Während des Cloud-Rennens wurde ein attraktives Versprechen verkauft: weniger operative Bedenken und übrigens Sicherheit, die "inklusive sein könnte". Realität war komplexer. Infrastrukturen, die sich in jeder Minute ändern, überlappende APIs, ephemere Bereitstellungen in Containern und multinationalen Umgebungen haben Sichtlücken geschaffen, die Sicherheitsausrüstung nicht ignorieren kann.
Cloud-Sicherheit ist nicht durch Magie fixiert; es erfordert Sichtbarkeit. Wenn Schutzwerkzeuge in Endpunkten nicht erkennen, fortgeschrittene Techniken oder Angreifer deaktivieren lokale Sensoren, Netzwerkverkehr wird ein unabhängiger Zeuge und oft der einzige Weg, um das, was passiert ist, wieder aufzubauen. Organisationen und Experten erinnern sich seit Jahren daran, dass die Prinzipien der Netzwerkverteidigung auch in modernen Architekturen noch in Kraft sind: Traffic zu sehen erlaubt Anomalien zu erkennen, die fragmentierten Logos nicht zeigen.
Ein wiederkehrendes Hindernis ist die Heterogenität der nativen Datensätze jedes Anbieters: unterschiedliche Felder, unverträgliche Strukturen und Massenvolumina von Anrufen an APIs machen die Standardisierung und Analyse schwierig. Deshalb finden viele Teams Wert in der Netzwerktelemetrie als "Common Denominator": Metadaten und Netzwerkflüsse sind im Wesentlichen vergleichbar zwischen Lieferanten und darüber hinaus sind Sicherheitsanalysten bereits wissen, wie man schnell interpretiert. Fügen Sie Cloud-Inventarkontext - Konten, Projekte, VPC / VNet, Cluster-Tags oder Pod - verwandelt diese Ströme in sinnvolle Signale und erleichtert die Forschung.
Um diese Beweise zuverlässig zu erfassen, gibt es gut dokumentierte Mechanismen von großen Lieferanten. AWS VPC Flow Logs und seine Spiegel-Verkehrsfunktion (Verkehrsspiegelung), die Google Cloud-Äquivalent für VPC Flow Records und Azure Network Watcher-Funktionen sind konkrete Stücke, die es Ihnen ermöglichen, sowohl breite Vision als auch Pakettiefe bei Bedarf zu erhalten. Sie können die offiziellen AWS Guides überprüfen ( VPC Flussprotokolle, Verkehrsverspiegelung), von Google Cloud ( VPC Flussprotokolle) und Microsoft Azure ( Netzwerk Watcher NSG Flow Logs)
Netzwerkbasierte Erkennung (NDR) entsteht als praktische Lösung diese Telemetrie zwischen Wolken und On-Premises zu vereinheitlichen und zu normalisieren. Ein gut integrierter NDR-Ansatz fügt kontextuelle Bereicherung hinzu und legt Kommunikationsmuster frei, die Exfiltration, Befehl & Control, Kryptominery oder Seitenbewegungen innerhalb von Clustern angeben. Darüber hinaus ist die Sammlung durch Verkehrsspiegel und virtuelle Taps viel weniger anfällig für Manipulation durch einen Angreifer, der Privilegien in einem Host erreicht hat.
Welches Verhalten sollte ein Verteidigungsteam betreffen? Ungewöhnliche ausgehende Kommunikation zu Ports oder atypischen Protokollen, plötzliche Transferspitzen von einem Dienst, der stabil sein sollte, interaktive Aktivität innerhalb von Produktionsbehältern (wie SSH oder RDP-Sitzungen, die nicht in sich verändernden Umgebungen existieren sollten), Zugriff auf APIs oder unbekannte Regionen und Entdeckungszeichen zwischen Dienstleistungen sind alle relevanten Zeichen. In vielen Fällen sind diese Spuren diejenigen, die es Ihnen ermöglichen, eine Intrusion mit Ihrem ursprünglichen Vektor zu verbinden, zum Beispiel ein kompromittiertes Containerbild oder ein schädliches Paket in der Lieferkette eingeführt - ein Risiko, dass Behörden wie die CISA haben für moderne Organisationen als kritisch bezeichnet.
Die gute Nachricht ist, dass der Weg zur Operationalisierung der Cloud-Sichtbarkeit gezogen wird: Es beginnt mit der Freigabe von Fluss- und Spiegelaufzeichnungen, um Latenz und Treue jeder Quelle zu verstehen; es zentralisiert die Telemetrie auf einer einzigartigen Plattform, wo sie mit dem Kontext der Inventur standardisiert und markiert werden kann; es stellt Basislinien von Verhalten durch Rolle, Service und Ziel fest, um Geräusche von wahren Anomalien zu unterscheiden; und es ändert diese Regeln iterativ zu verlieren.
Evakuierungsüberwachung und Früherkennung sind der Schlüssel. Mit der Instrumentierung Ihrer VPC / VNet Ausgabepunkte können Sie Exfiltrationsversuche oder Kommunikationen mit Befehls- und Kontrollinfrastrukturen erfassen. Parallel dazu hilft die Inspektion von TLS-Metadaten, wie SNI oder zertifizierte Subjekte, APIs oder verwaltete Endpunkte zu identifizieren, die für einen Service bekannt sein sollten; der erste Zugriff auf eine unbekannte Domain oder Region muss eine Untersuchung auslösen.
Es ist auch umsichtig, nach konkreten Mustern zu suchen, die schädliche Aktivitäten melden: Verbindungen zu Kryptominery-Tools, regelmäßige und "langsame, aber anhaltende" Spitzen (low-and@low) in Datentransfers oder die Anwesenheit von interaktiven Protokollen, wo sie keinen Raum haben. Wenn ein Corporate Endpoint beeinträchtigt wird, kann die Korrelation zwischen den Datensätzen dieses Geräts und der Telemetrie des Egresses in der Cloud das Stück sein, das das Ausmaß des Vorfalls bestätigt.
Wir dürfen nicht vergessen, die Nachweiskapazität zu validieren: Die Simulation von negativen Techniken und Netzwerk-Team-Übungen ermöglicht es, zu überprüfen, ob die erwarteten Signale tatsächlich auf der Plattform erscheinen und dass die Antwort-Spielbücher funktionieren. Dieser Prozess der "Einsätze in die Schuhe des Angreifers" hält die Teams ehrlich und vermeidet blind vertrauensvolle Kontrollen, die in dynamischen Umgebungen veraltet werden können.
Die Diskussion über diese Praktiken war der Ausgangspunkt für eine Episode der Podcast DefeNDR, in der Corelight-Spezialisten sprachen; das Gespräch bietet praktische Beispiele und Perspektiven, wie NDR in multinationalen Umgebungen anzuwenden (Sie können die Episode hier hören: DefenNDR Episode, und die komplette Serie in die podcast-Seite) Wenn Sie kommerzielle Lösungen vertiefen möchten, die Netzwerktelemetrie mit Kontexterkennung und Anreicherung kombinieren, bieten die Open NDR-Plattformen einen guten Ausgangspunkt; zum Beispiel erklärt Corelight seinen Fokus auf Ihre Elite Seite der Verteidigung.
Kurz gesagt, die Cloud-Sicherheit ist erreichbar, wenn wir den Fluss des Netzes zurückblicken. Die Anwendung klassischer Überwachungs- und Detektionsprinzipien auf moderne Architekturen, die Anreicherung von Daten mit Inventarkontext und die fortlaufende Validierung der Nachweisfähigkeiten verwandelt die Sichtbarkeit in einen strategischen Vorteil: Es geht nicht darum, die Cloud zu entmystifizieren, sondern sie zu aktivieren, um ein dunkles Gebiet zu sein und eine kontrollierbare Umgebung zu werden.
Für diejenigen, die diese Praktiken mit Rahmenbedingungen und Empfehlungen unterstützen wollen, ist technische Literatur reichlich vorhanden: Der NIST erklärt Überlegungen und Risiken der Übernahme von Cloud-Diensten ( NIST SP 800-144) und die ATT & CK-Matrix MITTEL bleibt ein Hinweis auf das Verständnis von Techniken, die Gegner in traditionellen und Cloud-Umgebungen verwenden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...