzeigen lassen, wie wichtig die potenziell betroffenen Ressourcen sind. Dies soll es erlauben, die gefährlichsten Bedrohungen zu identifizieren und zuerst anzugehen.

Reveal(x) Cloud unterstütze AWS-Services wie Elastic Compute Cloud (EC2), Simple Storage Service (S3) und Elastic Load Balancing. So erhalte das Sicherheitsteam den Überblick über deren Verhalten und könne per Machine Learning (ML) das Ausschleusen von Daten auf Anwendungsebene umgehend erkennen.

Die Lösung entschlüssle dazu SSL/TLS-Datenverkehr in Übertragungsgeschwindigkeit, auch wenn PFS (Perfect Forward Secrecy) zum Einsatz komme, so Extrahop. Dadurch könne das Sicherheitsteam den gesamten Netzwerkverkehr überprüfen, selbst wenn Angreifer Schaddateien verschlüsseln.

Erkannte Bedrohungen könne es zudem in Beziehung setzen zu Informationen von AWS CloudTrail, etwa über das Deaktivieren der Protokollierung, verdächtige Prozesse, Ausführen verdächtiger Dateien und so weiter, ebenso zu CloudWatch-Angaben über die Manipulation von Zugriffsrechten. Des Weiteren sei eine Integration mit Drittlösungen von Anbietern wie Phantom, ServiceNow und Palo Alto Networks möglich, um Gegenmaßnahmen zu automatisieren.

ExtraHop Reveal(x) Cloud ist bislang nur in einer Preview-Version verfügbar. Weitere Informationen finden sich unter www.extrahop.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.