Cloud Computing lernen: Sicherheit

Erfolgreiche Angriffe

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Anhand echter Fälle beschreibt Dave Linthicum, wie erfolgreiche Angriffe ablaufen und welche gravierenden Folgen sie für das betroffene Unternehmen haben können.
05:09

Transkript

Die Notwendigkeit von Cloud-Sicherheit lässt sich besser verstehen, wenn wir uns erfolgreiche Angriffe ansehen. Also geglückte Angriffe auf Systeme in anderen Unternehmen. In vielen Fällen war gar kein Cloud-Computing beteiligt. Das gilt auch für den ersten Fall, den ich Ihnen vorstelle. Aber diese Beispiele machen Muster deutlich, genauer die Angriffsvektoren, die wir analysieren sollten, um unsere Daten besser zu schützen. Der erste Fall war bei der Supermarktkette Target. Zuerst wurde über einen Phishing-Angriff das Computersystem eines Klimaanlagenherstellers kompromittiert, der Target belieferte. Von dort gelangte die Infektion zu Target. Die bösartige Software wurde auf dem Server von Target entdeckt, woraufhin das Target-Sicherheitsteam aktiv wurde. Dann wurden Kreditkartendaten der Kunden aus dem Computersystem von Target übertragen. Schließlich wurden die Bundesbehörden über die Datenschutzverletzung informiert. Das ist ein typischer Fall. Über eine Technik wie Phishing wurde Malware über einen Lieferanten in ein bestimmtes System eingeschleust, gar nicht mal von einem Komplizen, sondern von einem Mitarbeiter, der die Software unwissentlich auf das System brachte. Die Folge war, dass Target Malware in ihrer Umgebung hatte und diese Malware Informationen fand und die Daten aus dem System heraus sendete. Target musste eingestehen, dass 40 Millionen Datensätze mit Kreditkartendaten und 70 Millionen zusätzliche Kundendatensätze gestohlen wurden. Eine echte Katastrophe für den Konzern. Target musste Tausende von Dollar zahlen, um das System zu reparieren, aber das eigentliche Problem war der Imageschaden. Letztlich kostete dieser Angriff Target Milliarden von Dollar. In diesem Szenario schickte also ein Verbrecher eine E-Mail mit einem gefälschten Link, in der Hoffnung, dass der Benutzer ihn anklickt. So etwas passiert ständig. Bei Phishing-Angriffen werden E-Mails an Tausende von Menschen versendet. Der Absender scheint oft ein Bekannter zu sein, ist aber in Wirklichkeit gefälscht. In der E-Mail ist ein Link, der bösartige Software auf Ihrem Computer installiert und dadurch Ihren Computer übernehmen kann. Die Malware kann dann vertrauliche Informationen wie Passwörter an den Angreifer zurücksenden, die es ihm erlauben, in das System einzudringen und weitere Informationen zu stehlen. Der Fehler liegt hier beim Benutzer. Es waren also nicht unbedingt die Sicherheitsrichtlinien und -mechanismen veraltet. Allerdings war die Sicherheit in diesem Fall nicht sonderlich proaktiv. In diesem Fall hätte Target wirklich proaktiv sein müssen, nicht nur reaktiv. Es erfolgte eine sofortige Reaktion, sobald der Eindringling erkannt wurde. Target hätte aber proaktiv die Systeme überwachen müssen, um sicherzustellen, dass diese Malware gar nicht erst installiert wird. So hätte verhindert werden können, dass die Malware das System infiziert und Passwörter, Benutzer und schließlich ihre Daten ausspäht. Wie sieht es mit Cloud-Governance und Sicherheit aus? Wir beobachten eine gewaltige Zunahme von Betrug, gestohlenen Kreditkartendaten, Denial-of-Service-Angriffen. So etwas können Sie praktisch jede Woche erleben. Wenn Sie bei einem Onlinedienst arbeiten und sich die Anzahl der Hacks oder Angriffe auf Ihr System ansehen, werden Sie wirklich überrascht sein. Wenn wir schon als typische Benutzer jede Woche zwei oder drei Versuche sehen, wie jemand durch Phishing-Angriffe an unsere Daten kommen will, können wir davon ausgehen, dass es viele Angriffe geben wird, sobald wir etwas in die Cloud stellen. Die Zunahme bei Virenangriffen, Heartbleed, POODLE, Shellshock und so weiter. Betrug über Smartphones. Infizierte Kassensysteme und ausgespähte Kreditkartendaten wie bei Target, Home Depot, Anthem, JP Morgan, die Liste lässt sich beliebig fortsetzen. Und solche Fälle schaffen es in die Hauptnachrichten, jeder hört den Namen der betroffenen Firma. Scale-up- und Scale-down-Cloud-Architekturen kommen auch Hackern zugute. Wir brauchen einen hohen Grad an Automatisierung und Mustererkennung, um uns erfolgreich zu verteidigen. Wenn wir also ein aufwendiges Sicherheitssystem rund um unsere Cloud-basierten Systeme legen wollen, muss uns klar sein, dass wir proaktive Automatisierung brauchen, um die Systeme zu schützen. Es geht in erster Linie um Überwachung und Verwaltung, weniger darum, Sicherheitslücken zu verrammeln. Hier noch ein paar letzte Gedanken. Clouds sind in der Regel sicherer als lokale Systeme. Das ist eine neuere Entwicklung, die sich erst in den letzten Jahren gezeigt hat. Das liegt daran, dass die meisten lokalen Systeme herkömmliche Umgebungen sind, die schwer verständliche, ältere Sicherheitsumgebungen nutzen. Daher agieren sie nicht proaktiv, sie basieren auf älteren Technologien und werden in der Regel sehr schnell von den Hackern durchschaut. Wir müssen aber proaktiv sein und mit unserem Cloud-Anbieter zusammenarbeiten. Wir müssen uns selbst um das Problem kümmern. Es ist nicht die Aufgabe des Cloud-Anbieters, unsere Daten zu schützen. Er muss uns lediglich die Mechanismen zum Schutz unserer Daten zur Verfügung stellen. Und wir müssen dann aus dem, was der Cloud-Anbieter zur Verfügung stellt, die richtigen Mechanismen auswählen, um unsere Daten wirksam zu schützen. Daher ist die Sicherheit auf Daten- und Anwendungsebene entscheidend. Es geht also nicht nur um die Infrastruktur. Es genügt nicht, den Zugriff auf S3, Instanzen oder Blockspeicher zu unterbinden. Wir müssen uns um Anwendungen und um die Daten kümmern, die mit Anwendungen verknüpft sind, und sicherstellen, dass keine Daten unbefugt herausgegeben werden.

Cloud Computing lernen: Sicherheit

Lernen Sie die Grundlagen von Cloud-Sicherheit kennen, mit besonderem Augenmerk auf Sicherheitsstufen, verfügbare Dienste und Auswahlkriterien für Cloud-Service-Provider.

1 Std. 19 min (24 Videos)
Derzeit sind keine Feedbacks vorhanden...
Exklusiv für Abo-Kunden
Erscheinungsdatum:21.06.2018

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!