Wiz
Alle ArtikelDetection and Response

Was ist Cloud Detection and Response (CDR)?

Greg Zemlin
CDR for DummiesWatch 5-min demo
Wichtigste Erkenntnisse zur Cloud-Erkennung und -Reaktion:

  • Cloud Detection and Response (CDR) überwacht Cloud-Umgebungen kontinuierlich auf verdächtige Aktivitäten und Bedrohungen wie Lateral Movement, Malware und Identitätsmissbrauch.

  • CDR-Tools liefern Echtzeiteinblicke in VMs, Container, APIs, Identitäten und Cloud-Services. So erkennt Ihr Bedrohungen, die sich über Workloads und Control-Plane-Aktivitäten erstrecken.

  • CDR korreliert Signale über Multi-Cloud-Umgebungen hinweg und löst automatisierte oder geführte Reaktionsmaßnahmen aus. Das verkürzt die mittlere Zeit bis zur Erkennung und Reaktion (MTTR).

  • Eine starke CDR-Strategie ist unverzichtbar, um dynamische, kurzlebige Cloud-Infrastrukturen zu schützen. Legacy-Tools wie EDR, NDR und XDR stoßen hier oft an ihre Grenzen.

Cloud Detection and Response – Definition

CDR ist ein cloud-nativer Ansatz zur Identifizierung, Analyse und Reaktion auf Sicherheitsbedrohungen über Cloud-Workloads, -Services und -Infrastrukturen hinweg.

CDR bietet tiefe Einblicke in komplexe Cloud- und Multi-Cloud-Umgebungen, einschließlich Services, APIs und aller Workload-Typen. 

Cloud Detection and Response konzentriert sich auf Cloud-Umgebungen – das unterscheidet den Ansatz von anderen Detection-and-Response-Lösungen. CDR teilt zwar einige Funktionen mit workload-fokussiertem Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR), geht aber deutlich darüber hinaus, da es speziell für Cloud-Architekturen entwickelt wurde.

CDR – Warum Ihr es braucht

CDR ist unverzichtbar, weil herkömmliche Sicherheitstools nicht für kurzlebige Cloud-Ressourcen, dynamische Identitätsschichten und Multi-Cloud-Wildwuchs konzipiert wurden.

Ohne CDR kämpfen SOC-Teams mit blinden Flecken, Überlastung durch Alarme und verzögerter Reaktion auf echte Bedrohungen. Besonders kritisch: Lateral Movement, falsch konfigurierte Identitäten und kontoübergreifende Angriffe.

Erfahrene Sicherheitsfachleute wissen: Die einzigartige Komplexität der Cloud erfordert cloud-spezifische D&R-Lösungen. Nach einer Umfrage zum Bedarf an CDR zitierte Google-Cloud-Sicherheitsberater Anton Chuvakin folgenden Kommentar als stärkstes Argument: „Public Cloud hat genug spezielle Deployment- und Erfassungsunterschiede zu On-Premises, sodass es eine CDR-Funktion geben muss."

Und obwohl es keinen Mangel an Detection- und Sicherheitstools auf dem Markt gibt, fehlt ihnen oft die notwendige Transparenz, um Cloud-Sicherheitsbedrohungen in euren Umgebungen zu identifizieren und zu beheben. Wiz-Daten zeigen: 61 % der Organisationen haben Secrets in öffentlichen Repositorys offengelegt. Diese und andere Bedrohungen, etwa die zunehmende KI-Nutzung, unterstreichen die Bedeutung von modernem, cloud-nativem CDR.

Secrets in repositories showings stats of companies with one private repo with secret

Reducing alert fatigue

Siloed alerts can become unified views with comparisons in workload detection and cloud activity

Überlastung durch Alarme reduzieren

Alarme sind entscheidend für die Priorisierung von Bedrohungen und die Ausrichtung Eurer Behebungsmaßnahmen. Viele Lösungen produzieren jedoch eine hohe Rate an Fehlalarmen. SOC-Teams verbringen durchschnittlich 32 % ihrer Zeit mit der Untersuchung und Validierung falscher Vorfälle – Zeit, die für echte Bedrohungen fehlt.

Eine CDR-Lösung reduziert Überlastung durch Alarme, indem sie Signale aus Cloud-Logs, Identitätsaktivitäten und Runtime-Verhalten korreliert. Sie filtert harmlose Ereignisse heraus und hebt tatsächlich ausnutzbare Risiken hervor. Diese Lösungen analysieren die Schwere des Alarms basierend auf Geschäftsdaten und Workload-Prioritäten. Sie bieten vollständige Transparenz in komplexe Cloud-Umgebungen, um Lateral-Movement-Angriffe durch kontextbewusste Threat Intelligence proaktiv zu identifizieren. Statt bei jedem öffentlichen S3-Bucket zu alarmieren, konzentriert sich CDR auf diejenigen, die sensible Daten speichern oder mit privilegierten IAM-Rollen verknüpft sind.

Wiz named #1 in G2 Grid ® Report for CDR

Mehr lesen

Schnelle Bedrohungsanalyse und Behebung

Manuelle Bedrohungsanalyse über Cloud-Konfigurationen, Netzwerkexpositionen, Identity-Access-Technologien und andere Cloud-Architekturaspekte hinweg ist äußerst zeitaufwendig. CDR löst automatisierte Aktionen aus: Workloads isolieren, adaptive Netzwerkzugriffskontrollen anwenden, Asset- und Netzwerkisolationszonen erstellen oder Workloads mit genehmigten Images neu aufbauen.

Funktionsweise von CDR

How CDR works with attack path analysis, dynamic scanning, event detection rules, cloud events explorer, and more

CDR nimmt Telemetriedaten aus cloud-nativen Quellen wie AWS CloudTrail, Kubernetes-Audit-Logs und VM-Runtime-Events auf. Es analysiert diese Daten in Echtzeit, um verdächtiges Verhalten zu identifizieren – etwa Privilege Escalation, ungewöhnlichen Netzwerkverkehr oder Lateral Movement. Dann reagiert es automatisch basierend auf Richtlinien.

Diese Lösungen sind entweder agentenbasiert (Agents auf Workloads installiert) oder Agentless (Snapshot-Scanning-Ansatz). Sie erfassen Daten aus Block-Storage und rufen Cloud-Konfigurationsmetadaten über APIs ab. Eine effektive CDR-Lösung sollte:

  • Echtzeit-Transparenz über Multi-Cloud-Umgebungen hinweg bieten und eine priorisierte Reaktion ermöglichen. Schnelle Erkennung und priorisierte Reaktionsanleitung helfen Euch, aufkommenden Bedrohungen einen Schritt voraus zu sein.

  • Komplexe Expositionsketten und Lateral-Movement-Pfade aufdecken, die auf hochwertige Assets wie Administratoridentitäten oder sensible Daten abzielen. Eine einheitliche Oberfläche, kombiniert mit einer Live-Datenbank von Cloud-Änderungen, unterstützt die präzise Identifizierung ausnutzbarer konto- und cloudübergreifender Pfade.

  • Potenzielle Netzwerkexpositionen simulieren, indem sie eine kontinuierlich aktualisierte Ansicht eurer Cloud-Landschaft nutzt. So validiert ihr Risiken tiefergehend – mit Beweisen wie Response-Inhalten und Statuscodes, die Angriffsvektoren offenlegen.

  • Cloud-Aktivitäten kontinuierlich überwachen mit Regeln, die von einer sich weiterentwickelnden Threat-Intelligence-Datenbank gespeist werden. Das ermöglicht präzises Malware-Scanning und Alarmierungen – maßgeschneidert und akkurat.

  • Schnell mit automatisierter Eindämmung reagieren oder Sicherheitsteams alarmieren. Sicherheitsereignisse werden priorisiert und skaliert über Workloads hinweg erfasst – einschließlich VMs, Container und Serverless-Funktionen. Das deckt Angriffsvektoren wie IAM, APIs und andere Cloud-spezifische Angriffsflächen ab.

Example Response Actions Catalog that provides visibility into the custom remediation functions an organization has defined

Die ideale CDR-Lösung integriert diese Aspekte in eine durchgängige Cloud-Sicherheitsplattform, die auf jedes Cloud-Ökosystem zugeschnitten ist.

Detect active cloud threats

Learn how Wiz Defend detects active threats using runtime signals and cloud context—so you can respond faster and with precision.

Informationen darüber, wie Wiz mit Ihren personenbezogenen Daten umgeht, finden Sie in unserer Datenschutzerklärung.

Wichtige Funktionen einer CDR-Lösung

Die dynamische Natur moderner Cloud-Umgebungen erfordert automatisierte CDR-Tools, die sowohl aktuelle als auch zukünftige Anforderungen abdecken:

A CDR tool should collect cloud events and alerts via integrations with services like AWS CloudTrail, Azure Activity Logs, and GCP Cloud Audit Logs

  • Reaktionen in Echtzeit:
    Schnelle Eindämmung von Vorfällen durch Isolation, Stoppen von Instanzen oder Anpassung von Konfigurationen.

Example of real-time response actions triggered to reduce and contain the incident blast radius

  • End-to-End-Transparenz:
    Ganzheitliche Sicht auf Bedrohungen durch Korrelation von Logs, Events und Aktivitäten.

A visualization of how CDR can give you end-to-end visibility into an attack path

  • Out-of-the-Box-Erkennung:
    Heuristische Regeln zur Identifikation von Bedrohungen über alle Cloud-Komponenten hinweg.

Example detection of a data exfiltration attempt

  • Angreifersimulationen zur Analyse externer Angriffsflächen:
    Simulation realer Angriffsszenarien zur Bewertung von Expositionen und Fehlkonfigurationen.

A CDR tool can give you an understanding of an attacker's behavior by analyzing external exposure of applications

  • Integration:
    Nahtlose Einbindung in bestehende Tools, CI/CD-Pipelines und Multi-Cloud-Umgebungen zur Reduktion von Komplexität und Datensilos.

Eine CDR-Lösung bildet damit die Grundlage einer modernen Cloud-Sicherheitsstrategie und passt sich kontinuierlich an neue Bedrohungen an.

Forensik im großen Maßstab für Workloads

Wiz named #1 in G2 Grid ® Report for CDR

Cloud-Forensik im großen Maßstab ist komplex. Eine leistungsfähige CDR-Plattform ermöglicht dies durch Aggregation von Runtime-Daten, Kontextanreicherung und vollständige Nachverfolgbarkeit von Aktivitäten. Eine CDR-Lösung muss dynamische Cloud-Umgebungen, neue Bedrohungsvektoren und sich ändernde Sicherheitsstrategien abdecken können.

Hier kommt Wiz ins Spiel. Wiz ist eine cloud-native, einheitliche Cloud-Sicherheitsplattform. Das agentenlose Scanning und das umfassende Toolset erkennen Bedrohungen und Schwachstellen in eurer Cloud-Umgebung ohne zusätzlichen operativen Aufwand.

Wiz liefert zudem priorisierte Handlungsempfehlungen zur Risikominimierung. Die Plattform ermöglicht skalierbare Forensik und unterstützt Sicherheitsteams dabei, Cloud-Umgebungen effektiv zu schützen.

Holt euch noch heute die Demo und erlebt selbst, wie Wiz eure Cloud Detection and Response verbessert.

Cloud Detection and Response – FAQ