Threat Stack SOC-Analyse: Untersuchung von Vorfällen mit Automatisierungstools

Im Rahmen ihrer rund um die Uhr geleisteten Arbeit zur Kundenunterstützung durch das Cloud SecOps Program℠ untersuchen die Sicherheitsanalysten im Threat Stack Security Operations Center (SOC) im Auftrag unserer Kunden regelmäßig verdächtige Aktivitäten. In den letzten Monaten haben unsere Sicherheitsanalysten einen stetigen Anstieg der Verwendung von Automatisierungstools festgestellt, die webbasierte SSH-Funktionen enthalten.

Der Einsatz dieser Tools ist ein konkretes Zeichen dafür, dass viele Unternehmen ihre Cloud-Umgebung weiterentwickeln und die Cloud-Orchestrierung und das tägliche Management immer ausgefeilter gestalten. Durch die Verwendung von webbasiertem SSH und anderen Funktionen, die benutzerdefinierte Skripts auf Remoteservern ausführen können, können Betriebsteams den Aufwand drastisch reduzieren und den Lebenszyklus ihrer Server sowie die Konfiguration von Diensten im großen Maßstab optimieren.

Wie wir in der Vergangenheit jedoch gesehen haben, kann die Automatisierung komplexer Vorgänge zu Fehlern oder übersehenen Risiken führen. Erstens ist es umso wichtiger sicherzustellen, dass Ihre IAM-Richtlinien aktuell sind und die einzelnen Funktionen der jeweiligen Dienste berücksichtigen. Neben dem Fokus auf IAM stellen viele Automatisierungstools, darunter solche mit webbasierten SSH-Funktionen, besondere Herausforderungen für Sicherheitsteams dar, wenn diese verdächtige Aktivitäten in ihrer Cloud-Umgebung untersuchen.

In Linux-Systemen werden webbasierte SSH-Tools in den zugrunde liegenden Protokollen nicht als herkömmliche SSH-Sitzungen angezeigt. Dieser Unterschied kann zu Systemereignissen in Protokollen führen, die keinem angemeldeten Benutzer zugeordnet sind. Normalerweise sieht dies wie eine normale, vertrauenswürdige Automatisierungsaktivität aus – aber nicht, wenn ein Benutzer dahinter beliebige Befehle eingeben kann. Die Auswirkungen liegen auf der Hand: Wenn es einem böswilligen Akteur – sei es ein Insider oder jemand, der kompromittierte Anmeldeinformationen von außen nutzt – gelingt, Zugriff auf ein webbasiertes SSH-Tool zu erhalten, wird die Verschleierung trivial.

Dank der umfassenden Sicherheitsbeobachtung und Verhaltensanalysefunktionen von Tools wie der Threat Stack Cloud Security Platform® können diese verdächtigen Aktivitäten identifiziert werden. Hier stellt die Automatisierung webbasierter SSH-Tools die Sicherheitsanalysten jedoch vor eine Herausforderung. Es bedarf einer anderen Ermittlungstechnik, um Nuancen in Automatisierungsereignissen zu erkennen und auszuwerten und so die zugrunde liegende Absicht eines Benutzers aufzudecken.

Hier kommen die Threat Stack SOC-Analysten ins Spiel. Durch die direkte Arbeit mit einigen der fortschrittlichsten Cloud-Umgebungen der Branche sind sie bestens mit der Untersuchung solcher Vorfälle vertraut. Wenn Sie einen Einblick erhalten möchten, wie die Analysten des Threat Stack Cloud SecOps-Programms die nachgelagerten Aktionen von Automatisierungstools untersuchen, wenn sie forensische Untersuchungen durchführen, die eine Benutzerzuordnung erfordern, laden Sie unseren neuesten Threat Intelligence Report herunter oder registrieren Sie sich für unsere Live-Demonstration – „Automatisierte Aktivität oder Insider-Bedrohung: Können Sie den Unterschied erkennen?“ – findet am 19. März statt.