Zwar senden Mitarbeiter, Auftragnehmer und automatisierte Arbeitsabläufe ständig Dateien an den Cloud-Speicher des Unternehmens, doch durchlaufen nur wenige Dateien Sicherheitsprüfungen in Echtzeit.
Zwar gibt es möglicherweise Richtlinien für planmäßige Scans, doch führt dies dazu, dass schädliche Dateien tagelang oder wochenlang in einem S3-Bucket oder einer SharePoint-Bibliothek verbleiben, bevor sie entdeckt werden. In dieser Zeit können sie bereits von nachgelagerten Systemen aufgerufen, weitergegeben oder verarbeitet worden sein.
Abgesehen vom potenziellen Sicherheitsrisiko können veraltete, zeitgesteuerte Scans zu Verstößen gegen Compliance-Vorgaben führen, da globale Rahmenwerke für die Informationssicherheit wie PCI DSS v4.0 von Unternehmen verlangen, einen Scan-Rhythmus auf der Grundlage einer gezielten Risikoanalyse (Targeted Risk Analysis, TRA) festzulegen, der bei wesentlichen Änderungen oder in festgelegten regelmäßigen Abständen überprüft und aktualisiert wird.
Für viele Sicherheitsteams bedeutet das einen wiederkehrenden vollständigen Scan des gesamten Speichers: jede Datei, jeder Ordner, alle 60 Tage. Das ist anstrengend, kostspielig und bei Datenmengen im Petabyte-Bereich immer schwieriger zu bewältigen.
Es gibt einen besseren Weg.
Dank ereignisbasierter Scans, Identitätsscans und flexibler Scan-Workflows inMetaDefender können Unternehmen einen Echtzeitschutz gewährleisten, redundante Scans reduzieren und genau die benutzerspezifischen Prüfpfade erstellen, die Prüfer erwarten.
Warum Cloud mehr als nur regelmäßige Scans erfordert
Geplante Vollscans wurden für eine Zeit konzipiert, in der Cloud-Speicher lediglich als Backup-Ziel diente und nicht als primäre Plattform für die Zusammenarbeit. Diese Zeit ist längst vorbei.
Heutzutage kann ein Finanzinstitut 50 Millionen Dateien in einem einzigen S3-Bucket haben. Eine Einrichtung des Gesundheitswesens nutzt möglicherweise SharePoint Online als Dokumentenablage für Tausende von Ärzten.
Ein vollständiger Malware-Scan der gesamten Infrastruktur alle 30 oder 60 Tage beansprucht erhebliche Rechenzeit, verursacht API enormen API und ist oft erst abgeschlossen, wenn sich die Bedrohung bereits seitlich ausgebreitet hat.
Hinzu kommt noch ein strukturelles Problem:Ein regelmäßiger Scan ist nureine Momentaufnahme, keine vollständige Diagnose. Er zeigt zwar, was zu einem bestimmten Zeitpunkt sauber war, sagt aber nichts über Dateien aus, die nach Abschluss des letzten Scans hochgeladen wurden. Und wenn Sie den nächsten Scan durchführen, könnte es bereits zu spät sein.
Realistisch betrachtet ist die nächste logische Lösung für den Schutz von Cloud-Speichern in Echtzeit, wenn geplante Scans zu viel Rechenleistung beanspruchen, ein unvollständiges Bild liefern und die Gefahr einer Nichteinhaltung von Vorschriften bergen. Die Kombination aus ereignisgesteuerter Auslösung und identitätsorientiertem Scannen verändert die Art und Weise, wie Compliance in der Praxis umgesetzt wird.
Schutz neuer Dateien durch ereignisbasiertes Scannen mit MetaDefender Storage Security
MetaDefender Storage Security ereignisgesteuerte ScansStorage Security und verlagert das Erkennungsmodell von „alles nach Zeitplan überprüfen“ hin zu „sofort scannen, sobald sich etwas ändert“. Anstatt einen Bucket in festen Intervallen abzufragen, überwachtdie RTP-Funktion (Real Time Processing)Dateiereignisse direkt auf der Cloud-Plattform und verarbeitet neue oder geänderte Dateien sofort nach ihrem Eintreffen.
Für Amazon S3 wird das ereignisbasierte Scannen überAWS EventBridge implementiert. Wenn eine Datei in einen überwachten Bucket hochgeladen wird, sendet EventBridge eine Benachrichtigung an den WebhookStorage Security, wodurch der Scanvorgang sofort ausgelöst wird, ohne die Latenz einer Polling-Schleife. Dieses Push-basierte Modell verursacht weniger API als Polling, was sowohl die Antwortzeit als auch die Betriebskosten bei großem Umfang reduziert.
Für Azure Blob StoragehatStorage Security Security die automatische Containererkennung eingeführt; wenn Sie ein Speicherkonto verbinden, erkennt die Plattform automatisch alle Container und wendet eine einheitliche RTP-Richtlinie an, ohne dass eine manuelle Konfiguration erforderlich ist. Eine ähnliche ereignisgesteuerte Verarbeitung ist in der gesamten Bibliothek der unterstützten Speicherkonnektoren verfügbar, darunter SharePoint Online, Microsoft Teams, NetApp, Box und andere.
Inder Praxis:
- Eine Datei, die von einem kompromittierten Benutzer um 2:47 Uhr hochgeladen wurde, wird gescannt und, falls sie schädlich ist, unter Quarantäne gestellt, bevor darauf zugegriffen oder sie weitergegeben werden kann
- Neue Uploads von externen Partnern werden zunächst in einem unveränderten Zustand gespeichert, bevor sie von internen Prozessen bearbeitet werden
- Die Zeitspanne zwischen dem Eintreffen einer Datei und der Sicherheitsbewertung beträgt nur wenige Sekunden, nicht Stunden oder Tage
Aus Compliance-Sicht erstellt das ereignisbasierte Scannen einfortlaufendes, mit Zeitstempeln versehenes Protokoll aller in Echtzeit geprüften Dateien. Dieses Protokoll ist in Scan-Berichten verfügbar, lässt sich nach Speichereinheit und Datumsbereich filtern und unterstützt direkt Audit-Anfragen.
Identitätsprüfung: Dateien anhand von Benutzeraktivitäten, Risiken und Prioritäten scannen
Eine der betrieblich wichtigsten Funktionen vonStorage Security das Identitäts-Scanning, also die Möglichkeit, Scan-Ergebnisse derjeweiligen Benutzeridentitätzuzuordnen,die eineDateihochgeladenoder geändert hat.
Dadurch verschiebt sich der Fokus bei der Compliance-Diskussion von „Wir haben den Speicherbereich gescannt“ hin zu „Wir wissen, welcher Benutzer jede Datei hochgeladen hat, die eine Erkennung ausgelöst hat, wann dies geschah und welche Maßnahmen ergriffen wurden.“
Wie Identitätsscans überflüssige Scans reduzieren
Betrachten wir den herkömmlichen Ansatz: Man plant einen vollständigen Scan des gesamten Dateibestands, scannt jede Datei, unabhängig davon, wann sie zuletzt gescannt wurde oder wer sie hochgeladen hat, und erstellt einen Bericht, der zeigt, dass alles überprüft wurde. Dies ist ressourcenintensiv, langsam und unterscheidet nicht zwischen einer Datei, die seit 18 Monaten virenfrei und unverändert ist, und einer Datei, die gestern von einem Konto hochgeladen wurde, das letzte Woche gehackt wurde.
Das Scannen von Ausweisdaten ermöglicht einen intelligenteren Ansatz:
- Dateien von bekannten, vertrauenswürdigen Benutzern oder Dienstkonten, die im vorangegangenen Zyklus gescannt wurden, können mit größerer Sicherheit behandelt werden.
- Neue Dateien oder Dateien, die von risikoreichen Identitäten wie externen Konten, Zugangsdaten von Auftragnehmern, kürzlich markierten Benutzern usw. geändert wurden, können priorisiert oder sofort erneut gescannt werden
- Auditberichte können für jede Benutzeridentität anzeigen, welche Dateien wann und mit welchem Ergebnis gescannt wurden – ein Format, das genau den Anforderungen von PCI-DSS-Auditoren und ISO-27001-Gutachtern entspricht.
Das Ergebnis ist eine Compliance-Strategie, die sowohl sicherer als auch effizienter ist. Anstatt immer wieder dieselben statischen Dateien zu scannen, reagieren Sie auf kontextbezogene Ereignisse: Was wurde geändert und von wem?
On-Demand-, zeitgesteuerte und RTP-Workflows: Die Wahl des richtigen Ansatzes für jedes Szenario
Storage Security drei Scan-Modi, und in effektiven Compliance-Programmen werden in der Regel alle drei kombiniert eingesetzt.
Die Echtzeitverarbeitung gewährleistet einen kontinuierlichen Schutz für den aktiven Speicher
Die Echtzeitverarbeitung istder wichtigste Mechanismus, um Bedrohungen sofort bei ihrem Auftreten zu erkennen. Sie ist ereignisgesteuert, läuft bei überwachten Speichereinheiten ständig und ist darauf ausgelegt, das Volumen und die Geschwindigkeit moderner Cloud-Datei-Workflows zu bewältigen.
Seit dem Update MetaDefender Storage Security .4.1 können Administratoren im RTP-Scan-Modell die neue Datumsauswahl „Dateien auswählen, die seit dem … geändert wurden“ verwenden, um Dateien einzubeziehen, die vor der aktuellen RTP-Konfiguration erstellt wurden. Dies verbessert die Compliance-Abdeckung für zuvor hochgeladene Dateien, wie beispielsweise OneDrive-Dateien, die ihr ursprüngliches „LastModified“-Datum beibehalten, anstatt den Zeitstempel des Uploads zu verwenden.
Bei 60-tägigen Compliance-Zyklen bedeutet dies, dass Sie Dateien, die innerhalb der letzten 60 Tage geändert wurden, gezielt ansprechen können, ohne einen vollständigen Scan des gesamten Speichers seit Beginn der Speichergeschichte auszulösen.
Geplante Scans, die auf Ihren Prüfungszeitplan abgestimmt sind
Für regelmäßige Compliance-Anforderungen (PCI DSS, HIPAA, SOC 2, interne Audit-Zyklen)Storage Security eine flexible Scan-Planung, die abVersion 4.3.0 minutengenau konfigurierbar ist. Dadurch können Sicherheitsteams präzise Scan-Fenster definieren, die auf die Audit-Zeiträume abgestimmt sind, außerhalb der Geschäftszeiten ausgeführt werden, um Auswirkungen zu minimieren, und zeitgestempelte Berichte erstellen, die direkt dem zu prüfenden Compliance-Zeitraum entsprechen.
Geplante Scans lassen sich effizient konfigurieren. Anstatt einen gesamten Speicherbestand im Petabyte-Bereich erneut zu scannen, kann der Scan gezielt auf bestimmte Buckets, Container, Dokumentbibliotheken oder Ordner ausgerichtet werden – und bei aktivierter Identitätsprüfung auf Dateien, die bestimmten Benutzern oder Rollen zugeordnet sind.
On-Demand-Scans für gezielte Fehlerbehebung und Reaktion auf Vorfälle
Das Scannen auf Abruf wird in bestimmten Situationen eingesetzt: Wenn ein Sicherheitsvorfall festgestellt wurde und das Team eine bestimmte Speichereinheit umgehend überprüfen muss, wenn ein Compliance-Audit bevorsteht und ein bestimmter Bucket beim letzten planmäßigen Durchlauf nicht berücksichtigt wurde oder wenn gerade eine neue Speicherintegration angeschlossen wurde und eine erste vollständige Überprüfung erforderlich ist.
Storage Security wurde um die Funktion „Fehlgeschlagene Dateien erneut prüfen“ erweitert. Damit können Administratoren neue Scans erstellen, die sich ausschließlich auf Dateien beziehen, bei denen zuvor Fehler aufgetreten sind. So wird der Aufwand eines vollständigen erneuten Scans vermieden, während gleichzeitig bestimmte Lücken in der Abdeckung geschlossen werden. Laufende Scans können zudem direkt über die Registerkarte „Bericht“ gestoppt werden, ohne dass man zu einem anderen Bereich der Benutzeroberfläche wechseln muss.
Automatische Erkennung und Integration von IAM-Rollen zur Beseitigung manueller Konfigurationslücken
Eines der häufigsten Compliance-Risiken in Cloud-Speicherumgebungen ist unbeaufsichtigter Speicher. Beispiele hierfür sind ein Bucket oder Container, der nie mit einem Sicherheitstool verbunden wurde, eine neue Speichereinheit, die außerhalb der üblichen IT-Prozesse bereitgestellt wurde, oder ein automatisch generierter Container aus einer Integration eines Drittanbieters.
Storage Security dieses Problem durch die automatische Erkennung über mehrere Cloud-Anbieter hinweg:
- Azure Blob Storage: Verbinden Sie ein Speicherkonto, und alle Container werden automatisch erkannt und der Scan-Richtlinie hinzugefügt; kein manueller Eingriff erforderlich
- SharePoint Online: Verbinden Sie Ihren Mandanten, und alle Websites werden bei der Verbindung automatisch erkannt
- Alibaba Cloud mit RAM-Rollenauthentifizierung (Resource Access Management) und AWS S3 mit IAM-Rolle (Identity and Access Management)Storage Security , die Authentifizierung über kurzlebige Anmeldedaten mit minimalen Berechtigungen anstelle von statischen ZugriffsschlüsselnStorage Security , wodurch das Risiko der Offenlegung von Anmeldedaten verringert und die Rotation der Anmeldedaten vereinfacht wird
Für Organisationen, die gemäß der PCI-DSS-Anforderung 12.3.1 (risikobasierte Analyse der Häufigkeit von Sicherheitskontrollen) oder den Kontrollen in Anhang A der ISO 27001 für Cloud-Umgebungen arbeiten, verringert die automatische Erkennung direkt das Risiko von Lücken in der Abdeckung, die andernfalls erst bei einem Audit oder einem Vorfall entdeckt würden.
Dank der automatischen Generierung von Terraform-Skriptenfür die AWS EventBridge-Konfiguration, die überStorage Security verfügbar ist, sind selbst für die Ersteinrichtung der ereignisbasierten Verarbeitung nur minimale Berechtigungen erforderlich, und das Sicherheitsteam muss keine eigenen Skripte erstellen.
Storage Security: Speziell für den Schutz von Cloud entwickelt
Storage Security die Lösung OPSWAT zur Erkennung und Abwehr dateibasierter Bedrohungen in lokalen, Cloud- und hybriden Speicherumgebungen. Sie wendet auf jede verarbeitete Datei nacheinander mehrere Präventionstechnologien an:
- Metascan™Multiscanning setztDutzende von Anti-Malware-Engines gleichzeitigeinund erhöht so die Erkennungsrate bekannter und unbekannter Bedrohungen, ohne sich auf die Signaturen eines einzelnen Anbieters zu verlassen
- Deep CDR™-Technologie stellt Dateien in einer sicheren, funktional gleichwertigen Version wieder her, indem potenziell schädliche aktive Inhalte entfernt werden – wirksam gegen Bedrohungen, die sich der signaturbasierten Erkennung entziehen
- Proactive DLP™ überprüft und schwärzt Dateien auf sensible Daten – wie Zahlungskartennummern, personenbezogene Daten (PII) und Gesundheitsdaten –, bevor diese gespeichert werden, und unterstützt so sowohl die Datensicherheit als auch die Einhaltung gesetzlicher Vorschriften
- File-Based Vulnerability Assessment identifiziert bekannte Schwachstellen in Dateien wie Installationsprogrammen und Paketen, bevor diese in die Umgebung gelangen
- Adaptive Sandbox bietet eine Verhaltensanalyse für verdächtige Dateien, die einer eingehenderen Untersuchung bedürfen
All dies läuft über eine umfangreiche Konnektor-Bibliothek, die Amazon S3, Azure Blob Storage, SharePoint Online, Microsoft Teams, OneDrive, Google Cloud , NetApp, Dell EMC Isilon, Box, Scality RING und weitere Dienste umfasst, wobei mit jeder neuen Version weitere Integrationen hinzukommen.
Für Teams, deren Schwerpunkt auf der Einhaltung von Vorschriften liegt,Storage Security zentralisierte Scan-Berichte, eine Zuordnung zu einzelnen Benutzern, Audit-Protokolle mit Zeitstempel sowie konfigurierbare Korrekturmaßnahmen (zulassen, blockieren, löschen, verschieben, bereinigen); die alle den Dokumentationsanforderungen von PCI DSS v4.0.1, HIPAA, ISO 27001 und SOC 2 entsprechen.
Die Plattform ist als lokale Installation oder als MetaDefender Storage Security Cloud. Letztere bietet nun Multi-Tenancy-Unterstützung für Unternehmen, die mehrere Geschäftsbereiche oder Kundenumgebungen innerhalb einer einzigen Bereitstellung verwalten.
Vom reaktiven Scannen zur proaktivenStorage Security
Die Compliance-Anforderungen wurden strenger, da sich die Prüfer nicht mehr damit zufrieden geben, dass Sie einen Scan durchgeführt haben. Sie verlangen eine lückenlose Abdeckung, die Zuordnung von Identitäten sowie klare Richtlinien dafür, wie mit neuen Dateien umgegangen wird, sobald diese in Ihre Umgebung gelangen.
- Das ereignisgesteuerte Scannen gibt Aufschluss über die Frequenz und den Zeitpunkt.
- Die Identitätsprüfung klärt die Frage der Verantwortlichkeit.
- Flexible, planmäßige und bedarfsgesteuerte Workflows lösen das Problem der regelmäßigen Compliance-Dokumentation. Die automatische Erkennung löst das Problem der Abdeckung.
Storage Security diese Funktionen in einer Plattform, die speziell auf die Größe, Komplexität und Compliance-Anforderungen von Cloud-Speicherumgebungen in Unternehmen zugeschnitten ist.
Ganz gleich, ob es Ihnen darum geht, Bedrohungen in Echtzeit zu erkennen, ein 60-tägiges Prüfungsfenster einzuhalten oder nachzuweisen, dass jede Datei in einem regulierten Speicherbereich von einem bestimmten Benutzer gescannt wurde – die Plattform unterstützt Sie dabei.
