Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Cloud Tuecken Quelle Lukas Liebhold Gronau IT 700

Bild: Lukas Liebhold / Gronau IT Cloud Computing

 

6. Fortgeschrittene andauernde Bedrohungen

Die CSA bezeichnet fortgeschrittene persistente Bedrohungen (APTs) als parasitäre Angriffsformen. APTs infiltrieren Systeme, um Fuß zu fassen, und exfiltrieren dann Daten und geistiges Eigentum über einen längeren Zeitraum hinweg. Mögliche Einstiegspunkte bilden neben direkten Angriffen auch gezielter E-Mail-Betrug, sogenanntes Spear-Phishing, sowie Attacken über USB-Treiber. Um gewappnet zu sein, müssen sich IT-Abteilungen stets über die neuesten Angriffe auf dem Laufenden halten. Zusätzlich sorgen regelmäßig erneuerte Awareness-Programme für mehr Wachsamkeit gegen Parasiten.

7. Keine Datensicherung, keine Gnade

Berichte über Datenverluste aufseiten der Cloud-Provider nehmen ab, obwohl Hacker sich nach wie vor angriffslustig zeigen und Daten aus Unternehmensstrukturen oder Rechenzentren löschen. Daher werden täglich geplante Datensicherungen zum Must-have. Wer noch mehr sichergehen will, trennt Daten physisch an verschiedene Orte oder Netze.

8. Ungenügende Sorgfaltspflicht

Organisationen, die Cloud-Dienste ohne Verständnis für die damit verbundenen Risiken nutzen, nehmen kommerzielle, technische, rechtliche und Compliance-relevante Risiken in Kauf. Sind Entwicklungsteams nicht mit Cloud-Technologien vertraut, können betriebliche und architektonische Probleme auftreten. Daher müssen Entwickler eine umfassende Risikoprüfung, eine Due Dilligence, durchführen, um die mit ihren Cloud-Services verbundenen Risiken einzuschätzen. Die Sorgfaltspflicht im Cloud-Umfeld gilt immer und insbesondere bei Cloud-Migrationen, Zusammenlegung und Outsourcing.

9. Missbrauch und schädliche Nutzung von Cloud-Services

Wer an die Hardware-Ressourcen hinter einer Cloud gelangt, dem gelingt es, eine Armada von Geräten für sich zu nutzen. Hacker führen damit nicht nur simple DDoS-Attacken aus, sondern knacken auch Verschlüsselungen oder minen Crypto-Währungen. Attacken auf derartige Ressourcen haben meist zwei Dinge im Blick: Datendiebstahl beziehungsweise das Löschen von Unternehmensdaten und Downtime, die Teil einer weiteren Attacke sein kann oder dem anvisierten Unternehmen Umsatzeinbußen einbringt.

10. DoS-Attacken

Cyberkriminelle nutzen schon lange DoS-Attacken, die durch Anfragenüberflutung die Server des Zieles in die Knie zwingen. Sie erlangen aber durch Cloud-Services eine neue Bedeutung, da sie nun nicht mehr nur Internetseiten, sondern ganze Dienstleistungen paralysieren. Github, eine Cloud zum Teilen von Code, erlebte 2018 einen Rekord-Angriff. Sage und schreibe 1,35 Terabit Traffic pro Sekunde erreichten die Server und überforderten sie für mehrere Minuten. Laut Netscout, einem Anbieter für Netzwerkleistungsmanagementprodukte, sorgen DoS-Attacken auf dem amerikanischen Markt pro Jahr für einen Schaden von 10 Milliarden US-Dollar . Auch die Quantität der Angriffe nimmt von Jahr zu Jahr stark zu.

11. Geteilte Technologie-Schwachstellen

Schwachstellen in gemeinschaftlich genutzter Technologie, also Infrastruktur, Plattform und Anwendung, stellen eine erhebliche Bedrohung für Cloud-Computing dar. Tritt eine Schwachstelle auf einer Ebene auf, betrifft sie alle Ebenen. Wird eine integrale Komponente kompromittiert, setzt sie die gesamte Umgebung potenziellen Verletzungen aus. Um dies zu verhindern, empfiehlt die CSA eine tiefgehende Verteidigungsstrategie: Multifaktor-Authentifizierung, Einbruchmeldesysteme, Netz-Segmentierung und Ressourcen-Aktualisierung bilden bei dieser Strategie die wesentlichen Bausteine.

www.gronau-it.de

 

Ben Sadeghipour, Hacker and Hacker Operations Lead
Ben Sadeghipour
Hacker and Hacker Operations Lead, HackerOne
GRID LIST

SEAL KIT-SUITE: EIN SURVIVAL KIT FÜR DIE IT-SECURITY

Die Gronau IT Cloud Computing GmbH hat sich im Security-Umfeld einen Namen gemacht. Über…
Tb W190 H80 Crop Int C7ec4121533b0efd43b60d6b621b8f97

NIOS-Plattform erweitert Sicherheits- und Multi-Cloud-Funktionalität

Infoblox veröffentlicht ein Update für seine Network Identity Operating System…
Cloud Security

Public Cloud ohne eigene DNS ist Einfallstor für Angriffe

Öffentliche Cloud-Dienste bieten über ihr DNS zahlreiche Eingangstore für…
Cloud Security

Tipps für Datensicherheit in Multicloud Umgebungen

Die Gründe, die bei der Auswahl von Cloud-Tools für eine Multicloud-Strategie sprechen,…
Cloud-Container-Concept

Die vernachlässigte Lücke in der Container-Sicherheitsstrategie

Docker wird dieses Jahr sechs Jahre alt. Mit der Open-SourceSoftware lassen sich…
Cloud-Security

Prioritäten von IT-Security-Verantwortlichen

Die Cloudnutzung hat 2018 einen neuen Höchststand erreicht und der Wachstumstrend wird…