Wie Data Lakes der Cloud-Sicherheit helfen Sicherheitsrelevante Daten „seetauglich“ machen

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

Scality

Cohesity GmbH

Amazon Web Services EMEA SARL,

Der Status der Cloud-Security ist nicht leicht zu durchschauen. Eine zentrale Sammlung und Analyse der Security-Events möglichst vieler Komponenten der Cloud-Infrastrukturen ist deshalb hilfreich. Doch ein Data Lake für Cloud-Sicherheit kann mehr, besonders, wenn sich Security-Provider an den Security Data Lake anschließen.

Ein Data Lake ist ein zentrales Repository, in dem man alle strukturierten und unstrukturierten Daten in beliebigem Umfang speichern kann. Besonders wichtig dabei: Man kann die Daten im Ist-Zustand speichern, ohne sie erst strukturieren zu müssen, und kann auf dieser Basis verschiedene Arten von Analysen durchführen.

Betrachtet man die Vielzahl und Vielfalt der Daten mit Sicherheitsrelevanz, die man zu einer Cloud-Infrastruktur sammeln kann, erscheint ein solcher „Daten-See“ mehr als geeignet für die Speicherung und als Grundlage von Security-Analysen. Tatsächlich werden Data Lakes auch für Security-Aufgaben genutzt, auch und gerade im Bereich der Cloud-Sicherheit.

Der Amazon Security Lake

Auf der Konferenz AWS re:Invent 2022 kündigte Amazon Web Services (AWS) den Amazon Security Lake für die schnellere Erkennung von Sicherheitsproblemen an. Unternehmen können damit Sicherheitsdaten aus Cloud- und lokalen Quellen automatisiert in einem speziell dafür entwickelten Data Lake zentralisieren. Dies ermögliche ihnen, schneller auf mögliche Unregelmäßigkeiten und Bedrohungen zu reagieren, so AWS.

Bisher greifen Unternehmen auf Log- und Ereignisdaten aus einer Vielzahl von Quellen zurück, beispielsweise aus Applikationen, Firewalls und Identitätssystemen. Diese nutzen meist ihre eigenen und oft inkompatiblen Datenformate. Die Unternehmen müssen die relevanten Daten zunächst aggregieren und normalisieren, um sie in ein einheitliches Format zu überführen und daraufhin mögliche Gefahren identifizieren zu können. Zudem nutzen Kunden meist verschiedene Sicherheitslösungen, um spezifische Bedrohungsfälle zu adressieren, was dazu führt, dass Informationen mehrfach bearbeitet werden müssen. Das kostet wertvolle Zeit – Zeit, die die Security kaum hat.

So funktioniert der Data Lake für die Security

Mit Amazon Security Lake können Unternehmen einen Data Lake für ihre Sicherheitsdaten in wenigen Klicks erstellen, so AWS. Nachdem Kunden ihre Datenquellen verbunden haben, erstellt Amazon Security Lake automatisiert einen Data Lake in der vom Kunden ausgewählten AWS-Region.

Der Dienst verwaltet die Daten während ihres gesamten Lebenszyklus mit anpassbaren Einstellungen für die Datenaufbewahrung, konvertiert eingehende Sicherheitsdaten und passt sie an das Open Cybersecurity Schema Framework (OCSF) an, wodurch die automatische Normalisierung von Sicherheitsdaten aus AWS sowie die Kombination mit Dutzenden vorintegrierter Sicherheitsdatenquellen von Drittanbietern ermöglicht werden.

Sicherheitsanalysten und -experten können Amazon Security Lake nutzen, um große Mengen unterschiedlicher Protokoll- und Ereignisdaten zu aggregieren, zu verwalten und zu optimieren. Während sie ihr bevorzugtes Analysetool nutzen, können sie schneller und effektiver Bedrohungen erkennen sowie untersuchen und auf Vorfälle reagieren, verspricht AWS.

Geben und Nehmen im Security Data Lake

Ein Data Lake für Cloud-Sicherheit kann nicht nur von den Cloud-Nutzenden selbst gefüllt und genutzt werden, auch Security-Provider können sich aktiv anschließen. Bei einem Data Lake wie dem Amazon Security Lake passiert dies natürlich recht schnell.

Zwei Beispiele unterstreichen, wie hilfreich die Verknüpfung zwischen Security Data Lakes und Security-Providern im Bereich der Cloud-Sicherheit ist:

Vectra AI, Anbieter im Bereich KI-basierter Bedrohungserkennung und -reaktion (Detection & Response) für die Hybrid-Cloud, hat bekannt gegeben, dass Vectra Cloud Detection and Response mit Amazon Security Lake von Amazon Web Services (AWS) zusammenarbeitet. Dies bietet Unternehmen laut Vectra AI folgende Vorteile: Zugriff auf die Attack Signal Intelligence von Vectra für Organisationen weltweit, die Amazon Security Lake nutzen, Vereinfachung der nativen Unterstützung von der Vectra-Plattform für Amazon Security Lake und Konsolidierung des Datenspeichers, um Sicherheitsteams einen standardisierten Zugriff auf echte Bedrohungsdaten zu ermöglichen.

„Die größte Herausforderung, der sich Organisationen heute stellen müssen, ist das Unbekannte. Angesichts des zunehmenden Ausmaßes und der Intensität von Cyberangriffen benötigen Kunden Best-of-Breed-Ökosystemlösungen zur Vereinfachung von Sicherheitsprozessen, die sich auf reale Bedrohungen und eine erweiterte Abdeckung globaler Netzwerke konzentrieren“, erklärt Sachin Saranathan, Director for Cloud and Technology Alliances bei Vectra. „Wir freuen uns, mit AWS zusammenzuarbeiten, um diese Herausforderungen zu bewältigen und Lösungen zu liefern, die den Kunden eine schnelle Wertschöpfung ermöglichen.“

„Amazon Security Lake zentralisiert die Sicherheitsdaten eines Unternehmens aus Cloud- und On-Premises-Quellen in einem kundeneigenen, zweckbestimmten Data Lake“, kommentiert Rod Wallace, General Manager, Amazon Security Lake. „Die Sicherheitserkenntnisse von Vectra in Amazon Security Lake werden Kunden dabei helfen, die Aufbewahrung von Sicherheitsprotokolldaten zu optimieren. Dies wird zudem die Kunden in die Lage versetzen, ihre Protokolle zugänglich zu machen, um eine Vielzahl von Sicherheitsanwendungsfällen zu adressieren, wie zum Beispiel die Erkennung und Untersuchung von Bedrohungen sowie die Reaktion auf Vorfälle.“

Unterstützung von Amazon Security Lake für Cloud-Analysen

Ein weiteres Beispiel für die Vorteile von Data Lakes in der Cloud-Sicherheit: SentinelOne, Anbieter einer autonomen Cybersicherheitsplattform, hat die Integration von SentinelOne Singularity Cloud mit Amazon Security Lake von Amazon Web Services (AWS) bekannt gegeben, um die Analyse von Bedrohungen und Forensik auf Cloud-Protokollen innerhalb der SentinelOne Singularity XDR-Plattform zu unterstützen. Sowohl Singularity Cloud als auch Amazon Security Lake nutzen das Open Cybersecurity Schema Framework (OCSF), um das Aufnehmen, Durchsuchen und Analysieren von Protokollen zu vereinfachen. Dadurch können Kunden Analysen durchführen, ohne dass sie die Sicherheitsprotokolle zuvor anpassen oder normalisieren müssen.

„Durch die Einbindung von Amazon Security Lake in Singularity XDR und die Implementierung von OCSF als unser Datenschema erschließt SentinelOne neue Anwendungsfälle für die Cloud-orientierte Datenerfassung, Analyse und Forensik“, sagt Ely Kahn, Vice President of Cloud Products bei SentinelOne. „Kunden können jetzt ganz einfach von den Bedrohungen, die wir erkennen, zu den zugehörigen AWS-Daten wechseln, um die Ursache und die Auswirkungen der Bedrohung besser zu verstehen.“

Rod Wallace, General Manager von Amazon Security Lake bei AWS, ergänzt: „Amazon Security Lake vereinfacht die Art und Weise, wie Kunden Sicherheitsprotokolle und -ergebnisse in einem für die Analyse geeigneten Format sammeln. Kunden können ihre Sicherheitsdaten nun AWS-Partnern wie SentinelOne zugänglich machen, um sicherheitsrelevante Erkenntnisse aufzudecken und potenzielle Probleme schneller zu beheben, während sie weiterhin ihre bevorzugten Analysetools verwenden.“

Zweifellos werden Data Lakes nun in der Cloud-Sicherheit einen wichtigen Stellenwert annehmen und dabei helfen, schneller den zwingend erforderlichen Durchblick zum Status der Cloud-Security zu erlangen.

(ID:49210514)