Der Trend von Cloud-Lösungen schreitet ungebremst voran und macht auch vor dem Bereich Cybersicherheit nicht halt. Zeit für das Team von Tabidus Technology einen kritischen Blick auf die Vor- und Nachteile dieses Ansatzes zu werfen.

Bereits seit Jahren setzen Unternehmen verstärkt auf Clouds, um ihre Daten und Teile der IT-Infrastruktur flexibler und kostengünstiger bereitzustellen. Auch viele Anbieter von Cybersicherheitslösungen haben diesen Trend für sich entdeckt und verlagern Sicherheitsmechanismen und andere Dienste in ihre Rechenzentren, anstatt diese bei den Kunden vor Ort zu betreiben.

Der Einsatz von Clouds gegenüber lokalen Netzwerken ist generell ein umstrittenes Thema. Vieles spricht dafür, aber es gibt auch Schattenseiten. Wie verhält sich das im Falle von Antiviren-Herstellern? Was gibt es bei dem Einsatz von Sicherheitsmechanismen durch die Cloud zu bedenken? Der IT-Sicherheitsverband Tabidus Technology (www.tabidus.com) hat sich mit den wichtigsten Fragestellungen rund um das Thema beschäftigt und gibt Einblick hinter die Kulissen:

Kleinere Updates und schnellere Reaktion

Das erste Einsatzgebiet von Clouds bei Antiviren-Herstellern ergab sich durch die stetige Zunahme von Malware-Exemplaren in der Cyberwelt. Dieser Zuwachs bedeutete für einen Anbieter einen immer größeren Wissensstand, der in Form von Virensignatur-Updates ausgeliefert werden musste. Irgendwann wurde eine kritische Größe an Update-Paketen erreicht, die nur mehr schwer ausgeliefert werden konnte.

Die Verwendung einer Cloud schafft Abhilfe bei diesem Problem und stellt zugleich einen weiteren Vorteil dar. Anstatt des gesamten Wissensstandes eines Sicherheitsherstellers, werden nur mehr die wichtigsten Informationen per Download bereitgestellt. Der Rest steht auf Abruf in der Cloud bereit und wird durch die lokale Sicherheitstechnologie nur im Bedarfsfall abgefragt. Das reduziert nicht nur die Größe der herunterzuladenden Update-Pakete, sondern stellt neue Informationen auch schneller bereit. Während die Auslieferung eines neuen Paketes mehrere Stunden betragen kann, können die Daten in der Cloud sofort aktualisiert und zur Verfügung gestellt werden. Das hat gerade bei Zero-Day Bedrohungen eine große Bedeutung.

Erweiterte Untersuchungstechniken

Die Identifizierung von aktueller Malware erfordert neue Sicherheitstechnologien wie Sandboxing oder Machine-Learning. Diese technologischen Ansätze benötigen jedoch entsprechendes Equipment und Know-how, das nicht bei jedem Kunden zur Verfügung steht.

Antiviren-Hersteller betreiben daher in ihren Rechenzentren eine ganze Reihe von erweiterten Untersuchungsmöglichkeiten, die über klassische Virensignaturen hinaus gehen. Ergänzt werden diese von einem Team aus Virenanalysten, die sich Rund um die Uhr um die aktuelle Bedrohungslage kümmern. Durch den Einsatz einer Cloud werden diese zusätzlichen Techniken und das Know-how der Experten den Kunden zur Verfügung gestellt, um davon automatisch profitieren zu können.

Sicherheit durch die Community

Neben dem Einsatz von erweiterten Ansätzen zur Identifizierung von Malware spielt auch der Community-Gedanke eine wesentliche Rolle bei einer Cloud. Üblicherweise setzt ein Sicherheitsanbieter eine ganze Reihe von Rechenzentren in verschiedenen Gegenden ein. Mit diesen erhält der Anbieter ein breites Feedback seiner Kunden und kann dieses bündeln.

Das hat zum einen den Vorteil, dass globale Muster erkannt werden können. Abhängig davon welche HASH-Werte, in welchen Regionen erscheinen und wie sich diese mit der Zeit ausbreiten, können daraus Schlüsse gezogen und neue Bedrohungen identifiziert werden. Zum anderen hat der Community-Ansatz den großen Vorteil, dass ein Kunde von dem Schaden eines anderen Kunden profitieren kann. Wenn in einem Teil der Welt eine neue Malware in Umlauf gerät, steht diese Informationen sofort weltweit allen anderen Kunden zur Verfügung und ist auf das Eintreffen der Bedrohung vorbereitet.

Der Einsatz einer Cloud im Bereich Sicherheit hat aber nicht nur Vorteile, sondern auch die Schattenseiten müssen beachtet werden.

Die Verbindung ist weg: Was jetzt?

Cloud-Lösungen werden in den Rechenzentren des jeweiligen Anbieters betrieben. Folglich muss die Cloud über Netzwerkverbindungen kontaktiert werden um diese zu nutzen. Was passiert aber nun, wenn dies nicht möglich ist?

Die Gründe dafür können vielfältig sein. Nicht nur der Komplettausfall der Internetanbindung, sondern auch einzelne Funktionsstörungen bei Routen des Providers können dazu führen. Die Verbindung zur Cloud abzuschneiden kann aber auch ein gewolltes Angriffsziel von Malware und Hackern sein. Durch das Blockieren eines ganzen Netzwerkprotokolls oder spezifischen Adressen und Ports, ist der Informationsfluss aus der Cloud schnell unterbrochen.

Welches Sicherheitspotential im Falle eines Ausfalls der Cloud lokal noch zur Verfügung steht ist abhängig vom jeweiligen Anbieter. Speziell bei Nur-Cloud-Lösungen kann das jedoch schnell zu einem großen Problem werden, denn durch die unterbrochene Verbindung erlischt auch jeglicher Schutz.

Geschwindigkeit ist Trumpf

Zur Überwachung und Identifizierung von Malware werden verschiedenste Untersuchungsmethoden eingesetzt. Diese können von zeitlich geplanten Überprüfungen (On-Demand Scans) bis hin zur Echtzeitüberwachung von Zugriffen (On-Access) reichen. Beim Einsatz von Sicherheitstechniken aus der Cloud gilt es zu hinterfragen, ob sich diese für das jeweilige Anwendungsgebiet eignet.

Der wesentliche Aspekt ist dabei die Geschwindigkeit in der eine Cloud-Abfrage stattfindet. In den meisten Fällen muss eine lokale Komponente den Vorgang auslösen, Daten in die Cloud transferieren und von dort ein Ergebnis empfangen. Das kann insgesamt ein paar Sekunden dauern. In jenen Anwendungsfällen in denen die Bearbeitungsdauer vernachlässigt werden kann, wie zum Beispiel bei geplanten Scans oder der Überprüfung von E-Mails, mag das ausreichend sein. Im Falle von Echtzeitüberwachungen, in denen es auf jede Millisekunde ankommt, haben Cloud gestützte Techniken das Nachsehen. Eine lokale Technologie, die sich im Hochleistungs-Arbeitsspeicher des Computers befindet, ist einer Netzwerkübertragung um Welten überlegen.

Welche Daten fließen ab?

Ein wichtiger Aspekt beim Einsatz von Cloud-Lösungen ist die Datenübertragung. Über welches Protokoll werden welche Informationen von meinem lokalen Netzwerk in das Rechenzentrum des Anbieters hochgeladen?

In diesem Zusammenhang gibt es verschiedenste Möglichkeiten die von Anbieter zu Anbieter und abhängig von den Anforderungen der Sicherheitstechnologie anders gehandhabt werden. In einem Fall wird nur ein reiner HASH-Wert übertragen und ein Ergebnis abgefragt. In einem anderen Fall wird eine vollständige Datei hochgeladen um sie analysieren zu können. Unter Umständen können auch weitere Informationen wie eine Kundenkennung, das eingesetzte Betriebssystem, installierte Software oder spezifische Events, die zur Beurteilung des Sicherheitsstatus erforderlich sind, mitgeschickt werden.

Es gilt daher abzuklären welche Übertragung der jeweilige Anbieter vornimmt. Bin ich damit einverstanden, dass unter Umständen meine Eigenentwicklung oder ein sensibles Dokument, ohne meine unmittelbare Zustimmung, in das Rechenzentrum des Herstellers kopiert wird? In welchem Land befinden sich dann meine Daten und ist das Gesetzeskonform für mich?

Fazit
Der Einsatz von Cloud-gestützten Sicherheitsmechanismen hat viele Vorteile in Punkto Sicherheit und kann auf die Erkennung von Bedrohungen positive Auswirkungen haben. Es sollte jedoch darauf geachtet werden welche Datenübertragung dafür notwendig ist, keine Nur-Cloud-Ansätze verwendet und die Cloud-Unterstützung passend zum Anwendungsfall ausgewählt werden. Detaillierte Angaben zur Cloud-Nutzung des jeweiligen Herstellers sollten beachtet und im Idealfall mehrere unabhängige Anbieter zum Einsatz kommen, um die maximale Erkennungsrate und Ausfallssicherheit zu erzielen.

Wenn Sie mehr über moderne Bedrohungserkennung und den agilen Weg des Malwareschutzes wissen möchten, empfehlen wir Ihnen unser Whitepaper „Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen“. Laden Sie hier Ihr kostenloses Whitepaper herunter:

Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen

Der Trend von Cloud-Lösungen schreitet ungebremst voran und macht auch vor dem Bereich Cybersicherheit nicht halt. Zeit für das Team von Tabidus Technology einen kritischen Blick auf die Vor- und Nachteile dieses Ansatzes zu werfen.

Bereits seit Jahren setzen Unternehmen verstärkt auf Clouds, um ihre Daten und Teile der IT-Infrastruktur flexibler und kostengünstiger bereitzustellen. Auch viele Anbieter von Cybersicherheitslösungen haben diesen Trend für sich entdeckt und verlagern Sicherheitsmechanismen und andere Dienste in ihre Rechenzentren, anstatt diese bei den Kunden vor Ort zu betreiben.

Der Einsatz von Clouds gegenüber lokalen Netzwerken ist generell ein umstrittenes Thema. Vieles spricht dafür, aber es gibt auch Schattenseiten. Wie verhält sich das im Falle von Antiviren-Herstellern? Was gibt es bei dem Einsatz von Sicherheitsmechanismen durch die Cloud zu bedenken? Der IT-Sicherheitsverband Tabidus Technology (www.tabidus.com) hat sich mit den wichtigsten Fragestellungen rund um das Thema beschäftigt und gibt Einblick hinter die Kulissen:

Kleinere Updates und schnellere Reaktion

Das erste Einsatzgebiet von Clouds bei Antiviren-Herstellern ergab sich durch die stetige Zunahme von Malware-Exemplaren in der Cyberwelt. Dieser Zuwachs bedeutete für einen Anbieter einen immer größeren Wissensstand, der in Form von Virensignatur-Updates ausgeliefert werden musste. Irgendwann wurde eine kritische Größe an Update-Paketen erreicht, die nur mehr schwer ausgeliefert werden konnte.

Die Verwendung einer Cloud schafft Abhilfe bei diesem Problem und stellt zugleich einen weiteren Vorteil dar. Anstatt des gesamten Wissensstandes eines Sicherheitsherstellers, werden nur mehr die wichtigsten Informationen per Download bereitgestellt. Der Rest steht auf Abruf in der Cloud bereit und wird durch die lokale Sicherheitstechnologie nur im Bedarfsfall abgefragt. Das reduziert nicht nur die Größe der herunterzuladenden Update-Pakete, sondern stellt neue Informationen auch schneller bereit. Während die Auslieferung eines neuen Paketes mehrere Stunden betragen kann, können die Daten in der Cloud sofort aktualisiert und zur Verfügung gestellt werden. Das hat gerade bei Zero-Day Bedrohungen eine große Bedeutung.

Erweiterte Untersuchungstechniken

Die Identifizierung von aktueller Malware erfordert neue Sicherheitstechnologien wie Sandboxing oder Machine-Learning. Diese technologischen Ansätze benötigen jedoch entsprechendes Equipment und Know-how, das nicht bei jedem Kunden zur Verfügung steht.

Antiviren-Hersteller betreiben daher in ihren Rechenzentren eine ganze Reihe von erweiterten Untersuchungsmöglichkeiten, die über klassische Virensignaturen hinaus gehen. Ergänzt werden diese von einem Team aus Virenanalysten, die sich Rund um die Uhr um die aktuelle Bedrohungslage kümmern. Durch den Einsatz einer Cloud werden diese zusätzlichen Techniken und das Know-how der Experten den Kunden zur Verfügung gestellt, um davon automatisch profitieren zu können.

Sicherheit durch die Community

Neben dem Einsatz von erweiterten Ansätzen zur Identifizierung von Malware spielt auch der Community-Gedanke eine wesentliche Rolle bei einer Cloud. Üblicherweise setzt ein Sicherheitsanbieter eine ganze Reihe von Rechenzentren in verschiedenen Gegenden ein. Mit diesen erhält der Anbieter ein breites Feedback seiner Kunden und kann dieses bündeln.

Das hat zum einen den Vorteil, dass globale Muster erkannt werden können. Abhängig davon welche HASH-Werte, in welchen Regionen erscheinen und wie sich diese mit der Zeit ausbreiten, können daraus Schlüsse gezogen und neue Bedrohungen identifiziert werden. Zum anderen hat der Community-Ansatz den großen Vorteil, dass ein Kunde von dem Schaden eines anderen Kunden profitieren kann. Wenn in einem Teil der Welt eine neue Malware in Umlauf gerät, steht diese Informationen sofort weltweit allen anderen Kunden zur Verfügung und ist auf das Eintreffen der Bedrohung vorbereitet.

Der Einsatz einer Cloud im Bereich Sicherheit hat aber nicht nur Vorteile, sondern auch die Schattenseiten müssen beachtet werden.

Die Verbindung ist weg: Was jetzt?

Cloud-Lösungen werden in den Rechenzentren des jeweiligen Anbieters betrieben. Folglich muss die Cloud über Netzwerkverbindungen kontaktiert werden um diese zu nutzen. Was passiert aber nun, wenn dies nicht möglich ist?

Die Gründe dafür können vielfältig sein. Nicht nur der Komplettausfall der Internetanbindung, sondern auch einzelne Funktionsstörungen bei Routen des Providers können dazu führen. Die Verbindung zur Cloud abzuschneiden kann aber auch ein gewolltes Angriffsziel von Malware und Hackern sein. Durch das Blockieren eines ganzen Netzwerkprotokolls oder spezifischen Adressen und Ports, ist der Informationsfluss aus der Cloud schnell unterbrochen.

Welches Sicherheitspotential im Falle eines Ausfalls der Cloud lokal noch zur Verfügung steht ist abhängig vom jeweiligen Anbieter. Speziell bei Nur-Cloud-Lösungen kann das jedoch schnell zu einem großen Problem werden, denn durch die unterbrochene Verbindung erlischt auch jeglicher Schutz.

Geschwindigkeit ist Trumpf

Zur Überwachung und Identifizierung von Malware werden verschiedenste Untersuchungsmethoden eingesetzt. Diese können von zeitlich geplanten Überprüfungen (On-Demand Scans) bis hin zur Echtzeitüberwachung von Zugriffen (On-Access) reichen. Beim Einsatz von Sicherheitstechniken aus der Cloud gilt es zu hinterfragen, ob sich diese für das jeweilige Anwendungsgebiet eignet.

Der wesentliche Aspekt ist dabei die Geschwindigkeit in der eine Cloud-Abfrage stattfindet. In den meisten Fällen muss eine lokale Komponente den Vorgang auslösen, Daten in die Cloud transferieren und von dort ein Ergebnis empfangen. Das kann insgesamt ein paar Sekunden dauern. In jenen Anwendungsfällen in denen die Bearbeitungsdauer vernachlässigt werden kann, wie zum Beispiel bei geplanten Scans oder der Überprüfung von E-Mails, mag das ausreichend sein. Im Falle von Echtzeitüberwachungen, in denen es auf jede Millisekunde ankommt, haben Cloud gestützte Techniken das Nachsehen. Eine lokale Technologie, die sich im Hochleistungs-Arbeitsspeicher des Computers befindet, ist einer Netzwerkübertragung um Welten überlegen.

Welche Daten fließen ab?

Ein wichtiger Aspekt beim Einsatz von Cloud-Lösungen ist die Datenübertragung. Über welches Protokoll werden welche Informationen von meinem lokalen Netzwerk in das Rechenzentrum des Anbieters hochgeladen?

In diesem Zusammenhang gibt es verschiedenste Möglichkeiten die von Anbieter zu Anbieter und abhängig von den Anforderungen der Sicherheitstechnologie anders gehandhabt werden. In einem Fall wird nur ein reiner HASH-Wert übertragen und ein Ergebnis abgefragt. In einem anderen Fall wird eine vollständige Datei hochgeladen um sie analysieren zu können. Unter Umständen können auch weitere Informationen wie eine Kundenkennung, das eingesetzte Betriebssystem, installierte Software oder spezifische Events, die zur Beurteilung des Sicherheitsstatus erforderlich sind, mitgeschickt werden.

Es gilt daher abzuklären welche Übertragung der jeweilige Anbieter vornimmt. Bin ich damit einverstanden, dass unter Umständen meine Eigenentwicklung oder ein sensibles Dokument, ohne meine unmittelbare Zustimmung, in das Rechenzentrum des Herstellers kopiert wird? In welchem Land befinden sich dann meine Daten und ist das Gesetzeskonform für mich?

Fazit
Der Einsatz von Cloud-gestützten Sicherheitsmechanismen hat viele Vorteile in Punkto Sicherheit und kann auf die Erkennung von Bedrohungen positive Auswirkungen haben. Es sollte jedoch darauf geachtet werden welche Datenübertragung dafür notwendig ist, keine Nur-Cloud-Ansätze verwendet und die Cloud-Unterstützung passend zum Anwendungsfall ausgewählt werden. Detaillierte Angaben zur Cloud-Nutzung des jeweiligen Herstellers sollten beachtet und im Idealfall mehrere unabhängige Anbieter zum Einsatz kommen, um die maximale Erkennungsrate und Ausfallssicherheit zu erzielen.

Wenn Sie mehr über moderne Bedrohungserkennung und den agilen Weg des Malwareschutzes wissen möchten, empfehlen wir Ihnen unser Whitepaper „Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen“. Laden Sie hier Ihr kostenloses Whitepaper herunter:

Schützen Sie Ihre Daten: Optimale Erkennung von Cyber-Bedrohungen für Unternehmen